12.07.2022 - Des chercheurs en sécurité de l’EPF de Zurich ont découvert une grave faille de sécurité dans des microprocesseurs Intel et AMD. Nommée «Retbleed», cette faille pourrait être utilisée par un pirate informatique pour accéder à la zone mémoire de son choix. De premières mesures de prévention ont déjà été définies. Le NCSC a attribué à la faille de sécurité des deux fabricants un numéro d’identification CVE valable à l’échelle internationale.
Afin d’éviter que les vulnérabilités des systèmes informatiques puissent être exploitées, il est très important de les éliminer rapidement et, donc, d’en informer les exploitants et les fabricants dans le monde entier. Des chercheurs en sécurité de l’EPF de Zurich ont découvert une vaste faille de sécurité dans des microprocesseurs Intel et AMD. En collaboration et en accord avec les chercheurs de l’EPF de Zurich, le NCSC a attribué à la faille en question les numéros CVE-2022-29900 pour les processeurs du fabricant AMD et CVE-2022-29901 pour les processeurs du fabricant Intel. Attribuer un numéro CVE à de telles failles permet d’assurer leur identification univoque au niveau international. Étant donné que les microprocesseurs affectés sont en usage dans le monde entier, la vulnérabilité qu’ils présentent est considérée comme grave. Les fabricants concernés ont cependant déjà pris de premières mesures visant à combler la faille de sécurité.
Vulnérabilité découverte et annoncée par l’EPF de Zurich
Au cours du premier trimestre de l’année, des chercheurs de l’EPF de Zurich ont annoncé aux fabricants AMD et Intel avoir découvert une vulnérabilité dans des microprocesseurs, annonce qu’ils ont également transmise au NCSC. En exploitant cette vulnérabilité nommée «Retbleed» par les chercheurs, un pirate informatique non autorisé pourrait accéder à des zones mémoire et obtenir ainsi n’importe quelle information disponible dans le système. Une telle intrusion est particulièrement dangereuse en ce qui concerne les environnements en nuage, au sein desquels plusieurs clients et entreprises utilisent en commun des infrastructures et systèmes informatiques partagés. L’équipe de chercheurs estime très probable que les microprocesseurs d’Intel utilisés depuis trois à six ans ainsi que les microprocesseurs d’AMD dont la durée d’utilisation oscille entre un et onze ans soient affectés. La vulnérabilité a été qualifiée de grave. Toutefois, parvenir à l’exploiter requiert de très gros efforts et nécessite le savoir-faire correspondant, impliquant que le pirate potentiel puisse utiliser un code de programmation localement dans le système. Les fabricants concernés font tout leur possible pour mettre au point des correctifs de sécurité afin qu’ils soient disponibles au plus vite. De plus amples informations concernant la vulnérabilité «Retbleed» figurent dans la documentation des chercheurs de l’EPF de Zurich.
Coordination par le NCSC
En septembre 2021, le NCSC, en tant qu’autorité habilitée à attribuer des numéros CVE, a été reconnu par l’organisation d’utilité publique MITRE (Massachusetts Institute of Technology Research Establishment). En novembre 2021, le NCSC a attribué pour la première fois un numéro d’identification à une vulnérabilité matérielle, désignée sous le nom de «Blacksmith» et également découverte par l’EPF de Zurich.
Depuis lors, le NCSC a attribué 24 numéros CVE à des vulnérabilités, dont 20 concernaient des logiciels et 4 des composants matériels. Les vulnérabilités identifiées font l’objet d’un suivi permanent dont les résultats sont publiés sur le site Internet du NCSC. La plupart des failles de sécurité ont été annoncées au NCSC par des chercheurs dans le cadre du programme de divulgation coordonnée des vulnérabilités (coordinated vulnerability disclosure). Ce programme vise principalement à assurer une gestion responsable des vulnérabilités dans l’objectif de ne divulguer les détails d’une faille qu’une fois que le fabricant ou les organismes concernés ont été informés de l’existence de celle-ci et qu’une solution pour la combler a été élaborée, par exemple sous la forme d’une mise à jour de produits.
Les annonces au NCSC à effectuer par le biais du formulaire Internet peuvent porter aussi bien sur des failles affectant les systèmes de l’administration fédérale que sur des vulnérabilités générales touchant des produits et systèmes informatiques utilisés en Suisse. En tant que service spécialisé autorisé, le NCSC est responsable de l’examen, de la coordination et de la divulgation des vulnérabilités découvertes. L’expérience montre que le rôle de coordination assumé par le NCSC est très apprécié par les parties concernées, qui le sollicitent très régulièrement.
Dernière modification 12.07.2022
