Aux célèbres Meltdown et Spectre d'il y a quelques années, il semble maintenant qu'il faille ajouter un nouveau partenaire dans les méfaits : Saignement hertzien . Bien que cette fois nous n'ayons pas trouvé de vulnérabilité qui exploite l'exécution spéculative. Cela affecte plutôt un élément différent des processeurs. Bien que sa solution nécessitera des changements dans les conceptions futures et celle existante à court terme suppose une réduction significative en termes de performances. En quoi consiste cette attaque contre la sécurité de nos PC ?
La différence entre Hertzbleed par rapport à Meltdown et Spectre est que nous devons partir de la base que nous sommes confrontés à ce qu'on appelle un attaque latérale . Qui ne reposent pas sur l'exécution de code malveillant à l'intérieur de l'ordinateur, mais cherchent plutôt à obtenir des informations d'une autre manière : en analysant le fonctionnement du matériel. Pour ce faire, ils utilisent les informations pouvant être obtenues des systèmes de mesure du processeur pour savoir ce qui se passe à l'intérieur. Ce qui les rend extrêmement dangereux, car ils peuvent obtenir des clés cryptées et mettre en péril la sécurité des données.
Qu'est-ce qu'Hertzbleed ?
Un exemple de ce type d'attaque latérale est le type DPA. Qui analysent les variations de consommation énergétique et d'émissions électromagnétiques du processeur cible. Ensuite, grâce à des méthodes statistiques, il utilise ces informations pour obtenir des clés secrètes et des algorithmes de chiffrement. Cela leur permet de voler des informations sans que les mécanismes de sécurité conventionnels ne puissent rien faire pour l'empêcher.
Aujourd'hui, les attaques de type DPA sont si précises que même avec une grande quantité de bruit obtenue, ils ont la capacité de capturer les changements dans les portes logiques du processeur . Il suffit donc d'une analyse approfondie de ces données pour savoir comment un Processeur crypte les informations et même les informations qu'elles contiennent. L'autre manière dont l'information est obtenue est dans le fait que la consommation d'un processeur dépend du traitement des données . Et, par conséquent, cela nous permet de savoir quelles instructions sont en cours d'exécution en fonction de ce que chacune d'elles consomme.
Eh bien, Hertzbleed est un tel type d'attaque. Son niveau de danger est élevé, puisque l'inclusion peut extraire les clés utilisées pour le chiffrement des données sur les serveurs distants. Pour ce faire, il utilise une mise à l'échelle dynamique des fréquences sur les processeurs ISA x86, qui sont ceux que nous utilisons sur les PC. Cette fonctionnalité est ce qui permet à un processeur de faire varier sa vitesse d'horloge en fonction de la charge de travail. C'est-à-dire qu'il est lié à l'overclocking automatique et aux vitesses Turbo et Boost de nombreux processeurs.
Cela affecte-t-il le processeur de mon PC ?
Parce qu'il tire parti de la capacité du processeur à augmenter temporairement la vitesse d'horloge du processeur, cela signifie que le système au sein du processeur responsable de la variation de la vitesse d'horloge a été affecté. La solution la plus simple pour résoudre le problème ? Désactivez-le, mais comme vous l'aurez compris cela signifie perdre l'overclocking et même les vitesses Boost. Donc les conséquences sont claires, c'est une perte de performance générale. Comme dans Meltdown et Spectre. Bien que cette fois, il s'agisse d'un problème d'une autre nature.
Quant aux processeurs concernés, cela affecte tout Intel et AMD CPU actuellement sur le marché . De plus, ce n'est pas un problème qui ne peut potentiellement se produire que sur les PC et tout système qui peut changer sa vitesse d'horloge à la volée peut être affecté par des problèmes similaires. Dans tous les cas, nous ne pouvons pas oublier qu'Intel et AMD utilisent les mêmes mécanismes de fréquence dynamique dans leurs processeurs depuis des années. Cela les forcera donc à opérer un changement profond à cet égard. Le problème? Nous ne savons pas si le Ryzen 7000 sera concerné et dans le cas d'Intel il faudra attendre l'Intel Core 15 ou au-delà.
