Brider la performance de vos serveurs Intel est devenu incontournable

À la suite de Spectre et de Meltdown, trois autres défaillances CPUs Intel vont obliger les DSI de désactiver l’hyper-threading des PC et serveurs afin d’assurer leur sécurité.

L’annonce est parue dès janvier 2018 à l’occasion de la découverte des défaillances Spectre et Meltdown : « ne nous y trompons pas, ces découvertes en entraîneront bien d’autres. Elles inaugurent une nouvelle ère : celle de l’exploration des failles de design des processeurs ».

Les attaques Spectre et Meltdown n’utilisent pas un bug, en revanche elles utilisent des déficiences au sein de la conception même des processeurs. Ainsi, il n’y a pas de réelles solutions et les parades s’apparentent plus à de fragiles rustines qui camouflent le mal au lieu de le soigner. Le seul vrai correctif engendre une reconception des « cœurs » des processeurs.

Maintenant, de nombreuses versions de Spectre sont sorties comme d’autres attaques (Spoi0ler) utilisant exactement les mêmes failles dans les mécanismes spéculatifs d’optimisation des exécutions. Intel est celui qui en souffre le plus. À chaque fois qu’une faille sort il faut émettre une nouvelle rustine, s’ atteint un peu plus à chaque fois les performances.

Mais la plus récente découverte dans ce secteur aura un impact encore plus grand. Sur la base de Spectre quoique très opposer, les nouvelles attaques RIDL, Fallout et ZombieLoad utilisent quatre vulnérabilités qui touchent 99% des processeurs Intel parue depuis 2008 ! Nommé « vulnérabilités MDS (Microarchitectural Data Sampling) », elles laissent à un attaquant l’opportunité de dérober des données confidentielles telles que des clés de chiffrements, des mots de passe et bien plus encore, tout ça à partir d’une simple page Web hébergeant un code JavaScript. Faites au sein même des processeurs, ces attaques fil entre les doigts de tous les mécanismes d’isolation, que se soit de VM, de protection de processus ou même d’enclaves SGX (qui convoie des ilots d’exécution chiffrés).

Comme pour les défaillances antérieures, contrer ces failles veut dire diffusé un nouveau microcode Intel et des patchs dans les systèmes, les drivers et les navigateurs Web. Des rustines qui ne soignent pas complètement le mal. Tellement que Google (pour ChromeOS), Microsoft, Apple, RedHat et OpenBSD convient les administrateurs à désactiver la fonctionnalité « HyperThreading » existante dans tous les processeurs Intel Core et Intel Xeon des serveurs, workstations et PC ! Et comme le signale l’alerte émise par Apple, «  cette action peut réduire les performances jusqu’à 40%, l’impact étant particulièrement sensible sur les applications fortement multithreadées ».

Mettre à jour son système et désactiver l’hyperthreading semble être une mesure enfantine, la plus efficace et la plus rapide à faire. Autre option, être sûre que les ordinateurs ne parcourent plus le Web et soient entièrement plein pour interdire toute exécution de code non certifié, ce qui bien moins facile à faire.

Par contre « Intel ne recommande la désactivation d’Hyperthreading » d’après un mail envoyé par le fondeur à The Register. En ce qui concerne Intel, désactiver cette fonctionnalité ne serai pas suffisant à protéger mes appareils et toucherait beaucoup trop la performance des Workloads. Le fondeur recommande d’appliquer les rustines fournies et, un par un, de déterminer les mesures additionnelles à mettre en place.

En conclusion, ces nouvelles défaillances sont vraiment très préoccupantes pour l’ensemble des datacenters, aussi pour tous les clouds, mais avant tout pour Intel. Le fondeur est entièrement visé par ces attaques tendis qu’il doit faire face au retour fulgurant d’AMD sur les PC  et sur les serveurs avec ces processeurs Ryzen et Epyc.

Liens indispensables :

Intel – Software Guidance For Security Advisories

Microsoft – MDS Threat Guidance

Apple – Additional mitigations for speculative execution vulnerabilities on Intel CPUs

Google – Google’s mitigations for MDS

RedHat – MDS Vulnearabilities

Sources:

Université de Vrije Amsterdam – RIDL & Fallout : MDS Attacks

RIDL: Rogue In-Flight Data Load

FALLOUT : Reading Kernel Writes From User Space

ZOMBIELOAD : The ZombieLoad Attack

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.