{"id":203048,"date":"2022-06-15T08:15:09","date_gmt":"2022-06-15T10:15:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-attaque-par-canal-lateral-hertzbleed-affecte-tous-les-processeurs-amd-et-intel-modernes\/"},"modified":"2022-06-15T08:15:10","modified_gmt":"2022-06-15T10:15:10","slug":"la-nouvelle-attaque-par-canal-lateral-hertzbleed-affecte-tous-les-processeurs-amd-et-intel-modernes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-attaque-par-canal-lateral-hertzbleed-affecte-tous-les-processeurs-amd-et-intel-modernes\/","title":{"rendered":"La nouvelle attaque par canal lat\u00e9ral Hertzbleed affecte tous les processeurs AMD et Intel modernes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 r\u00e9cemment d\u00e9couverte dans les processeurs Intel et AMD modernes pourrait permettre \u00e0 des attaquants distants de voler des cl\u00e9s de chiffrement via une attaque par canal d&#8217;alimentation.<\/p>\n<p>Doubl\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.hertzbleed.com\/\" target=\"_blank\">Hertzbleed<\/a> par un groupe de chercheurs de l&#8217;Universit\u00e9 du Texas, de l&#8217;Universit\u00e9 de l&#8217;Illinois Urbana-Champaign et de l&#8217;Universit\u00e9 de Washington, le probl\u00e8me est enracin\u00e9 dans la mise \u00e0 l&#8217;\u00e9chelle dynamique de la tension et de la fr\u00e9quence (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dynamic_frequency_scaling\" target=\"_blank\">DVFS<\/a>), fonction de gestion de l&#8217;alimentation et thermique utilis\u00e9e pour \u00e9conomiser l&#8217;\u00e9nergie et r\u00e9duire la quantit\u00e9 de chaleur g\u00e9n\u00e9r\u00e9e par une puce.<\/p>\n<p>&#8220;La cause est que, dans certaines circonstances, les ajustements p\u00e9riodiques de la fr\u00e9quence du processeur d\u00e9pendent de la consommation d&#8217;\u00e9nergie actuelle du processeur, et ces ajustements se traduisent directement par des diff\u00e9rences de temps d&#8217;ex\u00e9cution (comme 1 hertz = 1 cycle par seconde)&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-gitlab\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cela peut avoir des implications de s\u00e9curit\u00e9 importantes sur les biblioth\u00e8ques cryptographiques, m\u00eame lorsqu&#8217;elles sont impl\u00e9ment\u00e9es correctement comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.intel.com\/content\/www\/us\/en\/developer\/articles\/technical\/software-security-guidance\/secure-coding\/mitigate-timing-side-channel-crypto-implementation.html\" target=\"_blank\">code \u00e0 temps constant<\/a> pour emp\u00eacher les canaux secondaires bas\u00e9s sur la synchronisation, permettant ainsi \u00e0 un attaquant de tirer parti des variations de temps d&#8217;ex\u00e9cution pour extraire des informations sensibles telles que des cl\u00e9s cryptographiques.<\/p>\n<p>Les deux AMD (<a rel=\"nofollow noopener\" href=\"https:\/\/www.amd.com\/en\/corporate\/product-security\/bulletin\/amd-sb-1038\" target=\"_blank\">CVE-2022-23823<\/a>) et Intel (<a rel=\"nofollow noopener\" href=\"https:\/\/www.intel.com\/content\/www\/us\/en\/security-center\/advisory\/intel-sa-00698.html\" target=\"_blank\">CVE-2022-24436<\/a>) ont publi\u00e9 des avis ind\u00e9pendants en r\u00e9ponse aux conclusions, ces derniers notant que tous les processeurs Intel sont concern\u00e9s par Hertzbleed.  Aucun correctif n&#8217;a \u00e9t\u00e9 mis \u00e0 disposition.<\/p>\n<p>&#8220;Comme la vuln\u00e9rabilit\u00e9 affecte un algorithme cryptographique ayant des fuites de canaux secondaires bas\u00e9es sur l&#8217;analyse de puissance, les d\u00e9veloppeurs peuvent appliquer des contre-mesures sur le code logiciel de l&#8217;algorithme. Le masquage, le masquage ou la rotation des cl\u00e9s peuvent \u00eatre utilis\u00e9s pour att\u00e9nuer l&#8217;attaque&#8221;, a d\u00e9clar\u00e9 AMD.<\/p>\n<p>Bien qu&#8217;aucun correctif n&#8217;ait \u00e9t\u00e9 mis \u00e0 disposition pour rem\u00e9dier \u00e0 la faiblesse, Intel a <a rel=\"nofollow noopener\" href=\"https:\/\/community.intel.com\/t5\/Blogs\/Products-and-Solutions\/Security\/Chips-Salsa-Episode-19-June-2022-Security-Advisories-Hertzbleed\/post\/1392094\" target=\"_blank\">conseill\u00e9<\/a> les d\u00e9veloppeurs cryptographiques suivent son <a rel=\"nofollow noopener\" href=\"https:\/\/www.intel.com\/content\/www\/us\/en\/developer\/articles\/technical\/software-security-guidance\/technical-documentation\/frequency-throttling-side-channel-guidance.html\" target=\"_blank\">conseils<\/a> pour renforcer leurs biblioth\u00e8ques et applications contre la divulgation d&#8217;informations de limitation de fr\u00e9quence.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que de nouvelles m\u00e9thodes sont d\u00e9couvertes pour siphonner les donn\u00e9es des processeurs Intel.  En mars 2021, deux co-auteurs de Hertzbleed ont d\u00e9montr\u00e9 une attaque par canal lat\u00e9ral &#8220;sur puce, cross-core&#8221; ciblant l&#8217;interconnexion en anneau utilis\u00e9e dans les processeurs Intel Coffee Lake et Skylake.<\/p>\n<p>&#8220;La conclusion est que les pratiques actuelles d&#8217;ing\u00e9nierie cryptographique pour \u00e9crire du code en temps constant ne suffisent plus \u00e0 garantir l&#8217;ex\u00e9cution en temps constant des logiciels sur des processeurs modernes \u00e0 fr\u00e9quence variable&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-hertzbleed-side-channel-attack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 r\u00e9cemment d\u00e9couverte dans les processeurs Intel et AMD modernes pourrait permettre \u00e0 des attaquants distants de voler des cl\u00e9s de chiffrement via une attaque par canal d&#8217;alimentation. Doubl\u00e9 Hertzbleed par un groupe de chercheurs de l&#8217;Universit\u00e9 du Texas, de l&#8217;Universit\u00e9 de l&#8217;Illinois Urbana-Champaign et de l&#8217;Universit\u00e9 de Washington, le probl\u00e8me est [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":203049,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1132,23645,1933,15784,4168,4158,4165,4161,78533,23644,4157,4159,4171,4170,15785,65,4167,4160,19414,197,4163,4162,164,13249,4172,4169,378,4166,4164],"class_list":["post-203048","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affecte","tag-amd","tag-attaque","tag-canal","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-hertzbleed","tag-intel","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lateral","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-modernes","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-processeurs","tag-securite-informatique","tag-securite-internet","tag-tous","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/203048","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=203048"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/203048\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/203049"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=203048"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=203048"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=203048"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}