Apple corrige ZombieLoad, la nouvelle faille des processeurs Intel de tous les Mac

Quasiment tous les ordinateurs équipés d’un processeur Intel depuis 2011 sont concernés par la nouvelle faille de sécurité ZombieLoad. Cette vulnérabilité, qui comporte en fait quatre bugs, fait écho aux failles Spectre et Meltdown qui avaient elles aussi affecté de nombreuses puces produites par le fondeur. Cette fois cependant, seuls les processeurs Intel sont touchés, alors que Spectre visait également AMD et Arm.

ZombieLoad est une attaque par canal auxiliaire exploitant les techniques d’exécution spéculative. Celles-ci visent à accélérer les processeurs, qui tentent de deviner l’action à effectuer après une commande, en spéculant sur la nature de cette action.

De fait, ZombieLoad se rapproche de Spectre, puisqu’il s’agit de forcer le processeur à exécuter une commande qu’il ne ferait pas habituellement, et de récupérer ensuite les informations qui ne devraient pas être disponibles.

Cette vulnérabilité permet à un malandrin de récupérer l’historique de navigation web de sa victime, mais cela peut aller encore plus loin, par exemple siphonner des mots de passe et des tokens d’accès aux services web de l’utilisateur. Cette vulnérabilité, dont la référence est CVE-2018-12130, affecte non seulement les ordinateurs Intel, mais aussi les machines virtuelles présentes sur des serveurs.

Les chercheurs proposent sur le site web spécialement créé pour l’occasion le code du proof of concept ainsi qu’un document PDF expliquant par le menu ce dont il retourne. Intel, prévenu il y a un mois, a bouché la faille sur les processeurs vulnérables, à savoir ceux des gammes Xeon, Atom et Knights, ainsi que les puces Broadwell, Sandy Bridge, Skylake, Haswell, Kaby Lake, Coffee Lake, Whiskey Lake et Cascade Lake. Apple, Microsoft, Google et Mozilla ont (ou vont) proposer des correctifs.

À l’instar de Spectre et Meltdown, les correctifs sont susceptibles d’avoir un impact négatif sur les performances des processeurs : une dégradation pouvant aller jusqu’à 3% sur les ordinateurs grand public, jusqu’à 9% sur les serveurs. Étant donné que ni Intel, ni les chercheurs n’ont publié le code source permettant d’exploiter la faille, l’utilisateur lambda n’a normalement rien à craindre. Aucune attaque basée sur ZombieLoad n’a été rapportée.

Le correctif déjà livré par Apple

macOS 10.14.5, dont la version finale est disponible depuis hier, contient précisément un correctif contre ZombieLoad. Apple fournit également ce patch via les mises à jour de sécurité 2019-003 pour Sierra et High Sierra. La faille n’affecte pas les appareils iOS, ni l’Apple Watch.

Le correctif concerne Safari, désormais protégé pour l’exploitation de ZombieLoad via JavaScript ou la navigation sur un site malveillant. Apple relève l’absence d’impact sur les performances du navigateur, et conseille de télécharger des applications uniquement sur le Mac App Store, afin d’éviter l’installation d’un logiciel pouvant être exploité par ZombieLoad.

À la connaissance d’Apple, la faille n’a pas été utilisée par des malandrins. Les utilisateurs de Mac dans des milieux à hauts risques ou qui se servent de logiciels non certifiés par Apple ou le système ont la possibilité d’activer une réduction complète des risques en jouant du Terminal (toutes les infos sont disponibles sur cette note technique).

Cette opération ne peut toutefois être réalisée que sur un Mac sous Mojave, High Sierra ou Sierra, sur lesquels auront été installés au préalable macOS 10.14.5 ou les mises à jour de sécurité 2019-003. Il faut savoir que les performances des Mac sur lesquels cette mesure de réduction complète des risques aura été appliquée sont susceptibles d’être réduites jusqu’à 40%… L’impact le plus important se sentira sur les tâches exploitant intensivement le processeur.

Enfin, si le correctif livré par Apple sur Mojave, High Sierra et Sierra peut s’appliquer sur les Mac plus anciens (MacBook, MacBook Air, MacBook Pro, iMac, Mac mini et Mac Pro sortis entre 2009 et 2010), Intel ne fournit pas de mises à jour du microcode : les processeurs de ces ordinateurs ne sont en effet pas concernés par ZombieLoad.