IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les processeurs Intel x86 souffrent d’un défaut de conception


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 497
    Points : 78 606
    Points
    78 606
    Billets dans le blog
    2
    Par défaut Les processeurs Intel x86 souffrent d’un défaut de conception
    Les processeurs Intel x86 souffrent d’un défaut de conception
    Qui permet à un attaquant d’installer un logiciel malveillant dans l’espace protégé des puces

    Christopher Domas, un chercheur en sécurité a révélé l’existence d’un défaut de conception grave qui affecte les processeurs Intel basés sur l’architecture x86, depuis près de deux décennies. A la conférence Black Hat pour les hackers, le chercheur a présenté une preuve de concept dans laquelle il a montré comment exploiter ce défaut pour installer des rootkits dans le System Management Mode (SMM), l’espace protégé de la puce. Il s’agit d’une réelle menace dans la mesure où le SMM gère la sécurité au niveau du firmware, et la portée est très grande puisque cela concerne l’ensemble des processeurs Intel fabriqués avant l’année 2010.

    Le défaut en lui-même n’est toutefois pas une menace, mais si un attaquant arrive à avoir les privilèges administrateurs sur votre machine, il peut l’exploiter et installer un logiciel malveillant dans la zone protégée de la puce. Dès ce moment, le malware devient invisible sur la machine et peut sévèrement compromettre le système. Le chercheur évoque par exemple la possibilité d’endommager le système BIOS. Le malware devient aussi persistant sur la machine de sorte à infecter à nouveau le PC après la réinstallation de votre système.


    La fabricant de puces a été informé et a publié des mises à jour pour certains de ses processeurs. S’il faut encore espérer que les mises à jour ne seront pas ignorées par les utilisateurs, il faut également noter que ceux qui utilisent des puces pour lesquelles aucune mise à jour n’a été publiée resteront toujours exposés. Pour ces derniers, il est conseillé de passer à un processeur plus récent, puisque le problème semble être difficile voire impossible à corriger.

    Sans pour autant faire de démonstration de faisabilité pour les processeurs AMD, Christopher Domas pense qu’ils pourraient être aussi affectés par ce défaut de conception puisqu’ils sont également basés sur l’architecture x86.

    Source : Black Hat

    Et vous ?

    Utilisez-vous un processeur Intel x86 ? Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de DonQuiche
    Inscrit en
    septembre 2010
    Messages
    2 741
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 2 741
    Points : 5 459
    Points
    5 459
    Par défaut
    Précisons que la faille n'est exploitable que depuis un code en ring 0 (pilote graphique, os, etc) et permet une escalade du niveau de privilèges vers les niveaux -1 (hyperviseur) et -2 (SMM).

    L'intérêt est donc surtout pour un malware qui aurait déjà réussi à se placer en ring0 par d'autres moyens. Il pourrait ainsi contaminer le matériel, comme expliqué dans l'article.

  3. #3
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    772
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 772
    Points : 2 679
    Points
    2 679
    Par défaut
    Faille de sécurite, ou backdoor gouvernemental ? Parce qu'il faut quand-même que le système soit largement corrompu avant de pouvoir aller planquer un code dans cette partie d'une machine.

  4. #4
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Il s'agit des CPUs jusqu'à 2010 ou de tous les CPUs Intel (et potentiellement AMD) ?
    Contrairement à la news, la sources n'indiquent pas cette information. En tout cas, j'ignorais l'existence des anneaux négatifs.

    Citation Envoyé par 23JFK Voir le message
    Faille de sécurite, ou backdoor gouvernemental ? Parce qu'il faut quand-même que le système soit largement corrompu avant de pouvoir aller planquer un code dans cette partie d'une machine.
    Oué enfin ce n'est jamais plus qu'une élévation de privilège avant d’exécuter du code en ring 0 pour exploiter la faille... Et il n'y a pas besoin d'exploit pour les 99% d'utilisateurs qui ne regardent pas ce qu'ils exécutent. Je sais bien que c'est la mode d'accuser la NSA à la moindre faille mais quand même.

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 946
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 946
    Points : 26 934
    Points
    26 934
    Par défaut
    Par contre, j'ai pas compris comment le malware peut devenir persistent, il se grave lui-même sur la puce du processseur ?
    Je savais pas que les processeurs actuels avaient du Soft-On-Chip.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  6. #6
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 711
    Points : 4 417
    Points
    4 417
    Par défaut
    Citation Envoyé par Squisqui Voir le message
    Il s'agit des CPUs jusqu'à 2010 ou de tous les CPUs Intel (et potentiellement AMD) ?
    Intel
    Fixed on latest generations (Sandy Bridge / Atom 2013)

    AMD
    Analysis in progress
    https://www.blackhat.com/docs/us-15/...Escalation.pdf (page 146)

  7. #7
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    9 465
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 9 465
    Points : 13 463
    Points
    13 463
    Par défaut
    Salut,

    Citation Envoyé par sevyc64 Voir le message
    Par contre, j'ai pas compris comment le malware peut devenir persistent, il se grave lui-même sur la puce du processseur ?
    Je savais pas que les processeurs actuels avaient du Soft-On-Chip.
    Tu penses à ça ? :
    Citation Envoyé par Michael Guilloux Voir le message
    si un attaquant arrive à avoir les privilèges administrateurs sur votre machine, il peut l’exploiter et installer un logiciel malveillant dans la zone protégée de la puce.
    Problème de traduction, peut-être ?
    Perso je verrais plutôt ça :
    Citation Envoyé par Michael Guilloux Voir le message
    Le chercheur évoque par exemple la possibilité d’endommager le système BIOS.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 946
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 946
    Points : 26 934
    Points
    26 934
    Par défaut
    Je pense surtout à ça
    Le malware devient aussi persistant sur la machine de sorte à infecter à nouveau le PC après avoir la réinstallation de votre système.
    Je ne vois effectivement que 2 possibilités, le bios, ou alors comme suggéré par cette traduction, écrit directement dans la puce du processeur, chose que j'ignorais possible.
    Si c'est le bios, un flash de celui-ci devrait pouvoir enlever le malware.

    Mais il est vrai que je ne suis pas aller lire la source pour me faire ma propre traduction
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  9. #9
    Invité
    Invité(e)
    Par défaut
    Du pdf que je viens de lire: https://www.blackhat.com/docs/us-15/...Escalation.pdf (j'en ai survolé que 70%) j'ai retenu juste une reprogrammation de A à Z du système d'exploitation visé, le fait que l'on peut écrire un logiciel dans le CPU est un fake, il est bien traité dans le pdf que l'on ne fait que joujou avec la table APIC, le registre msr et cr. du CPU, la GDT, les interruptions, la pagination, ect.

    Les seules plages mémoire writeable concerne des registres et aucunement de firmware, dans le CPU.


    En gros tout cela est une initiation un peu hard à la programmation d'OS.

    Je ne me connais pas assez dans la programmation d'OS pour savoir quel est le trou de sécurité dans ce système du CPU pour aider à construire l'OS, mais il est clair qu'il suffit juste d'avoir accès aux instructions et registres pour OS (ring 0) tels que wrmsr, wrmsr, lgdt, controller register ... pour remodéliser l'OS à son image.

    Pour une assistance à la compréhension de cette magie noire: http://www.intel.com/content/www/us/...r-manuals.html (surtout les vol. 1 3A 3B 3C)

    Et je suis sûr qu'intel à déjà découvert cette faille, d'ailleurs je vois pas pourquoi intel serait exempt de faille, sauf qu'eux, ils les gardent secrets probablement, mais avec tous les mécanismes de sécurité que le CPU a à offrir pour la prog d'OS (et il y en a déjà énormément et à venir: https://software.intel.com/en-us/isa-extensions), ce genre de "scandale" est un peu à la ramasse, une simple broutille que les ingénieurs d'intel ont voulu garder secrète, mais qu'un chercheur externe à découvert

    J'admets que je suis un peu sec vis-à-vis de ses recherches, mais un éclaircissement est, selon moi indispensable, car le hacking est bien trop souvent couvert de zone d'ombres.
    Sinon je n’ai rien à redire, ses recherches sont vraiment bien (surtout le pdf et de plus le code asm est en syntaxe intel/nasm ^^ ) .

    D'ailleurs, je ne veux pas tomber dans le troll mais c'est à cause de ce genre de personne qu'Intel oriente ses procs vers de la 100% sécurité dans la gestion de mécanisme interne d'OS, provocant ainsi des protocoles additionnels qui plombent forcément la performance du CPU.


    Sinon cela me fait plaisir qu'intel s'invite un peu dans les news de dvp ^-^
    Dernière modification par Invité ; 11/08/2015 à 10h45.

  10. #10
    MikeRowSoft
    Invité(e)
    Par défaut
    Aucun nom de virus, rootkit ou autres exploitant cela n'a été divulgé, j'espère que ça va durer.
    Il y a un driver pour le chipset (ayant la mémoire du B.I.O.S. dans certain cas)?

  11. #11
    Invité
    Invité(e)
    Par défaut
    Il y a des drivers pour tout hardware (CPU (pagination, mode d'adressage ..) y compris), du moment qu'on peut le configurer avec la méthode PMIO ou MMIO (https://en.wikipedia.org/wiki/Memory-mapped_I/O) ou directement pour le cpu avec des instructions, sauf que certains sont internes à l'OS, comme pour la gestion des features du CPU et aussi ton chipset (surement, je ne me suis jamais intéressé au chipset lors de la prog d'OS).

  12. #12
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 711
    Points : 4 417
    Points
    4 417
    Par défaut
    Citation Envoyé par shaynox Voir le message
    Et je suis sûr qu'intel à déjà découvert cette faille, d'ailleurs je vois pas pourquoi intel serait exempt de faille, sauf qu'eux, ils les gardent secrets probablement, mais avec tous les mécanismes de sécurité que le CPU a à offrir pour la prog d'OS (et il y en a déjà énormément et à venir: https://software.intel.com/en-us/isa-extensions), ce genre de "scandale" est un peu à la ramasse, une simple broutille que les ingénieurs d'intel ont voulu garder secrète, mais qu'un chercheur externe à découvert
    Oui, ils l'ont très certainement trouvé vu que ça été corrigé avec Sandy Bridge, mais annoncer "une faille est présente dans tous nos CPUs depuis 20 ans, c'est une faille au niveau matériel donc pas de patch possible" c'est du suicide commercial.

    Leur PDF est très intéressant en tout cas (ok, j'ai pas tout compris mais j'ai saisi le principal, je pense ).
    Assez étonnant de voir qu'à la base c'est quelque chose d’extrêmement simple : une zone mémoire (SMRAM) réservé au SMM et invisible pour le reste, mais il est possible de remapper des trucs (au moins un gestionnaire d'exceptions) dessus.

  13. #13
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 998
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 998
    Points : 8 307
    Points
    8 307
    Par défaut
    Citation Envoyé par MikeRowSoft Voir le message
    Aucun nom de virus, rootkit ou autres exploitant cela n'a été divulgé, j'espère que ça va durer.
    ce qui ne veut pas dire que ça n'existe pas et que personne ne bosse dessus

    http://www.ssi.gouv.fr/uploads/IMG/pdf/Cansec_final.pdf (2009)
    http://phrack.com/issues/65/7.html (2008)

  14. #14
    Invité
    Invité(e)
    Par défaut
    Ta zone mémoire se trouve dans la RAM x) elle est seulement dite invisible, car lors de la mise en place du système de pagination, les devs de MS ne l'a pas rendu readable, cette zone, mais cela ne veux pas dire qu'elle invisible comme on peut l'entendre.
    Juste que les adresses que l'on manipule sur un windows, sont justes des adresses qui seront transformées par une unité dédiée (MMU) pour ça, en une autre, puis le cpu travaille avec cette adresse traduite.

    Donc si tu remodélises le système de pagination avec des instructions et registres adéquate, réservée au kernel, tu peux la rendre visible et pouvoir écrire dessus.
    Dernière modification par Invité ; 11/08/2015 à 11h52.

  15. #15
    Membre éprouvé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    581
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 581
    Points : 1 092
    Points
    1 092
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Si c'est le bios, un flash de celui-ci devrait pouvoir enlever le malware.
    Euh, il ne faut pas entrer par le BIOS pour flasher le BIOS, par hasard, pour par exemple activer le reprogrammeur d'eprom ou un truc comme ça ? S'il est astucieusement modifié, il n'est plus flashable.
    Il y a du soft dans les µprocs, le microcode (aka firmware), qui jadis était "en dur" mais ne l'est plus depuis longtemps.
    Voir ici de vieilles infos par exemple.
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  16. #16
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 341
    Points : 1 473
    Points
    1 473
    Par défaut
    Certaines CM se flashent sans passer ni par l'OS ni le BIOS, simplement avec une manipu sur la carte mère avec une clé USB préparé à l'avance
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  17. #17
    MikeRowSoft
    Invité(e)
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    ce qui ne veut pas dire que ça n'existe pas et que personne ne bosse dessus

    http://www.ssi.gouv.fr/uploads/IMG/pdf/Cansec_final.pdf (2009)
    http://phrack.com/issues/65/7.html (2008)
    Sa ne porte pas le même nom, mais est pourtant légal.

    Citation Envoyé par shaynox Voir le message
    Il y a des drivers pour tout hardware (CPU (pagination, mode d'adressage ..) y compris), du moment qu'on peut le configurer avec la méthode PMIO ou MMIO (https://en.wikipedia.org/wiki/Memory-mapped_I/O) ou directement pour le cpu avec des instructions, sauf que certains sont internes à l'OS, comme pour la gestion des features du CPU et aussi ton chipset (surement, je ne me suis jamais intéressé au chipset lors de la prog d'OS).
    Tu aurais pu m'éviter le fait de déterrer des adresses mémoires en lecture et écriture qui ne sont pas efficace même face à Win CIH 95...
    B.I.O.S. complètement effaçable sans mémoire B.I.O.S. lecture seule (usine) et lecture écriture (update, upgrade, password B.I.O.S.{non volatile activable et modifiable par O.S. et B.I.O.S.(avec message pour aider à ce rappeler du "mot de passe" si possible})
    Le pire est une horloge qui laisse les O.S. faire tous se qu'ils veulent, horloge qui est la même pour tous les périphérique de la carte-mère, et avec reset activable (la question du besoin de datation {date} absolument partout même au détriment des numéros de versions n'est vraiment pas justifiables. Même pour le réseau, encore beaucoup moins fiable qu'un routeur ou switch en matière de journalisation(fichier log la plus par du temps).
    Et se n'est que le début...
    Dernière modification par MikeRowSoft ; 13/08/2015 à 12h53.

  18. #18
    Membre éclairé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    février 2010
    Messages
    238
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 238
    Points : 863
    Points
    863
    Par défaut
    Une faille dites vous ?

    Je m'étonne que cela soit seulement possible.
    une zone programmable dans un CPU dites-vous ?

    POUR QUOI FAIRE bordel ?

    Il y a du soft dans les µprocs, le microcode (aka firmware), qui jadis était "en dur" mais ne l'est plus depuis longtemps.
    Et sérieusement, ça sert à quoi à part du hack ?

  19. #19
    Invité
    Invité(e)
    Par défaut
    A mon avis, il faudrait lire la doc intel pour savoir, mais bon même si je n'ai pas tout lu (beaucoup survolé), je n'ai jamais vu de telles features dans la doc pour l'instant (chapitre consacré).

  20. #20
    Expert confirmé Avatar de DonQuiche
    Inscrit en
    septembre 2010
    Messages
    2 741
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 2 741
    Points : 5 459
    Points
    5 459
    Par défaut
    Citation Envoyé par pcdwarf Voir le message
    Une faille dites vous ?

    Je m'étonne que cela soit seulement possible.
    une zone programmable dans un CPU dites-vous ?

    POUR QUOI FAIRE bordel ?


    Et sérieusement, ça sert à quoi à part du hack ?
    A mettre à jour le CPU en cas de bogue, tout particulièrement en cas de faille de sécurité. Ça coûte moins cher que de rappeler et remplacer un milliard de processeurs. Sans parler des centaines de millions qui ne seraient jamais renvoyés et demeureraient vulnérables.

    Je rappelle quand même qu'un CPU moderne compte plusieurs milliards de transistors, que son fonctionnement est par nature asynchrone (à l'instant t on gère le résultat d'opérations démarrées à t-1, t-2, t-5, t -20 et t-50), et que malgré cela les bogues y sont très rares en comparaison du logiciel. Mais pour les rares fois où les constructeurs se plantent il y a un firmware patchable.

Discussions similaires

  1. Réponses: 13
    Dernier message: 07/12/2011, 10h54
  2. Réponses: 0
    Dernier message: 15/09/2011, 00h15
  3. Intel lance les processeurs Xeon E3 et Xeon E7 Westmere-EX
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 06/04/2011, 14h29
  4. Réponses: 1
    Dernier message: 26/03/2010, 16h42
  5. Roadmap : Les détails sur les futurs plans pour les processeurs Intel
    Par Pierre Louis Chevalier dans le forum Actualités
    Réponses: 0
    Dernier message: 14/07/2009, 05h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo