Les processeurs de Intel, AMD et d'autres sociétés contiennent une faille de sécurité récemment découverte
ΜDe cette manière, des utilisateurs malveillants peuvent être exploités pour obtenir des clés cryptographiques et d'autres données secrètes transmises via le matériel, ont déclaré mardi des chercheurs.
Les fabricants de matériel savent depuis longtemps que les pirates peuvent extraire des données cryptographiques secrètes d'une puce en mesurant la puissance qu'elle consomme lors du traitement de ces valeurs. Heureusement, les outils d'exploitation des attaques d'analyse de l'alimentation des microprocesseurs sont limités car le facteur de menace dispose de peu de moyens viables pour mesurer à distance la consommation d'énergie lors du traitement de données cryptées. Aujourd'hui, une équipe de chercheurs a trouvé un moyen de transformer les attaques d'analyse de puissance en une autre catégorie d'exploitation des canaux secondaires beaucoup moins exigeante.
L'équipe a découvert que la mise à l'échelle dynamique de la tension et de la fréquence (DVFS) - une fonctionnalité de gestion de l'alimentation et de la chaleur ajoutée à chaque processeur moderne - permet aux intrus de calculer les changements de consommation d'énergie en surveillant attentivement le temps nécessaire à un serveur pour répondre à des requêtes spécifiques. La découverte réduit considérablement le temps nécessaire.
En comprenant le fonctionnement de DVFS, les attaques par canal de puissance latéral deviennent des attaques beaucoup plus simples qui peuvent être effectuées à distance. Les chercheurs ont nommé leur attaque Hertzbleed car elle utilise les informations DVFS pour exposer - ou voler - des données censées rester privées.
La vulnérabilité est surveillée comme CVE-2022-24436 pour les jetons Intel et CVE-2022-23823 pour processeurs AMD. Les chercheurs ont déjà montré comment la technique d'exploitation qu'ils ont développée peut être utilisée pour extraire une clé de chiffrement d'un serveur exécutant SIKE, un algorithme cryptographique utilisé pour créer une clé secrète entre deux parties via un canal de communication autrement non sécurisé.
N'oubliez pas de le suivre Xiaomi-miui.gr à Google Actualités pour être informé immédiatement de tous nos nouveaux articles ! Vous pouvez aussi si vous utilisez un lecteur RSS, ajouter notre page à votre liste, simplement en suivant ce lien >> https://news.xiaomi-miui.gr/feed/gn
Suivez-nous sur Telegram pour que vous soyez les premiers informés de toutes nos actualités !
