Les acheteurs de PC ont subi des performances dégradées et souhaitent récupérer leur argent
WTF ?! La chute est la plus récente d’une longue série de failles de sécurité découvertes dans les processeurs Intel au cours des dernières années. Selon un nouveau recours collectif, Chipzilla était bien conscient de l’existence de la faille mais a choisi de la garder secrète en vendant des produits vulnérables.
Un recours collectif déposé auprès d’un tribunal fédéral américain à San Jose, en Californie, indique qu’Intel a été informé de la vulnérabilité Downfall en 2018, mais que la société n’a pas résolu le problème dans ses processeurs et que la faille a été redécouverte de manière indépendante en 2023. Intel a quitté les clients disposant de processeurs vulnérables, qui se sont ensuite transformés en produits paralysés en raison de mesures d’atténuation nuisibles aux performances.
Également connue sous le nom de Gather Data Sampling (GDS), Downfall (CVE-2022-40982) est une faille de sécurité affectant les 6e à 11e générations de puces grand public et les 1re à 4e générations de processeurs Xeon Intel x86-64. La faille d’exécution transitoire affecte les instructions Advanced Vector Extensions (AVX) présentes dans les processeurs Intel modernes et peut être exploitée pour révéler le contenu des registres vectoriels.
Des milliards de processeurs Intel utilisés dans des ordinateurs personnels et cloud peuvent être forcés de révéler des données utilisateur secrètes, ont expliqué les chercheurs de Google qui ont découvert la faille. L’instruction CPU AVX « Gather » divulgue le contenu du fichier de registre vectoriel interne lors d’une exécution spéculative, et un acteur malveillant pourrait exploiter la faille pour voler des mots de passe, des clés de cryptage, des informations bancaires, etc.
Selon les cinq plaignants promouvant le nouveau recours collectif, Intel a été informé de Downfall par deux rapports distincts en 2018. La société était alors occupée à traiter les failles Spectre et Meltdown dans son architecture CPU et a apparemment décidé d’ignorer la vulnérabilité Downfall. dans les instructions AVX. De plus, les mises à jour des microcœurs publiées ultérieurement par Intel peuvent ralentir les performances du processeur jusqu’à 50 % pour certaines « tâches informatiques ordinaires », affirme le procès.
Les propriétaires de processeurs Intel modernes (ish) se retrouvent désormais avec des produits défectueux qui sont soit « extrêmement vulnérables » aux attaques, soit doivent être ralentis « au-delà de toute reconnaissance » pour corriger la faille Downfall, indique le recours collectif. Il ne s’agit pas des processeurs achetés par les plaignants, car ils fonctionnent « tout à fait différemment » et valent bien moins.
Intel n’a pas corrigé Downfall pour trois générations supplémentaires de ses puces x86, et désormais les clients qui utilisent des logiciels de retouche photo et vidéo, de jeux et de cryptage doivent payer injustement pour la négligence de l’entreprise. Pire encore, le recours collectif affirme qu’Intel a implémenté des « tampons secrets » liés aux instructions défectueuses d’AVX, mais n’a pas divulgué publiquement leur existence.
Couplés à la vulnérabilité Downfall, ces tampons secrets ont agi comme une porte dérobée dans les processeurs Intel. Un attaquant aurait pu exploiter le défaut de conception pour obtenir des informations sensibles stockées dans la RAM. En 2018, Intel a déclaré publiquement avoir mis en œuvre des correctifs matériels pour Meltdown et Spectre, mais la société était consciente du fait que les instructions AVX permettaient une attaque par canal secondaire similaire. Jusqu’à présent, Intel a refusé de commenter le recours collectif.
