{"id":19298,"date":"2022-08-22T11:52:27","date_gmt":"2022-08-22T09:52:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19298"},"modified":"2022-08-22T11:52:27","modified_gmt":"2022-08-22T09:52:27","slug":"retbleed-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/retbleed-vulnerability\/19298\/","title":{"rendered":"L’attaque Retbleed, ou le retour de Spectre"},"content":{"rendered":"

Les chercheurs de l\u2019\u00c9cole polytechnique f\u00e9d\u00e9rale de Zurich ont publi\u00e9<\/a> mi-juillet une \u00e9tude qui d\u00e9crit une nouvelle attaque qui exploite les vuln\u00e9rabilit\u00e9s (autrement dit, les fonctionnalit\u00e9s) des processeurs modernes. L\u2019attaque a \u00e9t\u00e9 nomm\u00e9e Retbleed, en r\u00e9f\u00e9rence \u00e0 Retpoline<\/a>, une m\u00e9thode de protection contre un type pr\u00e9cis d\u2019attaque Spectre. Les auteurs ont essentiellement montr\u00e9 que cette technique de compilation de programmes, que l\u2019on consid\u00e9rait comme une solution de protection efficace contre les attaques Spectre de type 2, ne fonctionne qu\u2019occasionnellement ou pas du tout. Cette recherche, tout comme les autres \u00e9tudes sur les vuln\u00e9rabilit\u00e9s du hardware dans les processeurs, est assez complexe. Dans cet article, nous n\u2019allons pas entrer dans les d\u00e9tails techniques de cette \u00e9tude scientifique mais plut\u00f4t d\u00e9crire les r\u00e9sultats en utilisant des termes simples. Commen\u00e7ons avec quelques informations g\u00e9n\u00e9rales pour mieux comprendre le contexte.<\/p>\n

Qu\u2019est-ce que Spectre v2 ? Parlons de la pr\u00e9diction de branchement<\/h2>\n

Il y a plus de quatre ans, d\u00e9but 2018, deux \u00e9tudes ont d\u00e9crit<\/a> les vuln\u00e9rabilit\u00e9s Spectre et Meltdown. Ce sont des vuln\u00e9rabilit\u00e9s mat\u00e9rielles\u00a0: les donn\u00e9es pourraient \u00eatre vol\u00e9es lors d\u2019une attaque \u00e0 cause de la fa\u00e7on dont les processeurs fonctionnent. D\u00e8s lors, plusieurs variantes<\/a> de Spectre ont \u00e9t\u00e9 d\u00e9couvertes. Les chercheurs ont trouv\u00e9 d\u2019autres techniques qui permettent d\u2019attaquer une classe courante de vuln\u00e9rabilit\u00e9s. L\u2019une d\u2019elles consiste \u00e0 utiliser la fonctionnalit\u00e9 par d\u00e9faut du processeur, la \u00ab\u00a0pr\u00e9diction de branchement\u00a0\u00bb, pour r\u00e9aliser l\u2019attaque.<\/p>\n

La pr\u00e9diction de branchement et l\u2019ex\u00e9cution sp\u00e9culative des instructions aident \u00e0 am\u00e9liorer les performances du processeur de fa\u00e7on significative. Dans n\u2019importe quel programme, l\u2019ex\u00e9cution d\u2019autres \u00e9tapes d\u00e9pend du r\u00e9sultat des calculs pr\u00e9c\u00e9dents. L\u2019exemple le plus simple est celui de l\u2019utilisateur qui saisit un mot de passe pour acc\u00e9der \u00e0 des donn\u00e9es confidentielles. Si le mot de passe est correct, l\u2019utilisateur peut voir les donn\u00e9es. Si le mot de passe est incorrect, l\u2019utilisateur doit r\u00e9essayer. En termes d\u2019instructions simples pour le processeur, cela se traduit par une v\u00e9rification des droits d\u2019acc\u00e8s \u00e0 certaines donn\u00e9es dans la RAM. Si les droits n\u00e9cessaires sont confirm\u00e9s, l\u2019acc\u00e8s est autoris\u00e9\u00a0; si non, il est refus\u00e9.<\/p>\n

Le processeur peut r\u00e9aliser des milliards d\u2019op\u00e9rations par seconde, et il est souvent inoccup\u00e9 pendant qu\u2019il v\u00e9rifie une condition, c\u2019est-\u00e0-dire quand il attend que l\u2019utilisateur saisisse un mot de passe ou que les droits d\u2019acc\u00e8s soient v\u00e9rifi\u00e9s. Et s\u2019il utilisait ce temps mort pour calculer en avance ce qui pourrait se passer \u00e0 partir du r\u00e9sultat le plus probable\u00a0? Au moment o\u00f9 notre hypoth\u00e9tique utilisateur saisit son \u00e9ventuel mot de passe, le r\u00e9sultat du calcul est d\u00e9j\u00e0 pr\u00eat et l\u2019utilisateur acc\u00e8de plus rapidement \u00e0 ses donn\u00e9es confidentielles.<\/p>\n

Comment savoir quelle partie du code a plus de probabilit\u00e9 d\u2019\u00eatre ex\u00e9cut\u00e9e\u00a0? Gr\u00e2ce aux statistiques d\u2019ex\u00e9cutions pr\u00e9c\u00e9dentes d\u2019instructions similaires, \u00e9videmment. Voici un exemple purement th\u00e9orique et extr\u00eamement simplifi\u00e9. Si l\u2019utilisateur saisit le bon mot de passe neuf fois sur dix, le syst\u00e8me peut pr\u00e9parer les donn\u00e9es confidentielles en avance. Si le mot de passe est incorrect, il n\u2019a qu\u2019\u00e0 oublier les r\u00e9sultats et mettre un peu plus de temps \u00e0 afficher le message d\u2019erreur.<\/p>\n

Les auteurs de cette \u00e9tude de 2018 ont d\u00e9crit deux variantes des attaques Spectre. La variante 2, aussi connue comme injection cible de branche, entra\u00eene le pr\u00e9dicteur de branchement pour qu\u2019il r\u00e9alise les instructions n\u00e9cessaires, comme en lisant les donn\u00e9es auxquelles le cybercriminel ne devrait pas avoir acc\u00e8s. Oui, ces calculs sont ensuite \u00e9limin\u00e9s, mais le r\u00e9sultat (un renseignement extr\u00eamement sensible) est temporairement stock\u00e9 dans la m\u00e9moire-cache, d\u2019o\u00f9 il peut \u00eatre vol\u00e9.<\/p>\n

Cette attaque est extr\u00eamement complexe. Tout d\u2019abord, le cybercriminel doit pouvoir ex\u00e9cuter un code dans le syst\u00e8me pris pour cible, bien qu\u2019il n\u2019ait pas les privil\u00e8ges d\u00e9sir\u00e9s, c\u2019est-\u00e0-dire sans avoir acc\u00e8s aux donn\u00e9es sensibles. Par exemple, l\u2019utilisateur pourrait ouvrir dans son navigateur un site Internet qui contient un script malveillant. Ensuite, le cybercriminel a besoin de programmes sur le syst\u00e8me pris pour cible, dont un code qui convient \u00e0 l\u2019attaque. C\u2019est ce que les chercheurs appellent un \u00ab\u00a0gadget\u00a0\u00bb. Le code de l\u2019attaque entra\u00eene le syst\u00e8me de pr\u00e9diction de branchement \u00e0 ex\u00e9cuter ce gadget de fa\u00e7on sp\u00e9culative. Cela lui permet d\u2019acc\u00e9der \u00e0 un espace de la m\u00e9moire auquel l\u2019escroc n\u2019a pas acc\u00e8s. Les donn\u00e9es confidentielles sont plac\u00e9es dans la m\u00e9moire-cache du processeur d\u2019o\u00f9 elles peuvent lentement \u00eatre extraites, pas plus d\u2019une dizaine de bits par seconde, en lisant le canal secondaire.<\/p>\n

Essayons de tout expliquer simplement. Le syst\u00e8me de pr\u00e9diction de branchement du processeur ne s\u00e9pare pas les instructions des diff\u00e9rents programmes, et un m\u00eame programme peut \u00eatre utilis\u00e9 pour que le processeur ex\u00e9cute de fa\u00e7on sp\u00e9culative une instruction qu\u2019il n\u2019est pas cens\u00e9 ex\u00e9cuter. Cela n\u2019est pas vraiment un probl\u00e8me puisqu\u2019un programme ne peut pas directement acc\u00e9der aux donn\u00e9es de la m\u00e9moire-cache du processeur. La situation est diff\u00e9rente maintenant que l\u2019on sait que les donn\u00e9es peuvent \u00eatre extraites en lisant les canaux secondaires. Ce m\u00e9canisme est tr\u00e8s complexe puisqu\u2019il faut reconstruire les donn\u00e9es \u00e0 partir des informations obtenues apr\u00e8s avoir analys\u00e9 la rapidit\u00e9 des r\u00e9ponses aux demandes de lecture.<\/p>\n

Attendez. Spectre a \u00e9t\u00e9 d\u00e9couvert en 2018. Ce probl\u00e8me a s\u00fbrement \u00e9t\u00e9 r\u00e9solu, n\u2019est-ce pas\u00a0?<\/h2>\n

Les choses ne sont pas si simples lorsqu\u2019il s\u2019agit de vuln\u00e9rabilit\u00e9s du hardware. Tout d\u2019abord, m\u00eame \u00e0 partir de cette description simplifi\u00e9e, il est \u00e9vident qu\u2019une vuln\u00e9rabilit\u00e9, bien que d\u00e9finitivement bas\u00e9e sur le hardware, a besoin que le programme remplisse certaines conditions pour \u00eatre exploit\u00e9e. Si c\u2019est le cas, pourquoi ne pas simplement corriger le programme\u00a0? C\u2019est beaucoup plus facile \u00e0 faire que de mettre \u00e0 jour le hardware. La vuln\u00e9rabilit\u00e9 du processeur peut aussi \u00eatre partiellement corrig\u00e9e gr\u00e2ce \u00e0 des mises \u00e0 jour du microcode. La sortie d\u2019un nouveau processeur avec un hardware modifi\u00e9 est la seule solution d\u00e9finitive au probl\u00e8me. En attendant, les anciens mod\u00e8les restent compl\u00e8tement ou partiellement vuln\u00e9rables.<\/p>\n

Un autre aspect est crucial lorsque nous \u00e9tudions le contexte de cette \u00e9tude sur Retbleed. Quel serait le co\u00fbt d\u2019un correctif pour un programme ou pour un hardware ? Chaque m\u00e9thode unique de \u00ab\u00a0cl\u00f4ture\u00a0\u00bb de Spectre r\u00e9duit les performances. Par exemple, le syst\u00e8me assez \u00e9vident de sp\u00e9culation indirecte restreinte de branchement (IBRS) introduit des contr\u00f4les d\u2019autorisation suppl\u00e9mentaires pendant l\u2019ex\u00e9cution sp\u00e9culative du code et emp\u00eache les programmes \u00e0 faibles privil\u00e8ges d\u2019acc\u00e9der aux donn\u00e9es sensibles, ce qui rend impossible une attaque Spectre. Pourtant, les performances du processeur vont ind\u00e9niablement baisser \u00e0 cause de ces centaines de milliers ou de millions de v\u00e9rifications. \u00c0 quel point ? Une \u00e9tude<\/a> montre qu\u2019un ensemble de correctifs diff\u00e9rents pour Spectre dans le syst\u00e8me r\u00e9duit jusqu\u2019\u00e0 25 % les performances.<\/p>\n

C\u2019est l\u00e0 que Retpoline<\/a> entre en jeu. Il s\u2019agit d\u2019une m\u00e9thode de protection assez simple contre Spectre propos\u00e9e par les ing\u00e9nieurs de Google et utilis\u00e9e lors de la compilation de programmes. Comme les cr\u00e9ateurs de cette m\u00e9thode le sugg\u00e8rent, la substitution de certaines instructions dans les situations typiques de branchement par d\u2019autres n\u2019affecte pas l\u2019op\u00e9rabilit\u00e9 du programme, alors qu\u2019une attaque Spectre n\u2019est plus possible. Le principal atout de Retpoline par rapport au syst\u00e8me IBRS et \u00e0 d\u2019autres m\u00e9thodes de protection est que les performances ne baissent que l\u00e9g\u00e8rement, pas plus de 5 %.<\/p>\n

Qu\u2019est-ce que l\u2019\u00e9tude sur Retbleed nous apprend ?<\/h2>\n

Sommairement, cette nouvelle \u00e9tude a d\u00e9montr\u00e9 que Retpoline\u2026 ne fonctionne pas\u00a0! Les instructions de retour sur lesquelles la m\u00e9thode Retpoline repose pouvaient aussi \u00eatre exploit\u00e9es gr\u00e2ce \u00e0 une m\u00e9thode l\u00e9g\u00e8rement diff\u00e9rente afin de tromper (ou d\u2019entra\u00eener de fa\u00e7on malveillante) le pr\u00e9dicteur de branchement. Les auteurs ont m\u00eame enregistr\u00e9 une vid\u00e9o pour justifier l\u2019attaque\u00a0:<\/p>\n