{"id":23236,"date":"2025-10-01T11:06:36","date_gmt":"2025-10-01T09:06:36","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23236"},"modified":"2025-10-01T11:06:36","modified_gmt":"2025-10-01T09:06:36","slug":"vmscape-spectre-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vmscape-spectre-attack\/23236\/","title":{"rendered":"\u00c9vasion d’une machine virtuelle lors d’une attaque Spectre v2"},"content":{"rendered":"

Une \u00e9quipe de chercheurs de l\u2019\u00c9cole polytechnique f\u00e9d\u00e9rale de Zurich (ETH Zurich) a publi\u00e9 un article de recherche<\/a> d\u00e9montrant comment une attaque Spectre\u00a0v2 peut \u00eatre utilis\u00e9e pour contourner une sandbox dans un environnement virtualis\u00e9. Avec l\u2019acc\u00e8s \u00e0 une seule machine virtuelle isol\u00e9e, les chercheurs ont \u00e9t\u00e9 en mesure de voler des donn\u00e9es pr\u00e9cieuses normalement accessibles uniquement \u00e0 l\u2019administrateur du serveur. Les serveurs \u00e9quip\u00e9s de processeurs AMD (y compris les plus r\u00e9cents, dot\u00e9s de l\u2019architecture Zen\u00a05) ou Intel Coffee Lake sont vuln\u00e9rables \u00e0 cette attaque.<\/p>\n

Le danger des attaques Spectre pour les environnements virtuels<\/h2>\n

Nous abordons r\u00e9guli\u00e8rement le sujet des vuln\u00e9rabilit\u00e9s des processeurs qui utilisent l\u2019ex\u00e9cution sp\u00e9culative, une technique qui exploite les fonctionnalit\u00e9s mat\u00e9rielles standard pour voler des donn\u00e9es secr\u00e8tes. Vous pouvez retrouver nos pr\u00e9c\u00e9dents articles sur ce sujet, qui d\u00e9crivent en d\u00e9tail les principes g\u00e9n\u00e9raux de ces attaques, ici<\/a>, ici<\/a> ou encore ici<\/a>.<\/p>\n

Bien que ce type de vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 d\u00e9couvert pour la premi\u00e8re fois en 2018, jusqu\u2019\u00e0 la publication de cet article, les chercheurs n\u2019avaient pas encore d\u00e9montr\u00e9 une seule attaque concr\u00e8te. Tous leurs efforts ont abouti \u00e0 la conclusion que, th\u00e9oriquement, une attaque complexe et cibl\u00e9e de type Spectre est possible. De plus, dans la plupart de ces articles, les chercheurs se sont limit\u00e9s au sc\u00e9nario d\u2019attaque le plus basique\u00a0: ils prenaient un ordinateur, y installaient un programme malveillant, puis exploitaient la vuln\u00e9rabilit\u00e9 mat\u00e9rielle du processeur pour voler des donn\u00e9es secr\u00e8tes. L\u2019inconv\u00e9nient de cette approche est que si un pirate parvient \u00e0 installer un programme malveillant sur un ordinateur, il peut voler des donn\u00e9es par de nombreuses autres m\u00e9thodes bien plus simples. De ce fait, Spectre et les attaques similaires ne sont pas susceptibles de constituer une menace pour les appareils des utilisateurs finaux. Par contre, pour ce qui est des environnements cloud, il ne faut pas sous-estimer Spectre.<\/p>\n

Imaginez un fournisseur qui loue des serveurs virtuels \u00e0 des organisations ou \u00e0 des particuliers. Chaque client se voit attribuer sa propre machine virtuelle, ce qui lui permet d\u2019ex\u00e9cuter tous les logiciels de son choix. Les syst\u00e8mes virtuels d\u2019autres clients peuvent fonctionner sur le m\u00eame serveur. Dans cette situation, il est essentiel de s\u00e9parer les privil\u00e8ges d\u2019acc\u00e8s aux donn\u00e9es. Il faut emp\u00eacher un pirate informatique qui a r\u00e9ussi \u00e0 acc\u00e9der \u00e0 une machine virtuelle de lire les donn\u00e9es confidentielles d\u2019un client adjacent ou de compromettre l\u2019infrastructure du fournisseur en acc\u00e9dant aux donn\u00e9es de l\u2019h\u00f4te. C\u2019est pr\u00e9cis\u00e9ment dans ce sc\u00e9nario que les attaques Spectre commencent \u00e0 repr\u00e9senter une menace nettement plus dangereuse.<\/p>\n

VMScape\u00a0: aper\u00e7u pratique d\u2019une attaque Spectre\u00a0v2<\/h2>\n

Dans les pr\u00e9c\u00e9dents articles de recherche sur la faisabilit\u00e9 de l\u2019attaque Spectre, les chercheurs ne se sont pas pench\u00e9s sur un sc\u00e9nario d\u2019attaque r\u00e9aliste. Pour un travail acad\u00e9mique, c\u2019est normal. Une d\u00e9monstration de faisabilit\u00e9 th\u00e9orique d\u2019une fuite de donn\u00e9es suffit g\u00e9n\u00e9ralement pour inciter les fabricants de processeurs et les d\u00e9veloppeurs de logiciels \u00e0 renforcer leurs d\u00e9fenses et \u00e0 mettre au point des contre-mesures.<\/p>\n

Les auteurs du nouvel article publi\u00e9 par l\u2019universit\u00e9 ETH Zurich abordent directement cette faille, soulignant que les sc\u00e9narios d\u2019attaques contre des environnements virtualis\u00e9s pr\u00e9c\u00e9demment examin\u00e9s, comme ceux pr\u00e9sent\u00e9s dans cet article<\/a>, \u00e9galement publi\u00e9 par ETH Zurich, reposaient sur une hypoth\u00e8se tr\u00e8s large, selon laquelle les pirates avaient d\u00e9j\u00e0 r\u00e9ussi \u00e0 installer un programme malveillant sur l\u2019h\u00f4te. Tout comme pour les attaques contre les ordinateurs de bureau classiques, cela n\u2019a pas beaucoup de sens d\u2019un point de vue pratique. Si le serveur est d\u00e9j\u00e0 compromis, le mal est d\u00e9j\u00e0 fait.<\/p>\n

La nouvelle attaque pr\u00e9sent\u00e9e dans leur article, baptis\u00e9e VMScape, utilise le m\u00eame m\u00e9canisme d\u2019injection de cible de branche<\/em> que celui utilis\u00e9 dans toutes les attaques depuis Spectre\u00a0v2. Nous avons d\u00e9j\u00e0<\/a> abord\u00e9 ce sujet \u00e0 plusieurs reprises, mais voici un bref r\u00e9sum\u00e9.<\/p>\n

L\u2019injection de cible de branche est un moyen d\u2019entra\u00eener le syst\u00e8me de pr\u00e9diction de branche d\u2019un processeur, qui acc\u00e9l\u00e8re les programmes en utilisant l\u2019ex\u00e9cution sp\u00e9culative<\/em>. Cela signifie que le processeur tente d\u2019ex\u00e9cuter la s\u00e9rie de commandes suivante avant m\u00eame de conna\u00eetre les r\u00e9sultats des calculs pr\u00e9c\u00e9dents. Si celui-ci devine la bonne direction (branche) \u00e0 prendre, ses performances augmentent consid\u00e9rablement. S\u2019il se trompe, les r\u00e9sultats sont simplement ignor\u00e9s.<\/p>\n

L\u2019injection de cible de branche est une attaque au cours de laquelle un pirate informatique peut tromper le processeur en lui faisant acc\u00e9der \u00e0 des donn\u00e9es secr\u00e8tes et les d\u00e9placer dans le cache lors d\u2019une ex\u00e9cution sp\u00e9culative. Le pirate r\u00e9cup\u00e8re ensuite ces donn\u00e9es indirectement via un canal secondaire.<\/p>\n

Les chercheurs ont d\u00e9couvert que la s\u00e9paration des privil\u00e8ges entre les syst\u00e8mes d\u2019exploitation h\u00f4te et invit\u00e9 pendant l\u2019ex\u00e9cution sp\u00e9culative est imparfaite. Cette situation permet une nouvelle version de l\u2019attaque par injection de cible de branche, qui a \u00e9t\u00e9 baptis\u00e9e \u00ab\u00a0Virtualization-based Spectre-BTI\u00a0\u00bb ou vBTI.<\/p>\n

Les chercheurs ont ainsi pu lire des donn\u00e9es arbitraires dans la m\u00e9moire de l\u2019h\u00f4te alors qu\u2019ils n\u2019avaient acc\u00e8s qu\u2019\u00e0 une machine virtuelle avec des param\u00e8tres par d\u00e9faut. La vitesse de lecture des donn\u00e9es \u00e9tait de 32\u00a0octets par seconde sur un processeur AMD Zen 4, avec une fiabilit\u00e9 proche de 100\u00a0%. Cette vitesse est suffisante pour voler des donn\u00e9es telles que les cl\u00e9s de chiffrement, ce qui ouvre la voie au vol d\u2019informations provenant de machines virtuelles adjacentes.<\/p>\n

VMScape repr\u00e9sente-t-il une menace dans le monde r\u00e9el\u00a0?<\/h2>\n

Les processeurs AMD dot\u00e9s de l\u2019architecture Zen, de la premi\u00e8re \u00e0 la cinqui\u00e8me g\u00e9n\u00e9ration, se sont r\u00e9v\u00e9l\u00e9s vuln\u00e9rables \u00e0 cette attaque. Ce probl\u00e8me s\u2019explique par les diff\u00e9rences subtiles dans la fa\u00e7on dont ces processeurs mettent en \u0153uvre les protections contre les attaques Spectre, ainsi que par le fonctionnement unique des primitives vBTI des auteurs. Dans le cas des processeurs Intel, cette attaque n\u2019est possible que sur les serveurs \u00e9quip\u00e9s d\u2019anciens processeurs Coffee Lake datant de 2017. Les nouvelles architectures Intel disposent de protections am\u00e9lior\u00e9es qui rendent impossible le lancement de l\u2019attaque VMScape dans sa version actuelle.<\/p>\n

Les chercheurs ont r\u00e9ussi \u00e0 concevoir la toute premi\u00e8re attaque Spectre\u00a0v2 dans un environnement virtuel proche des conditions r\u00e9elles. Elle ne fait pas appel \u00e0 des hypoth\u00e8ses d\u2019autorisation trop \u00e9lev\u00e9es ni \u00e0 des artifices, tels que des logiciels malveillants au niveau de l\u2019hyperviseur. L\u2019attaque VMScape est efficace. Elle contourne de nombreuses mesures de s\u00e9curit\u00e9 standard, y compris KASLR, et parvient \u00e0 voler une donn\u00e9e secr\u00e8te pr\u00e9cieuse\u00a0: une cl\u00e9 de chiffrement.<\/p>\n

Heureusement, imm\u00e9diatement apr\u00e8s avoir con\u00e7u l\u2019attaque, les chercheurs ont \u00e9galement propos\u00e9 un correctif. La vuln\u00e9rabilit\u00e9 en question est connue sous le code CVE-2025-40300<\/a> et a \u00e9t\u00e9 \u00e9limin\u00e9e par un correctif dans le noyau Linux. Ce correctif en particulier n\u2019a pas d\u2019impact important sur les performances informatiques, ce qui est souvent un point sensible des protections logicielles contre les attaques Spectre.<\/p>\n

Les m\u00e9thodes de protection des donn\u00e9es confidentielles dans les environnements virtuels existent depuis un certain temps d\u00e9j\u00e0. AMD dispose d\u2019une technologie appel\u00e9e \u00ab\u00a0Secure Encrypted Virtualization\u00a0\u00bb et de son sous-type, SEV-SNP<\/a>, tandis qu\u2019Intel dispose de la technologie Trusted Domain Extensions (TDX). Ces technologies permettent de chiffrer les donn\u00e9es secr\u00e8tes, rendant inutile toute tentative de vol direct. Les chercheurs ont confirm\u00e9 que la technologie SEV offre une protection suppl\u00e9mentaire contre l\u2019attaque VMScape sur les processeurs AMD. Autrement dit, une attaque VMScape r\u00e9elle contre des serveurs modernes est peu probable. Cependant, chaque nouvelle \u00e9tude r\u00e9v\u00e8le que les attaques Spectre deviennent de plus en plus r\u00e9elles.<\/p>\n

Malgr\u00e9 la nature acad\u00e9mique de la recherche, les attaques qui exploitent l\u2019ex\u00e9cution sp\u00e9culative dans les processeurs modernes restent d\u2019actualit\u00e9. Les op\u00e9rateurs d\u2019environnements virtualis\u00e9s doivent continuer \u00e0 prendre en compte ces vuln\u00e9rabilit\u00e9s et ces attaques potentielles dans leurs mod\u00e8les de menaces.<\/p>\nKaspersky Next<\/a>\n","protected":false},"excerpt":{"rendered":"

Une nouvelle \u00e9tude r\u00e9v\u00e8le comment les vuln\u00e9rabilit\u00e9s complexes des processeurs peuvent \u00eatre exploit\u00e9es dans le cadre d’attaques tr\u00e8s cibl\u00e9es contre les syst\u00e8mes bas\u00e9s sur le cloud.<\/p>\n","protected":false},"author":665,"featured_media":23238,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[41,4558,3317,2880],"class_list":{"0":"post-23236","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attaque","11":"tag-attaques-par-canal-auxiliaire","12":"tag-processeur","13":"tag-virtualisation"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vmscape-spectre-attack\/23236\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vmscape-spectre-attack\/29570\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vmscape-spectre-attack\/24667\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/vmscape-spectre-attack\/12839\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vmscape-spectre-attack\/29496\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vmscape-spectre-attack\/28594\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vmscape-spectre-attack\/31467\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vmscape-spectre-attack\/30137\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vmscape-spectre-attack\/40550\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vmscape-spectre-attack\/13821\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vmscape-spectre-attack\/54377\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vmscape-spectre-attack\/24307\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vmscape-spectre-attack\/29671\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vmscape-spectre-attack\/35423\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vmscape-spectre-attack\/35051\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/attaque\/","name":"attaque"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23236","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23236"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23236\/revisions"}],"predecessor-version":[{"id":23240,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23236\/revisions\/23240"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23238"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}