{"id":23285,"date":"2025-10-11T16:52:59","date_gmt":"2025-10-11T14:52:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23285"},"modified":"2025-10-10T16:53:36","modified_gmt":"2025-10-10T14:53:36","slug":"phoenix-rowhammer-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/phoenix-rowhammer-attack\/23285\/","title":{"rendered":"Phoenix : une attaque Rowhammer contre la m\u00e9moire DDR5"},"content":{"rendered":"

En septembre\u00a02025, des chercheurs de l\u2019ETH Zurich (l\u2019\u00c9cole polytechnique f\u00e9d\u00e9rale suisse) ont publi\u00e9 un article<\/a> pr\u00e9sentant Phoenix, une variante de l\u2019attaque Rowhammer qui fonctionne sur les modules de m\u00e9moire DDR5. Les auteurs ont non seulement d\u00e9montr\u00e9 l\u2019efficacit\u00e9 de cette nouvelle attaque contre 15\u00a0modules test\u00e9s, mais ont \u00e9galement pr\u00e9sent\u00e9 trois cas d\u2019utilisation pratiques\u00a0: lecture et \u00e9criture de donn\u00e9es \u00e0 partir de la m\u00e9moire, vol d\u2019une cl\u00e9 de chiffrement priv\u00e9e stock\u00e9e dans la m\u00e9moire et contournement des protections de l\u2019utilitaire sudo de Linux pour \u00e9lever les privil\u00e8ges.<\/p>\n

L\u2019attaque Rowhammer\u00a0: un bref historique<\/h2>\n

Pour comprendre cette \u00e9tude assez complexe, nous devons d\u2019abord revenir bri\u00e8vement sur l\u2019histoire de Rowhammer. L\u2019attaque Rowhammer a \u00e9t\u00e9 d\u00e9crite pour la premi\u00e8re fois dans un article de recherche<\/a> publi\u00e9 en 2014. \u00c0 l\u2019\u00e9poque, des chercheurs de l\u2019universit\u00e9 Carnegie Mellon et d\u2019Intel ont d\u00e9montr\u00e9 que l\u2019acc\u00e8s r\u00e9p\u00e9t\u00e9 \u00e0 des rang\u00e9es de cellules m\u00e9moire pouvait entra\u00eener une modification de la valeur des cellules m\u00e9moire adjacentes. Ces cellules voisines pouvaient contenir des donn\u00e9es critiques, dont la modification pouvait avoir de graves cons\u00e9quences (par exemple, l\u2019escalade des privil\u00e8ges).<\/p>\n

Cela s\u2019explique par le fait que chaque cellule d\u2019une puce m\u00e9moire est essentiellement un condensateur\u00a0: un composant simple qui ne peut stocker une charge \u00e9lectrique que pendant un court laps de temps. C\u2019est pourquoi cette m\u00e9moire est volatile\u00a0: \u00e9teignez l\u2019ordinateur ou le serveur, et les donn\u00e9es disparaissent. Pour la m\u00eame raison, la charge dans les cellules doit \u00eatre fr\u00e9quemment rafra\u00eechie, m\u00eame si personne n\u2019acc\u00e8de \u00e0 cette partie de la m\u00e9moire<\/em>.<\/p>\n

Les cellules m\u00e9moire ne sont pas isol\u00e9es. Elles sont organis\u00e9es en lignes et en colonnes, interconnect\u00e9es de mani\u00e8re \u00e0 pouvoir causer des interf\u00e9rences. L\u2019acc\u00e8s \u00e0 une ligne peut avoir une incidence sur une ligne voisine. Par exemple, l\u2019actualisation d\u2019une ligne peut corrompre les donn\u00e9es d\u2019une autre ligne. Pendant des ann\u00e9es, cet effet n\u2019\u00e9tait connu que des fabricants de m\u00e9moires, qui faisaient tout leur possible pour l\u2019att\u00e9nuer afin d\u2019am\u00e9liorer la fiabilit\u00e9. Mais \u00e0 mesure que les cellules sont devenues plus petites et donc plus compactes, l\u2019effet \u00a0\u00bb\u00a0row hammering\u00a0\u00a0\u00bb est devenu exploitable dans des attaques r\u00e9elles.<\/p>\n

Apr\u00e8s la d\u00e9monstration de l\u2019attaque Rowhammer, les d\u00e9veloppeurs de m\u00e9moire ont commenc\u00e9 \u00e0 mettre en place des d\u00e9fenses, ce qui a abouti \u00e0 la technologie mat\u00e9rielle Target Row Refresh (TRR). En th\u00e9orie, la technologie TRR est simple\u00a0: elle surveille les acc\u00e8s agressifs aux lignes et, si elle en d\u00e9tecte, rafra\u00eechit de force les lignes adjacentes. Dans la pratique, ce n\u2019\u00e9tait pas si efficace. En 2021, des chercheurs ont d\u00e9crit l\u2019attaque Blacksmith<\/a>, qui contournait le m\u00e9canisme TRR en utilisant des mod\u00e8les d\u2019acc\u00e8s aux cellules m\u00e9moire plus sophistiqu\u00e9s.<\/p>\n

Les d\u00e9veloppeurs se sont \u00e0 nouveau adapt\u00e9s, en ajoutant des d\u00e9fenses encore plus avanc\u00e9es contre les attaques de type Rowhammer dans les modules DDR5 et en augmentant la fr\u00e9quence de rafra\u00eechissement impos\u00e9e. Afin d\u2019emp\u00eacher davantage de nouvelles attaques, les fabricants ont \u00e9vit\u00e9 de divulguer les contre-mesures mises en place. Cela a conduit beaucoup de gens \u00e0 croire que la technologie DDR5 avait r\u00e9ellement r\u00e9solu le probl\u00e8me Rowhammer. Cependant, l\u2019ann\u00e9e derni\u00e8re, des chercheurs du m\u00eame \u00e9tablissement, ETH Zurich, ont r\u00e9ussi \u00e0 attaquer<\/a> des modules DDR5, mais dans certaines conditions\u00a0: la m\u00e9moire devait \u00eatre associ\u00e9e \u00e0 des processeurs AMD Zen\u00a02 ou Zen\u00a03, et m\u00eame dans ce cas, certains modules n\u2019\u00e9taient pas concern\u00e9s.<\/p>\n

Particularit\u00e9s de la nouvelle attaque<\/h2>\n

Pour d\u00e9velopper l\u2019attaque Phoenix, les chercheurs ont proc\u00e9d\u00e9 \u00e0 une ing\u00e9nierie inverse du m\u00e9canisme TRR. Ils ont analys\u00e9 son comportement selon diff\u00e9rents mod\u00e8les d\u2019acc\u00e8s aux lignes de m\u00e9moire et v\u00e9rifi\u00e9 si la protection se d\u00e9clenchait pour les lignes adjacentes. Il s\u2019est av\u00e9r\u00e9 que le m\u00e9canisme TRR est devenu beaucoup plus complexe et que les mod\u00e8les d\u2019acc\u00e8s connus auparavant ne fonctionnent plus. La protection signale d\u00e9sormais correctement ces mod\u00e8les comme potentiellement dangereux et actualise de force les lignes adjacentes. Par cons\u00e9quent, les chercheurs ont d\u00e9couvert qu\u2019apr\u00e8s 128\u00a0acc\u00e8s \u00e0 la m\u00e9moire contr\u00f4l\u00e9s par la technologie TRR, une \u00a0\u00bb\u00a0p\u00e9riode interm\u00e9diaire\u00a0\u00a0\u00bb de 64\u00a0acc\u00e8s appara\u00eet, pendant laquelle les d\u00e9fenses sont plus faibles. Non pas que le syst\u00e8me de protection \u00e9choue compl\u00e8tement, mais ses r\u00e9ponses sont insuffisantes pour emp\u00eacher une modification de la valeur dans une cellule m\u00e9moire cibl\u00e9e. La deuxi\u00e8me fen\u00eatre appara\u00eet apr\u00e8s avoir acc\u00e9d\u00e9 aux cellules m\u00e9moire au cours de 2\u00a0608\u00a0intervalles de rafra\u00eechissement.<\/p>\n

Les chercheurs ont ensuite \u00e9tudi\u00e9 ces points vuln\u00e9rables en d\u00e9tail afin de mener une attaque tr\u00e8s cibl\u00e9e sur les cellules de m\u00e9moire tout en neutralisant les d\u00e9fenses. Pour faire simple, voici le fonctionnement de l\u2019attaque\u00a0: un code malveillant effectue une s\u00e9rie d\u2019acc\u00e8s factices qui trompent le m\u00e9canisme TRR en lui donnant une fausse impression de s\u00e9curit\u00e9. Ensuite, vient la phase active de l\u2019attaque, qui finit par modifier la valeur de la cellule cible. L\u2019\u00e9quipe a ainsi confirm\u00e9 que l\u2019attaque fonctionnait de mani\u00e8re fiable sur les 15\u00a0modules DDR5 test\u00e9s, fabriqu\u00e9s par SK Hynix, l\u2019un des leaders du march\u00e9.<\/p>\n

Trois sc\u00e9narios d\u2019attaque r\u00e9els<\/h2>\n

Une attaque r\u00e9aliste doit modifier une valeur dans une partie de la m\u00e9moire bien d\u00e9finie, ce qui est compliqu\u00e9. Tout d\u2019abord, un pirate informatique doit disposer de connaissances approfondies sur le logiciel cibl\u00e9. Il doit contourner plusieurs contr\u00f4les de s\u00e9curit\u00e9 conventionnels, et un \u00e9cart d\u2019un ou deux bits seulement peut entra\u00eener un crash du syst\u00e8me plut\u00f4t qu\u2019un piratage r\u00e9ussi.<\/p>\n

Les chercheurs suisses ont entrepris de prouver que l\u2019attaque Phoenix pouvait \u00eatre utilis\u00e9e pour causer des dommages dans le monde r\u00e9el. Ils ont \u00e9tudi\u00e9 trois sc\u00e9narios d\u2019attaque. Le premier (PTE) consistait \u00e0 acc\u00e9der \u00e0 la table des pages afin de cr\u00e9er les conditions permettant la lecture\/\u00e9criture arbitraire des donn\u00e9es RAM. Le deuxi\u00e8me (RSA) visait \u00e0 voler une cl\u00e9 de chiffrement priv\u00e9e RSA-2048 dans la m\u00e9moire. Le troisi\u00e8me (sudo) consistait \u00e0 contourner les protections de l\u2019utilitaire sudo standard de Linux dans le but d\u2019obtenir une \u00e9l\u00e9vation de privil\u00e8ges. Les r\u00e9sultats finaux de l\u2019\u00e9tude sont pr\u00e9sent\u00e9s dans ce tableau\u00a0:<\/p>\n

\"Efficacit\u00e9<\/a>

Efficacit\u00e9 de l\u2019attaque Phoenix. Source<\/a><\/p><\/div>\n

Pour certains modules, la premi\u00e8re variante d\u2019attaque (128\u00a0intervalles de rafra\u00eechissement) s\u2019est av\u00e9r\u00e9e efficace, tandis que pour d\u2019autres, seule la deuxi\u00e8me m\u00e9thode (2\u00a0608\u00a0intervalles) a fonctionn\u00e9. Dans certaines exp\u00e9riences, le vol de cl\u00e9 RSA et les exploits sudo n\u2019ont pas abouti. Cependant, une m\u00e9thode permettant la lecture\/\u00e9criture arbitraire de la m\u00e9moire a \u00e9t\u00e9 d\u00e9couverte pour tous les modules, et le temps d\u2019exploitation \u00e9tait relativement court pour ce type d\u2019attaques, allant d\u2019environ cinq secondes \u00e0 sept minutes. Cela suffit \u00e0 d\u00e9montrer que les attaques Rowhammer constituent un risque r\u00e9el, m\u00eame si elles ne se produisent que dans certains sc\u00e9narios tr\u00e8s pr\u00e9cis.<\/p>\n

Pertinence et contre-mesures<\/h2>\n

L\u2019attaque Phoenix montre que les attaques de type Rowhammer sont aussi efficaces contre les modules DDR5 que contre les modules DDR4 et DDR3. Bien que le test ait port\u00e9 uniquement sur les modules d\u2019un seul fournisseur et que les chercheurs aient d\u00e9couvert une faille relativement simple dans l\u2019algorithme TRR de celui-ci (la faille en question devrait pouvoir \u00eatre facilement corrig\u00e9e), il s\u2019agit d\u2019une avanc\u00e9e consid\u00e9rable dans la recherche sur la s\u00e9curit\u00e9 des modules de m\u00e9moire.<\/p>\n

Les auteurs ont propos\u00e9 plusieurs contre-mesures pour lutter contre les attaques de type Rowhammer. Tout d\u2019abord, r\u00e9duire l\u2019intervalle de rafra\u00eechissement impos\u00e9 \u00e0 toutes les cellules peut consid\u00e9rablement entraver l\u2019attaque. Certes, cette solution peut augmenter la consommation \u00e9lectrique et la temp\u00e9rature de la puce, mais elle est simple \u00e0 mettre en \u0153uvre. Deuxi\u00e8mement, il est possible d\u2019utiliser une m\u00e9moire avec un code de correction d\u2019erreurs (ECC). Ce syst\u00e8me complique les attaques Rowhammer, m\u00eame si, paradoxalement, il ne les rend pas totalement impossibles<\/a>.<\/p>\n

Au-del\u00e0 de ces mesures \u00e9videntes, les auteurs en mentionnent deux autres. La premi\u00e8re est la m\u00e9thode de protection Fine Granularity Refresh, qui est d\u00e9j\u00e0 en cours de d\u00e9ploiement. Int\u00e9gr\u00e9e au contr\u00f4leur m\u00e9moire du processeur, elle modifie le comportement de rafra\u00eechissement des cellules m\u00e9moire afin de r\u00e9sister aux attaques Rowhammer. En ce qui concerne la seconde, les chercheurs appellent les d\u00e9veloppeurs de modules de m\u00e9moire et de puces \u00e0 cesser de s\u2019appuyer sur des mesures de s\u00e9curit\u00e9 propri\u00e9taires (\u00ab\u00a0s\u00e9curit\u00e9 par l\u2019obscurit\u00e9\u00a0\u00bb). Ils recommandent plut\u00f4t d\u2019adopter une approche courante en cryptographie, o\u00f9 les algorithmes de s\u00e9curit\u00e9 sont publiquement disponibles et soumis \u00e0 des tests ind\u00e9pendants.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Des chercheurs suisses ont d\u00e9couvert un moyen d’attaquer les modules de m\u00e9moire DDR5.<\/p>\n","protected":false},"author":665,"featured_media":23287,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[2670,1155,322],"class_list":{"0":"post-23285","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-materiel","10":"tag-memoire","11":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phoenix-rowhammer-attack\/23285\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phoenix-rowhammer-attack\/29700\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phoenix-rowhammer-attack\/24771\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phoenix-rowhammer-attack\/29588\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phoenix-rowhammer-attack\/28647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phoenix-rowhammer-attack\/31534\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phoenix-rowhammer-attack\/30189\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phoenix-rowhammer-attack\/40627\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phoenix-rowhammer-attack\/13876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phoenix-rowhammer-attack\/54528\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phoenix-rowhammer-attack\/24389\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phoenix-rowhammer-attack\/32786\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phoenix-rowhammer-attack\/29803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phoenix-rowhammer-attack\/35532\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phoenix-rowhammer-attack\/35156\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/materiel\/","name":"mat\u00e9riel"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23285"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23285\/revisions"}],"predecessor-version":[{"id":23288,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23285\/revisions\/23288"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23287"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}