Troisième faille critique touchant les puces Intel ! Après Spectre et Meltdown découverts en janvier, voici qu’un nouveau scandale de sécurité pointe.
Baptisée Foreshadow par les chercheurs l’ayant découverte, cette nouvelle vulnérabilité permettrait, selon le géant américain du semi-conducteur, à des attaquants d’accéder à des informations censées être contenues dans des coffres-forts virtuels sécurisés (accès au contenu de la mémoire cache de niveau 1 des processeurs concernés et bypass de la protection Software Guard Extensions ou SGX). Les machines virtuelles sont particulièrement à risque.
A la suite de la découverte originel des chercheurs, les équipes d’Intel ont pu mettre la main sur deux autres variantes de la faille, alors baptisées Foreshadow-Next Generation.
Des mises à jour logicielles sont déjà disponibles (distribuées discrètement au mois de mai) et personne ne semble, à ce jour, avoir exploité cette faille, appelée L1 Terminal Fault (L1TF) et surnommée « Foreshadow » (« Présage »). La vulnérabilité se trouve dans la technologie SGX lancée en 2015 par le fabricant omniprésent dans les appareils informatiques à microprocesseur de toute la planète. Les gammes Core et Xeon / Skylake et Kaby Lake sont notamment touchées.
Contrairement aux précédentes vulnérabilités, Foreshadow a été révélée au yeux de tous alors qu’un patch pour les CPU était déjà disponible, ce qui devrait fortement limiter les critiques et les risques.