En janvier, le monde de la technologie a été secoué par la découverte de Meltdown et Spectre, deux vulnérabilités de sécurité majeures dans les processeurs que l'on peut trouver dans pratiquement tous les ordinateurs de la planète.

La chose la plus alarmante à propos de ces vulnérabilités est peut-être qu'elles ne provenaient pas de bogues logiciels normaux ou de problèmes physiques de processeur. Au lieu, ils découlent de l'architecture des processeurs eux-mêmes, c'est-à-dire les millions de transistors qui travaillent ensemble pour exécuter des opérations.

"Ces attaques ont fondamentalement changé notre compréhension de ce qui est digne de confiance dans un système, et nous obliger à réexaminer où nous consacrons les ressources de sécurité, " dit Ilia Lebedev, un doctorat étudiant au Laboratoire d'informatique et d'intelligence artificielle (CSAIL) du MIT. "Ils ont montré que nous devons accorder beaucoup plus d'attention à la microarchitecture des systèmes."

Lebedev et ses collègues pensent avoir fait une nouvelle percée importante dans ce domaine, avec une approche qui rend beaucoup plus difficile pour les pirates de tirer profit de ces vulnérabilités. Leur méthode pourrait avoir des applications immédiates dans le cloud computing, en particulier pour des domaines comme la médecine et la finance qui limitent actuellement leurs fonctionnalités basées sur le cloud en raison de problèmes de sécurité.

Avec Meltdown et Spectre, les pirates ont exploité le fait que les opérations prennent toutes des durées légèrement différentes pour s'exécuter. Pour utiliser un exemple simplifié, quelqu'un qui devine un code PIN peut d'abord essayer les combinaisons "1111" à "9111". Si les huit premières suppositions prennent le même temps, et "9111" prend une nanoseconde de plus, alors celui-ci a très probablement au moins le droit "9", et l'attaquant peut alors commencer à deviner "9111" à "9911", et ainsi de suite.

L'accès à la mémoire est une opération particulièrement vulnérable à ces soi-disant "attaques temporelles". Si les systèmes devaient toujours attendre la mémoire avant de passer à l'étape suivante d'une action, ils passaient une grande partie de leur temps à ne rien faire.

Pour maintenir les performances, les ingénieurs emploient une astuce :ils donnent au processeur le pouvoir d'exécuter plusieurs instructions pendant qu'il attend de la mémoire, puis, une fois la mémoire prête, rejette ceux qui n'étaient pas nécessaires. C'est ce qu'on appelle "l'exécution spéculative".

Bien que cela soit payant en termes de vitesse de performance, cela crée également de nouveaux problèmes de sécurité. Spécifiquement, l'attaquant pourrait faire en sorte que le processeur exécute de manière spéculative du code pour lire une partie de la mémoire qu'il ne devrait pas être en mesure de lire. Même si le code échoue, il pourrait toujours divulguer des données auxquelles l'attaquant peut alors accéder.

Un moyen courant d'essayer d'empêcher de telles attaques consiste à diviser la mémoire afin qu'elle ne soit pas entièrement stockée dans une seule zone. Imaginez une cuisine industrielle partagée par des chefs qui veulent tous garder leurs recettes secrètes. Une approche serait de faire en sorte que les chefs mettent en place leur travail sur des côtés différents - c'est essentiellement ce qui se passe avec la "Cache Allocation Technology" (CAT) qu'Intel a commencé à utiliser en 2016. Mais un tel système est encore assez peu sûr, puisqu'un chef peut avoir une assez bonne idée des recettes des autres en voyant quelles casseroles et poêles il prend dans l'espace commun.

En revanche, l'approche de l'équipe MIT CSAIL équivaut à construire des murs pour diviser la cuisine en espaces séparés, et en veillant à ce que chacun ne connaisse que ses propres ingrédients et appareils. (Cette approche est une forme dite de « partitionnement sécurisé » ; les « chefs », dans le cas de la mémoire cache, sont appelés "domaines de protection".)

En contrepoint ludique du système CAT d'Intel, les chercheurs ont surnommé leur méthode "DAWG", qui signifie « Garde de cheminement alloué dynamiquement ». (La partie "dynamique" signifie que DAWG peut diviser le cache en plusieurs compartiments dont la taille peut varier dans le temps.)

Lebedev a co-écrit un nouvel article sur le projet avec l'auteur principal Vladimir Kiriansky et les professeurs du MIT Saman Amarasinghe, Srini Devadas et Joel Emer. Ils présenteront leurs conclusions la semaine prochaine au Symposium international annuel IEEE/ACM sur la microarchitecture (MICRO) dans la ville de Fukuoka, Japon.

"Cet article explique comment isoler complètement les effets secondaires d'un programme de la percolation à un autre programme via le cache, " dit Mohit Tiwari, un professeur assistant à l'Université du Texas à Austin qui n'était pas impliqué dans le projet. "Ce travail sécurise un canal qui est l'un des plus populaires à utiliser pour les attaques."

Dans les essais, l'équipe a également constaté que le système était comparable à la CAT en termes de performances. Ils disent que DAWG nécessite des modifications très minimes des systèmes d'exploitation modernes.

"Nous pensons que c'est un pas en avant important pour donner aux architectes informatiques, fournisseurs de cloud et autres professionnels de l'informatique un meilleur moyen d'allouer des ressources de manière efficace et dynamique, " dit Kiriansky, un doctorat étudiant au CSAIL. « Il établit des limites claires pour savoir où le partage devrait et ne devrait pas se produire, afin que les programmes contenant des informations sensibles puissent garder ces données raisonnablement sécurisées."

L'équipe avertit rapidement que DAWG ne peut pas encore se défendre contre toutes les attaques spéculatives. Cependant, ils ont démontré expérimentalement qu'il s'agit d'une solution infaillible à un large éventail d'attaques non spéculatives contre les logiciels cryptographiques.

Lebedev dit que la prévalence croissante de ces types d'attaques démontre que, contrairement à la sagesse populaire des PDG de la technologie, plus de partage d'informations n'est pas toujours une bonne chose.

« Il y a une tension entre performance et sécurité qui atteint son paroxysme pour une communauté de designers d'architecture qui a toujours essayé de partager le plus possible dans le plus d'endroits possible, " dit-il. " D'un autre côté, si la sécurité était la seule priorité, nous aurions des ordinateurs séparés pour chaque programme que nous voulons exécuter afin qu'aucune information ne puisse jamais fuir, ce qui n'est évidemment pas pratique. DAWG fait partie d'un corpus croissant de travaux essayant de réconcilier ces deux forces opposées. »

Il convient de reconnaître que l'attention soudaine portée aux attaques de synchronisation reflète le fait paradoxal que la sécurité informatique s'est en fait beaucoup améliorée au cours des 20 dernières années.

"Il y a dix ans, les logiciels n'étaient pas aussi bien écrits qu'aujourd'hui, ce qui signifie que d'autres attaques étaient beaucoup plus faciles à réaliser, " dit Kiriansky. " Comme d'autres aspects de la sécurité sont devenus plus difficiles à réaliser, ces attaques microarchitecturales sont devenues plus attrayantes, bien qu'ils ne soient heureusement qu'un petit morceau dans un arsenal d'actions qu'un attaquant devrait entreprendre pour réellement faire des dégâts."

L'équipe travaille maintenant à améliorer DAWG afin qu'il puisse arrêter toutes les attaques d'exécution spéculative actuellement connues. En attendant, ils espèrent que des entreprises telles qu'Intel seront intéressées à adopter leur idée, ou d'autres similaires, afin de minimiser les risques de futures violations de données.

"Ces types d'attaques sont devenus beaucoup plus faciles grâce à ces vulnérabilités, " dit Kiriansky. " Avec toutes les relations publiques négatives, des entreprises comme Intel sont incitées à bien faire les choses. Les étoiles sont alignées pour qu'une telle approche se produise."