Le site The Register affirme qu’une faille de sécurité critique des processeurs Intel ne peut pas être corrigée par mise à jour des micrologiciels.

Les systèmes d’exploitation, notamment Linux, Windows et macOS, doivent réviser leur gestion de la mémoire pour assurer la protection défectueuse des plages du noyau, censées être protégées par le processeur.

Tous les processeurs Intel modernes, i.e les processeurs de ces dix dernières années, seraient affectés. Les informations détaillées sont encore sous embargo, probablement jusqu’à ce que les principaux systèmes d’exploitation aient pu développer et tester un correctif.

Malheureusement, l’impact en performance de ces correctifs serait notable : il est estimé entre 5 et 30 % en fonction du type d’applications.

Il semblerait que les processeurs AMD ne soient pas affectés par le bogue. En revanche, les processeurs d’architecture ARM64 recevraient également un correctif similaire à celui des processeurs Intel, pour désactiver le mapping du noyau lorsque l’espace utilisateur est activé.

Pour des raisons de sécurité, le processeur alterne sans cesse entre les processus utilisateurs, moins privilégiés, et les processus du noyau, très privilégiés. Toute opération potentiellement dangereuse, comme l’écriture d’un fichier, est effectuée par le noyau. Une fois l’appel système terminé, le processeur redonne la main au processus utilisateur.

Pour réduire les va et viens très coûteux en termes de performance, la mémoire du noyau est protégée des processus utilisateurs en la cachant à ces derniers, mais elle est bien cartographiée dans ces processus.

Le bogue est que, dans certaines conditions, les processus utilisateurs ont quand même accès à cette mémoire cachée.

La solution consiste à séparer entièrement les mémoires des processus utilisateurs et du noyau, avec un impact notable sur les performances.

Si cet impact est vraiment de l’ordre de 5 à 30 % en situation réelle, il nous semble impossible que Intel échappe à des actions en justice, à moins de consentir des rabais considérables sur l’achat de nouveaux processeurs non affectés.

Il reste à souhaiter que les correctifs ne contiennent pas de bogues et aient été largement testés. Ces correctifs fondamentaux vont devoir être appliqués sur tous les appareils à processeurs Intel, y compris les serveurs et les machines virtuelles dans tous les nuages informatiques.

Microsoft a déjà informé que toutes les machines virtuelles dans Azure seront relancées le 10 janvier 2018. Théoriquement, cela ne devrait avoir aucun impact, puisque les redémarrages seront effectués par domaine de mise à jour. Mais la pratique est parfois différente de la théorie.