Brian Krzanich, le CEO de Intel, écrit un rapport de situation sur la lutte contre les classes de vulnérabilité Meldown et Spectre.
Aujourd’hui, Intel a publié des microcodes mis à jour pour tous les produits Intel lancés au cours des cinq dernières années.
Il encourage tout le monde à garder les systèmes à jour, ce qui serait le meilleur moyen de se protéger.
Une affirmation à prendre avec détachement, puisque les premières mises à jour de microcode d’Intel étaient boguées et ont sérieusement affecté les systèmes mis à jour, forçant Microsoft et d’autres à publier des correctifs contre ce correctif raté.
Les premiers processeurs avec des atténuateurs de risques matériels contre Meldown, ce qu’il nomme variante 3, et Spectre v2, ce qu’il nomme variante 2, devraient être produits au second semestre.
Il s’agira des processeurs Intel Xeon Scalable de prochaine génération, nom de code Cascade Lake.
Pour les particuliers, il s’agira de processeurs Intel Core de 8e génération, « attendus au second trimestre », sans que Krzanich n’apporte de précision comme la génération de microarchitecture.
Petit à petit, la réponse d’Intel à Spectre et Meltdown s’améliore. On est passé de la dénégation inique par des porte-paroles à des rapports de situation du CEO.
Toutefois, il reste fort à faire pour le fondeur de processeurs, qui doit faire face à des dizaines de recours collectifs.
– Intel est en train de développer des microcodes pour les processeurs de plus de cinq ans, jusqu’aux processeurs de 2007, mais sans donner de date de disponibilité ;
– On espère que Intel collabora avec les spécialistes de la sécurité sur les mesures d’atténuation de risques par partitionnement, afin de s’assurer qu’elles seront solides ;
– Il ne s’agit toutefois que de mesures d’atténuation, pas de protection à 100 %. En outre, Intel ne développe aucun correctif pour Spectre v1 (contournement du contrôle des limites), et continuera de se reposer sur des solutions de lutte logicielles.
– Aucune grandeur d’ordre n’est indiquée sur le coût en performance de ces atténuations matérielles. Jusqu’ici, Intel a toujours minimisé l’impact sur les performances des solutions de contournement ;
En fin de compte, Intel ne touche pas au problème de fond : les aspects sécuritaires de l’exécution spéculative ne sont pas compris. Intel, comme les autres fondeurs exploitant le même type d’optimisations, refusent de revenir en arrière et de les abandonner. Ils préfèrent les pansements à l’opération chirurgicale.
C’est ainsi que Microsoft lance un nouveau programme de récompenses pour les chasseurs de bogues : la découverte de bogues liés à l’exécution spéculative sera récompensée de 25 000 à 250 000 dollars.