Comme attendu, le microcode appliqué pour corriger le bogue Intel Downfall découvert la semaine dernière par un chercheur de Google peut avoir un sérieux impact sur les performances. Selon les premiers tests, celles de certaines charges de travail peuvent en effet chuter de 40 %. D’où un choix difficile pour les utilisateurs : accepter les correctifs BIOS des fabricants de systèmes et de cartes mères pour résoudre le problème et voir les performances de leurs processeurs gravement affectées. Ou bien ne pas appliquer de correctif au risque qu'un pirate profite de la dernière faille affectant leur CPU pour attaquer leur ordinateur. Le bogue Downfall affecte une majorité de PC équipés de processeurs Skylake Core de 6e génération jusqu'aux systèmes équipés de processeurs Tiger Lake de 11e génération.

Le chercheur de Phoronix a réalisé trois tests sur les processeurs Intel Xeon Platinum 8380, Xeon Gold 6226R et sur la puce Core i7-1165G7, seul processeur grand public testé. En général, Phoronix opte pour des benchmarks pour serveurs Linux, si bien que les trois tests utilisés ne sont pas très connus du grand public, à savoir OpenVKL 1.3.1 (Open Volume Kernel Library), un benchmark Intel de noyau de volume, et deux sous-tests d'OPSRay, un benchmark de ray-tracing. Dans le test OpenVKL, les performances ont chuté de 11 % après l'application du correctif pour le bogue Downfall et dans le test OPSRay, les performances ont chuté de 39 % et 19 %, respectivement, après l'application du correctif.

Les applications utilisant les instructions Gather davantage concernées

Officiellement, Intel reconnaît que le patch Downfall réduira les performances de certaines applications, notamment celles des logiciels de conception graphique et d'édition vidéo. Selon Intel, les applications fortement optimisées qui s'appuient sur la vectorisation et les instructions Gather pour obtenir les meilleures performances peuvent être affectées par l'atténuation de la vulnérabilité Downfall. Il s'agit d'applications comme les bibliothèques graphiques, les binaires et les logiciels de montage vidéo qui peuvent utiliser ces instructions. « Notre analyse a permis d'identifier quelques cas particuliers où les applications clientes peuvent avoir un impact sur les performances. Par exemple, certains add-ons d'applications d'art numérique ont montré un certain impact sur les performances. Cependant, la plupart des applications clientes ne devraient pas subir d'impact notable, car les instructions Gather ne sont généralement pas utilisées dans les séquences à chaud (hot path).

« Le chercheur en sécurité, travaillant dans les conditions contrôlées d'un environnement de recherche, a démontré le problème GDS qui repose sur un logiciel utilisant les instructions Gather », a déclaré un représentant d'Intel au sujet de la vulnérabilité Downfall. Même si cette attaque est très complexe à réaliser en dehors de ces conditions contrôlées, les plateformes concernées disposent d'une solution d'atténuation en appliquant la mise à jour du microcode. Les processeurs Intel récents, y compris Alder Lake, Raptor Lake et Sapphire Rapids, ne sont pas concernés. Après examen des évaluations sur les risques d’Intel, les clients peuvent décider de désactiver l'atténuation via des commutateurs disponibles dans les systèmes d'exploitation Windows et Linux ainsi que dans les Virtual Machine Manager (VMM). Dans les environnements de cloud public, les clients doivent vérifier la faisabilité de ces commutateurs auprès de leur fournisseur. Tout cela peut paraître déconcertant, surtout pour les machines tournant avec un ancien processeur. (Les puces Core de 12e et 13e génération d'Intel ne sont pas non plus affectées par la vulnérabilité Downfall).

Des risques de vols de données sur des PC partagés

Il y a aussi un autre problème : la vulnérabilité CVE-2022-40982 Downfall donne la possibilité à un utilisateur qui partage un PC avec d'autres utilisateurs de leur voler des données. Daniel Moghimi, le chercheur de Google qui a découvert la vulnérabilité, n'a pas encore signalé que Downfall permettait à un attaquant distant de voler des données sur un PC, mais si un utilisateur se fait piéger en installant un logiciel malveillant sur le PC, il pourrait être victime de l'exploit. Cela devrait rassurer les personnes qui ne partagent pas leur PC, mais il faut s’assurer que le logiciel antivirus reste actif et mis à jour. Même si l'antivirus ne détectera probablement pas les exploits Downfall, il pourra trouver des charges de logiciels malveillants tentant de se faufiler dans le système. Il s'agit toutefois d'une vulnérabilité critique pour les fournisseurs de services cloud dont les serveurs sont partagés avec de nombreux utilisateurs, qui utilisent tous les mêmes processeurs pour diverses applications.

Quant à savoir s’il faut appliquer le correctif Downfall, cela reste difficile à dire avec certitude. Chacun doit évaluer son propre risque et les éventuels impacts de performance du correctif Downfall. Daniel Moghimi, le recommande toutefois. Sur la page dédiée à Downfall, Intel estime que c'est une mauvaise idée de désactiver l'atténuation si la charge de travail n'utilise pas Gather. « Même si la charge de travail n'utilise pas d'instructions vectorielles, les processeurs modernes s'appuient sur des registres vectoriels pour optimiser les opérations courantes, comme la copie de la mémoire et la commutation du contenu des registres, ce qui entraîne des fuites de données vers un code non fiable exploitant Gather ».