Selon Tom's Guide , la vulnérabilité est exploitée par les instructions AVX2 et AVX-512 via une attaque qu'Intel appelle Gather Data Sampling (GDS). Les premières informations concernant le procès à venir ont été publiées en août 2023. La vulnérabilité affecte les processeurs Intel de la 6e génération (Skylake) à la 11e génération (Rocket Lake), y compris les puces Xeon basées sur la même architecture, affectant potentiellement des milliards de processeurs.
Intel aurait été au courant de l'existence de la vulnérabilité Downfall, mais aurait « attendu et observé »
Intel a admis que pour certaines charges de travail, la baisse de performances après l'installation du correctif pouvait atteindre 50 %. Une série de tests réalisés peu après la découverte de l'incident a montré une baisse de performances allant jusqu'à 39 %, les applications s'appuyant fortement sur les instructions AVX2 et AVX-512 étant les plus touchées.
En 2018, lorsque la vulnérabilité Downfall a été découverte, plusieurs sites d'information ont rapporté que les vulnérabilités Spectre et Meltdown, qui ciblaient le processus d'exécution spéculative utilisé par de nombreux processeurs modernes pour accélérer les calculs, avaient été largement médiatisées. Cela a incité les chercheurs en sécurité à s'intéresser à des vecteurs d'attaque similaires. En juin 2018, le chercheur Alexander Yee a signalé une nouvelle variante de la vulnérabilité Spectre pour les processeurs Intel, ciblant AVX et AVX512. Cette information a été gardée strictement confidentielle pendant deux mois afin de permettre à Intel de prendre des mesures correctives.
En réalité, selon la plainte, Yee n'était pas le seul à avoir alerté Intel des vulnérabilités AVX. Plus précisément, les plaignants affirment : « À l'été 2018, alors qu'Intel luttait contre les conséquences des incidents Spectre et Meltdown et promettait des correctifs matériels pour les futures générations de processeurs, l'entreprise a reçu deux rapports de vulnérabilité tiers distincts mentionnant plusieurs vulnérabilités liées à AVX pour ses processeurs. » Les plaignants soulignent qu'Intel a reconnu avoir pris connaissance de ces rapports.
La principale plainte, contenue dans les documents judiciaires exigeant un procès devant jury devant le tribunal de district américain de San Jose, ne porte pas sur l'existence de la vulnérabilité Downfall ni sur la baisse de performances liée aux correctifs, mais sur les actions d'Intel. Les plaignants allèguent que l'entreprise connaissait la faille à l'origine de Downfall depuis 2018, mais qu'elle a sciemment vendu des milliards de processeurs depuis sa découverte. Les utilisateurs se retrouvent donc face à deux options (toutes deux inacceptables) : acheter des processeurs vulnérables ou installer un correctif destructeur de performances pour les protéger. C'est pourquoi les plaignants réclament une indemnisation à Intel.
Lien source
Comment (0)