Selon Tom's Guide , cette vulnérabilité est exploitée par les instructions AVX2 et AVX-512 via une attaque qu'Intel nomme Gather Data Sampling (GDS). Les premières informations concernant la plainte imminente ont émergé en août 2023. Cette vulnérabilité affecte les processeurs Intel de la 6e génération (Skylake) à la 11e (Rocket Lake), y compris les puces Xeon basées sur la même architecture, et pourrait potentiellement impacter des milliards de processeurs.
Intel aurait eu connaissance de l'existence de la vulnérabilité Downfall, mais serait restée les bras croisés.
Intel a reconnu que pour certaines charges de travail, la baisse de performances après l'installation du correctif peut atteindre 50 %. Une série de tests effectués peu après la découverte de l'incident a montré une baisse de performances allant jusqu'à 39 %, les applications utilisant intensivement les instructions AVX2 et AVX-512 étant les plus touchées.
En 2018, lors de la découverte de la faille Downfall, plusieurs sites d'information ont rapporté que les failles Spectre et Meltdown, qui ciblaient le processus d'exécution spéculative utilisé par de nombreux processeurs modernes pour accélérer les calculs, avaient été largement divulguées. Cela a incité les chercheurs en sécurité à étudier des vecteurs d'attaque similaires. En juin 2018, le chercheur Alexander Yee a signalé une nouvelle variante de la faille Spectre pour les processeurs Intel, axée sur AVX et AVX512. Cette information a été gardée strictement confidentielle pendant deux mois afin de donner à Intel le temps de corriger le problème.
En réalité, selon la plainte, Yee n'était pas le seul à avoir alerté Intel des vulnérabilités AVX. Plus précisément, les plaignants affirment : « Durant l'été 2018, alors qu'Intel gérait les conséquences des failles Spectre et Meltdown et promettait des correctifs matériels pour les futures générations de processeurs, l'entreprise a reçu deux rapports de vulnérabilité distincts, émanant de tiers, mentionnant plusieurs failles liées à AVX dans ses processeurs. » Les plaignants précisent qu'Intel a accusé réception de ces rapports.
La plainte principale déposée devant le tribunal de district américain de San Jose, demandant un procès devant jury, ne porte ni sur l'existence de la faille Downfall ni sur la baisse de performance induite par les correctifs, mais sur les agissements d'Intel. Les plaignants affirment que l'entreprise avait connaissance de la faille Downfall depuis 2018, mais qu'elle a sciemment vendu des milliards de processeurs depuis sa découverte. Les utilisateurs se retrouvent ainsi face à un dilemme inacceptable : acheter des processeurs vulnérables ou installer un correctif dégradant considérablement leurs performances. C'est pourquoi les plaignants réclament des dommages et intérêts à Intel.
Lien source
Comment (0)