En 2018, deux vulnérabilités de sécurité ont suscité un énorme émoi. L'un était « Meltdown » et l'autre « Spectre » . Pour faire simple, les deux permettent d’accéder au contenu de la mémoire système. Pratiquement tous les processeurs modernes des ordinateurs de bureau, des ordinateurs portables, des serveurs cloud et des smartphones ont été touchés. Des entreprises comme Google, Apple et Qualcomm ont publié des correctifs de sécurité pour répondre à la menace. Intel a également fourni des mises à jour . Au fil des années, cependant, de nouvelles vulnérabilités Spectre ont été découvertes dans les produits de la société. C'est ce qu'a récemment constaté un groupe de recherche de l'ETH Zurich fin 2024 . Le même groupe de recherche a maintenant découvert une autre vulnérabilité de sécurité dans les processeurs Intel et l'a décrite dans un article scientifique (PDF) . La vulnérabilité, connue sous le nom de « Branch Privilege Injection » (BPI), affecte toutes les architectures Intel x86 à partir de la 9e génération (Coffee Lake Refresh). Le danger existe particulièrement pour les serveurs cloud sur lesquels des applications ou des conteneurs de différents utilisateurs s'exécutent en parallèle. Selon les connaissances actuelles, le BPI n'augmente pas significativement le risque de malware pour les ordinateurs de bureau et les ordinateurs portables utilisés à titre privé. Néanmoins, cette découverte souligne que les problèmes fondamentaux de l’exécution spéculative dans les processeurs modernes ne sont toujours pas totalement résolus.

Le problème fondamental réside dans l'unité de prédiction de branche (BPU) d'Intel, qui met à jour de manière asynchrone le flux d'instructions et le domaine d'autorisation. Cela améliore généralement les performances et ne pose pas de problème car les autorisations pour terminer une opération sont réellement claires. Cependant, l'équipe de recherche de l'ETH a réussi à manipuler le flux de commandes de sorte que les privilèges ne soient mis à jour qu'une fois l'opération terminée. Comme le rapportent les scientifiques dans leur étude, cela permet aux attaquants d’accéder à des données qui devraient en réalité être protégées. Comme mentionné ci-dessus, depuis la découverte de Spectre en 2018, Intel a mis en œuvre de nombreuses mesures de sécurité pour empêcher ce type d’attaque. Des chercheurs de l’ETH Zurich ont toutefois pu prouver que ces mesures de protection peuvent être contournées. Cela est particulièrement inquiétant car Intel a investi des ressources importantes pour remédier à ces vulnérabilités au cours des dernières années.

Intel a déjà publié une mise à jour du microcode pour corriger la vulnérabilité de sécurité. Cependant, la correction entraîne des pertes de performances allant jusqu’à huit pour cent. Dans leur étude, les chercheurs de l'ETH soulignent que les vulnérabilités de Spectre ne pourront pas être complètement corrigées à l'avenir, car les fabricants de processeurs devraient désactiver l'exécution spéculative, ce qui entraînerait des pertes de performances massives. L'exécution spéculative est une technique utilisée dans les processeurs depuis les années 1990 pour améliorer les performances. Le processeur effectue des calculs avant de savoir s’ils sont réellement nécessaires. Cette technologie a considérablement augmenté la puissance de calcul des processeurs modernes, mais présente évidemment également des risques de sécurité. AMD , en revanche, a réussi à développer son architecture Zen 4 de telle manière que les mesures de protection n'entraînent aucune perte de performances. Cela donne à AMD un avantage concurrentiel, en particulier dans le domaine des serveurs et du cloud, où la sécurité est une priorité absolue. Les processeurs AMD et ARM ne sont pas affectés par la vulnérabilité récemment découverte. Les problèmes persistants liés aux vulnérabilités de type Spectre montrent qu’Intel continue de faire face à une tâche difficile. L’entreprise doit trouver un compromis entre performance et sécurité. Pour les utilisateurs, cela signifie que les mises à jour régulières et la sensibilisation aux risques de sécurité potentiels restent importantes.