Failles Intel : des impacts à redouter chez 3DS OUTSCALE ?

    Cloud | Cybersécurité | Technologie - posté le 12-11-2019 par Nicolas EYRAUD

    Intel l'a annoncé : des failles subsistent dans certaines de ses technologies, avec des criticités qui vont de minimes à élevées.intel

    Bien que cela représente une menace réelle, il faut garder à l'esprit que la découverte de failles fait partie intégrante de l'évolution des technologies et des équipements, et permet à terme d'obtenir des produits de plus en plus fiables. 

    3DS OUTSCALE n'est pas impacté par l'ensemble des failles relevées par Intel, et a mis en place des solutions pour palier à celles qui auraient pu l'impacter.

    Sans céder à la panique, il devient nécessaire d'obtenir la liste exhaustive des composants présentant des risques en se renseignant directement auprès d'Intel pour prendre les mesures nécessaires et protéger son infrastructure.

    Dans un premier temps, découvrez un tableau récapitulatif des failles identifiées et des moyens mis en oeuvres pour notre infrastructure : 

    Catégorie de vulnérabilité  Mesures prises par 3DS OUTSCALE

    Intel CSME, SPS, TXE, AMT (CMSE englobe plusieurs technologies dont AMT

    • AMT et TXT ne sont pas utilisées et sont désactivées chez 3DS OUTSCALE
    • SGX n'est pas utilisée chez 3DS OUTSCALE
    • 3DS OUTSCALE n'utilise pas, dans cette catégorie, les :
      • Processeurs impactés Intel SMM
      • Drivers Intel Graphics Driver Updates
      • Cartes Intel Ethernet 700 Series

    3DS OUTSCALE n'a pas activé les fonctionnalités mentionnées. Les vulnérabilités ayant un vecteur réseau, elles ne sont pas applicables dans notre contexte puisque les services ne sont pas disponibles.

    Seuls des administrateurs accrédités ont la possibilité d'activer ces paramètres, et 3DS OUTSCALE est en capacité de tracer et détecter ces changements.

    Ces vulnérabilités n'ont de toute façon pas d'impact puisqu'elles concernent des périmètres inaccessibles et ne contenant pas d'informations sensibles.

    Intel SGX (autre ressource : SGX & SGX)

    Intel TXT (autre ressource : TXT)

    Intel SMM
    Intel Graphics driver updates
    Intel Ethernet 700 Series
    TSX Asynchronous Abort (TAA)

    Seuls des administrateurs accrédités ont la possibilité d'activer ces paramètres, et 3DS OUTSCALE est en capacité de tracer et détecter ces changements.

    L'accès à l'hyperviseur ne rend pas possible le changement de configuration du BIOS.

    Voltage Modulation Le matériel est protégé physiquement, branché sur des alimentations redondées et maîtrisées.
    MD_Clear operations (MDS)
    (Pour plus d'informations, voir les CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2018-11091)

    Aucune attaque réelle de référencée, 3DS OUTSCALE évalue en ce moment des méthodes de mitigation efficace.

    En attendant, il est possible de commander des instances dédiées qui seront alors protégées physiquement des attaques par spéculation.

    TA indirect sharing (Spectre & Meltdown)
    (Pour plus d'informations, voir la CVE-2017-5715)

    Le processus de mise à jour en cours protège déjà ces cas (retpoline). Nous sommes activement en train de mettre à jour notre parc, et un ticket au support pour demander une migration sur un environnement patché est possible au cours d'un Stop/Start de chaque instance.

    La roadmap de déploiement tourne sur les 6 prochains mois.

    Shuf Chez 3DS OUTSCALE, le client n'exécute jamais son code à-même la machine de 3DS OUTSCALE. Il ne risque donc pas de subir des perturbations à cause de ce problème.
    Egetkey (Pour en savoir plus, voir les CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2018-11091) Egetkey n'est pas utilisée par 3DS OUTSCALE.


    Pour en savoir plus sur l'impact des failles de vulnérabilités Intel sur les ressources 3DS OUTSCALE, vous pouvez contacter : support@outscale.com  

    À propos de l'auteur : Nicolas EYRAUD

    Avant tout, passionné d'informatique et de musique, c'est dans cette première que Nicolas EYRAUD a dédié son début de carrière. Partagé entre le développement logiciel et l'administration système, c'est la sécurité informatique qui l'intéresse, l'amenant à finir ses études de master en Cyber-Défense. Ceci fait, Nicolas EYRAUD décide de se professionnaliser et rejoint 3DS OUTSCALE en 2016 pour finalement prendre le lead de l'équipe SOC fin 2017.

    Commentaires