Logo Parlement Buxellois

Question écrite concernant la faille 'Load Value Injection' des processeurs Intel et l'impact de cette faille sur l'informatique communale et régionale.

de
Emin Özkara
à
Bernard Clerfayt, ministre du gouvernement de la Région de Bruxelles-Capitale chargé de l'emploi et de la formation professionnelle, de la transition numérique, des pouvoirs locaux et du bien-être animal (question n°338)

Matière(s):
 
Date de réception: 07/07/2020 Date de publication: 02/10/2020
Législature: 19/24 Session: 19/20 Date de réponse: 16/09/2020
 
Date Intitulé de l'acte de Référence page
08/07/2020 Recevable p.m.
 
Question    Le 12 janvier 2018, je questionnais Mme Bianca Debaets (CD&V), Secrétaire d'Etat bruxelloise en charge de l'Informatique régionale et communale, au sujet des vulnérabilités graves découvertes dans les puces Intel, les puces AMD et les puces ARM et l'impact de ces vulnérabilités sur l'Informatique communale et régionale,
voir ici :
http://www.parlement.brussels/weblex-quest-det/?moncode=139800&base=1&taal=fr

Ce 24 juin 2020, je souhaite vous questionner sur
la faille Load Value Injection (LVI) des processeurs Intel découverte au mois d'avril 2019 et qui a été rendue publique récemment. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://lviattack.eu , cette faille permettrait à une personne mal intentionnée (pirate/hacker) de prendre le contrôle complet d'un programme, ce qui lui permettrait de mettre la main sur des éléments tels que des empreintes digitales et des mots de passe. ( )

La faille LVI est donc très dangereuse et est particulièrement difficile à traiter, parce qu'il ne s'agit cette fois pas uniquement d'un problème de hardware et que la solution pour combler cette faille nécessite des correctifs logiciels, ce qui peut ralentir le calcul des enclaves Intel SGX de 2 à 19 fois! (  )

Je souhaiterais vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :

Suite à la découverte de cette faille LVI,

1. Quelles sont les actions qui ont été mises en route pour prémunir tous les équipements informatiques de l'exploitation de cette faille ?
2. Quelles sont les mesures qui ont été prises pour mesurer l'impact des correctifs sur les performances des systèmes ?
3. Quelles sont les contre-mesures mises en place pour assurer la sécurité, l'intégrité et la confidentialité des données ?
4. Quelles sont les mesures qui ont été prises pour expliquer les menaces liées à cette faille LVI aux responsables IT et aux utilisateurs ?
Je vous remercie pour vos réponses.
 
 
Réponse    1/
Le CIRB est au courant de cette faille de sécurité LVI sur les processeurs Intel découverte depuis peu et suit de près ce dossier.

Le CIRB l’a évalué et estime qu’elle ne représente pas pour le moment un risque élevé.

En effet, ce nouveau type d’attaque est toujours au stade expérimental et de la recherche. Une des conclusions qui a été délivrée par les chercheurs universitaires1 est la suivante : une attaque LVI serait difficile à réaliser pour un attaquant et ne présente pas de danger pour les utilisateurs à l’heure actuelle dû à la méconnaissance de fonctionnement de ces processeurs.

Malgré la complexité de mettre en œuvre une telle attaque qui la rend quasiment impraticable et, qu’à ce jour, le Centre pour la Cybersécurité Belgique (CCB) n’a pas encore créé une alerte à ce sujet, le CIRB a d’ores et déjà implémenté les nouvelles directives et nouveaux outils d’atténuation pour la LVI mis à disposition par Intel et qui fonctionnent conjointement avec les précédentes mesures .

2/
Comme vous le relevez, les correctifs au niveau des processeurs Intel disponibles actuellement pour ce genre de faille ont des conséquences sur les performances des processeurs. Et donc, il y a lieu de ne pas les déployer sous peine d’impacter négativement les performances des systèmes.

3/
Outre l’implémentation des nouvelles directives et nouveaux outils susmentionnée, les mesures de sécurité techniques actuelles (comme les pares-feux, isolation des environnements, antivirus, etc.) et organisationnelles qui sont mises en œuvre par le CIRB au sein du Data Center Régional, ainsi que la mise à jour régulière des correctifs des systèmes d’exploitation et de VM (machines virtuelles), suffisent actuellement à assurer de manière adéquate la protection des données.

4/
Aucune communication spécifique de sécurité relative à cette faille n’a été à ce jour diffusée pour les raisons invoquées au point 1.
Toutefois, le CIRB n’est pas en reste et fait régulièrement de la communication et de la sensibilisation relative à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message préconisé pour ce type de faille et qui est périodiquement relayé auprès des équipes IT des institutions régionales est  : « Gardez toujours vos systèmes à jour avec les dernières mises à jours de sécurité et suivez les instructions de vos fournisseurs de systèmes d’exploitation et VM. »


1KU Leuven Jo Van Bulck from imec-DistriNet