CacheOut - divulgation d’une nouvelle faille de sécurité dans les CPU Intel

• Un attaquant peut choisir les données à exfiltrer en exploitant le mécanisme de cache du CPU

• CPU Intel d’avant le 4e trimestre 2018 (Core 6e à 10e génération, Sky/Coffee/Whiskey/Amber Lake)

• AMD n’est pas concerné ; IBM et ARM pourraient l’être, mais on ne le sait pas encore

• Ce n’est pas un bug logiciel, mais matériel. Il est peut-être possible de l’atténuer par logiciel, mais avec un impact potentiel sur les performances

• Fuite possible d’informations depuis un autre processus exécuté sur le même thread, ou depuis un thread du même cœur CPU

=> Ex. : dans un processus effectuant un déchiffrement AES, la sortie déchiffrée et la clé peuvent toutes deux fuiter

• Les systèmes de virtualisation étant également concernés, les fournisseurs cloud ont déjà été avertis et préparent des contre-mesures

• Comme l’attaque exploite la fonctionnalité Intel TSX, elle n’est pas accessible depuis un navigateur web (JS)