L'Europe oublie les processeurs dans sa quête de souveraineté numérique

Introduction

L'Europe investit plus de 2 milliards d'euros dans des initiatives de cloud souverain pour réduire son exposition aux lois américaines. Cependant, la plupart des datacenters et des opérateurs de cloud qualifiés dépendent encore fortement des processeurs Intel ou AMD.

Contexte Technique

Ces processeurs contiennent des moteurs de gestion qui opèrent en dessous du système d'exploitation, en dehors du contrôle des logiciels de sécurité de l'hôte. Les moteurs de gestion d'Intel et d'AMD, respectivement appelés Converged Security and Management Engine (CSME) et Platform Security Processor (PSP), fonctionnent à un niveau de privilège que l'hôte ne peut pas voir ou journaliser.

Le CSME et le PSP ont leur propre mémoire, leur propre horloge et leur propre pile de réseau, et peuvent partager les adresses MAC et IP de l'hôte, ce qui rend difficile la distinction entre le trafic généré par le moteur de gestion et celui généré par l'hôte.

Analyse et Implications

Les cadres de souveraineté numérique de l'Europe, tels que le programme IPCEI-CIS et le cadre SecNumCloud, ne prennent pas en compte les risques liés aux processeurs. Les moteurs de gestion peuvent être utilisés comme des portes dérobées, permettant aux attaquants d'accéder à des données sensibles sans être détectés par les logiciels de sécurité de l'hôte.

Les attaques contre les moteurs de gestion, telles que l'attaque Fabricked contre la technologie de confidentialité des calculs SEV-SNP d'AMD, démontrent la vulnérabilité de ces composants.

Perspective

Il est essentiel que les décideurs politiques et les professionnels de la sécurité prennent en compte les risques liés aux processeurs dans leur quête de souveraineté numérique. Les cadres de souveraineté numérique doivent être mis à jour pour inclure des exigences de sécurité pour les processeurs et les moteurs de gestion.

Les opérateurs de cloud et les utilisateurs finals doivent être conscients des risques liés aux processeurs et prendre des mesures pour atténuer ces risques, telles que la mise en œuvre de contrôles de sécurité supplémentaires et la surveillance régulière des activités de sécurité.