Comprendre Intel® Software Guard Extensions (Intel® SGX)

Aujourd'hui, les solutions de sécurité chiffrent les données lorsqu'elles sont en stockage ou envoyées sur le réseau, mais les données peuvent toujours être vulnérables lorsqu'elles sont en cours de traitement en mémoire. La base de données CVE (Common Vulnerabilities and Exposures)1, par exemple, contient actuellement plus de 11 000 vulnérabilités potentiellement exploitables, dont 34 % sont toujours sans atténuation. Intel SGX, en contournant le système d'exploitation (SE) et les couches logicielles des machines virtuelles (VM), offre une protection supplémentaire importante contre nombre de ces types d'attaques et ajoute la sécurité des données, et répond à la nécessité d'une informatique plus confidentielle. Il fournit une solution de sécurité matérielle qui utilise le chiffrement pour modifier l'accès à la mémoire, fournissant des enclaves de mémoire protégée dans lesquelles exécuter vos applications et leurs données. Intel SGX vous permet également de demander de vérifier l'application et le matériel sur lequel elle est exécutée.

Qu'est-ce qu'une attaque par canaux auxiliaires et devrais-je m'en soucier ?

Les attaques par canaux auxiliaires s'appuient sur l'utilisation d'informations comme les états d'alimentation, les émissions et les durées d'attente issues directement du processeur pour déduire indirectement les schémas d'utilisation des données. Ces attaques sont très complexes et difficiles à exécuter, et nécessitent potentiellement de violer le centre de données d'une entreprise à plusieurs niveaux : physique, réseau et système.

Les pirates suivent généralement la voie de moindre résistance. Aujourd'hui, cela signifie généralement d'attaquer les logiciels. Bien qu'Intel SGX ne soit pas spécifiquement conçu pour protéger contre les attaques par canaux auxiliaires, il fournit une forme d'isolement du code et des données qui accroît considérablement les difficultés pour les pirates. Intel continue de collaborer assidûment avec ses clients et la communauté de recherche pour identifier les risques d'attaque par canaux auxiliaires potentiels et les atténuer. Malgré les vulnérabilités des canaux auxiliaires, Intel SGX reste un outil précieux car il offre une couche de protection robuste supplémentaire.

Est-ce que je devrais faire confiance à Intel SGX ?

Intel SGX est l'environnement d'exécution de confiance (TEE) matériel de centre de données le plus testé, étudié et déployé, présentant la plus petite surface d'attaque disponible au sein du système. Si vous devez respecter des exigences strictes en matière de confidentialité et de sécurité des données, Intel SGX offre un avantage stratégique évident.

Et la bonne nouvelle pour les clients protégés par Intel SGX est qu'en plus de contribuer à vous défendre contre les myriades d'attaques logicielles plus courantes, les mécanismes d'attestation d'Intel SGX vous permettent également de demander de vérifier que votre application n'a pas été compromise et que le processeur sur lequel elle est exécutée possède les dernières mises à jour de sécurité.

Intel SGX protège contre des milliers2 de menaces connues et inconnues, dont beaucoup ne possèdent toujours pas d'atténuations. Votre code et vos données restent nettement plus protégés avec Intel SGX que sans lui.

FAQ

Forum aux questions

Intel SGX ajoute une autre couche de défense en contribuant à réduire la surface d'attaque. Intel SGX contribue à protéger le code et les données contre les attaques de logiciels malveillants et par élévation des privilèges alors que ces données sont en cours de traitement. Les développeurs peuvent créer des environnements d'exécution de confiance (TEE) directement au sein du domaine processeur/mémoire.

Les attaques par canaux auxiliaires sont conçues pour recueillir des informations externes issues du processeur, comme les états d'alimentation, les émissions et les durées d'attente en vue de déduire l'activité et la valeur des données3.

Les pirates suivent généralement la voie de moindre résistance. Aujourd'hui, cela signifie généralement d'attaquer les logiciels. Bien qu'Intel SGX ne soit pas spécifiquement conçu pour protéger contre les attaques par canaux auxiliaires, il fournit une forme d'isolement du code et des données qui accroît les difficultés pour les pirates.

Comment Intel SGX aborde les vulnérabilités de sécurité :

  • Collaboration : notre collaboration permanente avec des chercheurs et des partenaires, notamment le rôle de notre fondateur dans le Confidential Computing Consortium, nous aide à identifier et à atténuer les vulnérabilités rapidement.
  • Sécurité renforcée : Intel SGX est conçu pour être régulièrement mis à jour afin de se renforcer constamment contre les attaques.
  • Vérification : Intel SGX permet aux applications de demander de vérifier qu'elles fonctionnent sur des systèmes à jour et non compromis.

Avis et avertissements4

Passer des données chiffrées à l'informatique chiffrée

Découvrez comment Intel SGX ajoute une autre couche de défense en réduisant la surface d'attaque.

Télécharger l'infographie

Infos sur le produit et ses performances

2Intel SGX n'est pas vulnérable à la plupart des menaces sur la couche du SE et la base de données contient aujourd'hui plus de 140 000 menaces. https://cve.mitre.org
3Au mois d'août 2020, des centaines de rapports de recherche avaient mentionné Intel SGX