TEE

Source: ANSSI (position paper technique, 1 octobre 2025). Le document expose le fonctionnement du Confidential Computing (TEE + attestation), ses limites de sécurité et d’usage, et formule des recommandations aux utilisateurs et aux fournisseurs. 🔐 Contexte et portée Le Confidential Computing protège les données « en cours d’usage » via des Trusted Execution Environments (TEE) et la remote attestation. Il réduit la surface d’attaque (TCB plus petit) et complète le chiffrement au repos/en transit, mais souffre de vulnérabilités, limitations et absence de certifications. ANSSI indique que la technologie n’est pas suffisante pour sécuriser un système de bout en bout ni pour satisfaire la section 19.6 de SecNumCloud 3.2. ⚠️ Modèle de menace et limites majeures ...

Selon des chercheurs de Georgia Tech, Purdue University et van Schaik, LLC (papier de recherche « TEE.fail »), une nouvelle technique d’interposition sur le bus mémoire DDR5 permet de casser les garanties de confidentialité et d’intégrité de TEEs modernes (Intel SGX/TDX, AMD SEV‑SNP), y compris sur des machines en statut d’attestation « UpToDate ». Les auteurs construisent un interposeur DDR5 à budget hobbyiste (moins de 1 000 $) et démontrent que l’encryption mémoire déterministe (AES‑XTS) sur serveurs (sans Merkle tree ni protections anti‑rejeu) ré‑expose des attaques par observation de chiffrements répétables. Ils montrent comment contrôler l’exécution d’enclaves/TDs (canal contrôlé, thrashing cache, mappage physique via ADXL) et synchroniser la capture de transactions DRAM pour reconstruire des secrets. ...