Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Le Blog de jlduret

Le Blog de jlduret

Pensez juste ou pensez faux mais pensez par vous-même ! Depuis Socrate, le devoir du penseur n’est pas de répéter la doxa du moment mais de la questionner.


Meltdown et Spectre : tout ce qu'il faut savoir sur scandale sécurité de 2018_maj Apple_

Publié par jlduret sur 4 Janvier 2018, 17:54pm

Catégories : #Meltdown, #Spectre, #Faille Intel

Meltdown et Spectre : tout ce qu'il faut savoir sur scandale sécurité de 2018_maj Apple_

C’est le premier scandale informatique de 2018. Deux failles ont été découvertes dans les processeurs qu’ils proviennent d’Intel, d’AMD et même d’ARM, révèle The Register.

Avec un tel champ d’action, tout le monde est potentiellement touché. 

Nommées Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715), ces vulnérabilités font partie intégrante des microprocesseurs.

Si la première est logicielle, la seconde est logée physiquement dans la puce. Toutes deux sont difficiles à colmater, mais Spectre est impossible à éradiquer sans en passer par un changement de matériel.

Un véritable désastre qui pourrait mener l’industrie du microprocesseur à repartir de zéro afin de proposer des composants sains.

Mais nous n’en sommes pas encore là. Actuellement, les techniciens tentent encore de corriger ces failles avec plus ou moins de succès. 

Comment ont-elles été découvertes ?

Leur existence ne devait être communiquée que la semaine prochaine, mais un article de The Register a fait voler le scellé en éclat.

Découverts en 2017, Meltdown et Spectre se sont manifestés dans le travail de Jann Horn, chercheur dans l’équipe du Google Project Zero.

Pour le premier, il était alors associé à d’autres ingénieurs de Cyberus Technology et de la Graz University of Technology. En revanche, il n’était qu’avec le cryptographe américain Paul Kocher pour découvrir Spectre, lequel s’avère être le plus virulent.

Muni de preuves de concept après être parvenu à reproduire ces vulnérabilités, Google a ensuite alerté Intel, AMD et ARM en juin 2017, lesquels ne se sont pas empressés de propager l’information.

 

Mis devant le fait accompli aujourd’hui, ils ne se sont pas encore prononcés.

En quoi sont-elles nocives ?

Ces deux failles laissent une ouverture béante sur la mémoire du processeur, normalement hermétique et protégée.

De manière temporaire, celle-ci contient les mots de passe de l’utilisateur, ses photos, ses courriels ou encore ses documents.

En somme, tout ce qu’un ordinateur - ou un smartphone - peut contenir d’important n’est désormais plus en sécurité.

Comme toute faille, elles ne valent rien tant qu’elles ne sont pas exploitées, mais gageons que les hackers sont déjà à pied d’œuvre pour s’emparer de ce nouveau filon.

Meltdown est la plus simple à corriger puisqu’elle fait fondre la protection entre les applications et le système d’exploitation. Une défaillance visible donc, ce qui n’est pas le cas de Spectre.

Celle-ci crée un trou dans la protection, une brèche indétectable.

Qui concernent-elles ?

Potentiellement, tous les systèmes informatiques sont touchés. Que ce soit un ordinateur portable, un smartphone ou un serveur, tous utilisent des microprocesseurs issus majoritairement des trois entreprises concernées : Intel, AMD et ARM.

Le champ des processeurs visés est large puisque Meltdown et Spectre existeraient depuis plus de vingt ans. 

Meltdown se concentre sur ordinateurs personnels et les serveurs (services en ligne / Cloud).

Côté composant, cela correspond à tous les processeurs Intel depuis 1995, à l'exception des Intel Itanium et Atom d’avant 2013.

Elle a d’ailleurs été testée avec succès sur un ensemble de processeurs Intel datant pour le plus vieux de 2011.

À noter que la foire aux questions (en anglais) dédiée à ces failles indique qu’à « l'heure actuelle, il n'est pas clair si les processeurs AMD et ARM sont également affectés par Meltdown. »

L’affaire se complexifie avec Spectre, lequel s’attaque à tous les systèmes, ou presque. « Tous les processeurs modernes capables de conserver de nombreuses instructions à la volée sont potentiellement vulnérables », rapporte le site meltdownattack.com.

Et là « des vérifications ont eu lieu sur des processeurs Intel, AMD et ARM » et se sont toutes révélées positives.

Comment s’en débarrasser ?

Oubliez votre antivirus, il ne sera d’aucune utilité ici. Bien qu’il puisse en théorie bloquer une attaque lancée via ces failles, « c’est peu probable en pratique. Contrairement aux logiciels malveillants habituels, Meltdown et Spectre sont difficiles à distinguer des applications normales. »  

Actuellement, le meilleur moyen de se prémunir contre d’éventuelles attaques est de colmater Meltdown (un patch est disponible pour Windows, OSX et Linux) et de prier pour que les chercheurs trouvent rapidement une solution à Spectre. 

Mais pour se débarrasser définitivement de celle-là, il faudra en passer par le changement du processeur puisqu’elle intervient au niveau matériel et non logiciel. En attendant que les fondeurs sortent de nouvelles séries, il faudra se contenter du patch à venir. 

Des patchs qui ralentiront votre processeur

À noter que ces opérations de maintenance ne sont pas sans séquelles pour le matériel.

Meltdown et Spectre interviennent au coeur du processeur dans un système d’exécution spéculative qui permet d’anticiper le lancement d’instructions et donc d’améliorer les performances. Pour les contrer, les patchs bloquent ce système et brident de facto les performances. 

Les premières estimations rapportent une baisse de la puissance de calcul du processeur comprise entre 5 et 30 %, la valeur la plus haute n’étant atteinte que sur des serveurs. Un particulier équipé d’un processeur récent ne devrait pas être gêné, même avec des jeux vidéo.

En revanche, un processeur vieillissant sera beaucoup plus fortement touché par cette baisse qui pourrait lui être fatale, jusqu’à le rendre obsolète pour son utilisateur.

Meltdown

VU ICI

7 questions pour comprendre ces failles

____

Mise à jour du 5 janvier concernant ces failles et Apple.

Apple : tous les appareils Mac/iOS affectés par Meltdown/Spectre, des correctifs à venir

Apple est enfin sortie de son silence et confirme que tous ses Mac et appareils iOS sont bien concernés par les failles Meltdown/Spectre affectant ses processeurs.

Heureusement, Meltdown a été déjà corrigé dans iOS 11.2, macOS 10.13.2, et tvOS 11.2. Chose amusante, l'Apple Watch n'est pas affectée !

Tous les systèmes Mac et les appareils iOS sont concernés, mais aucune attaque connue n'a d'impact sur les clients pour le moment. Dans la mesure où l'exploitation de la plupart de ces problèmes nécessite le chargement d'une application malveillante sur votre Mac ou votre appareil iOS, nous vous recommandons de télécharger le logiciel uniquement à partir de sources fiables telles que l'App Store.
En revanche, Spectre n'a pas été corrigé, et il faudra attendre un patch dans Safari. La Pomme précise tous les détails dans un document de SAV (en anglais), qui résume en quelques lignes la problématique. La firme ne précise pas ses intentions quant aux OS précédents, qui sont forcément eux-aussi touchés, mais qui ont pu eux-aussi avoir déjà reçu un correctif « silencieux » pour Meltdown ces dernières semaines.

Rappelons que Spectre et Meltdown constituent deux moyens d'accéder à des données censées rester protégées, facilités par la mise en place d'un système prédictif au niveau du CPU, permettant d'accélérer l'exécution de certaines tâches. Sécuriser ce système entrainera donc forcément quelques pertes de performances, même si Intel se veut plutôt rassurant. Apple précise également n'avoir pas observé de ralentissement majeur dans les outils de benchs classiques (mais absolument pas représentatif d'un usage réel, ndlr):

Nos tests avec des benchmarks publics ont montré que les changements apportés aux mises à jour de décembre 2017 n'ont entraîné aucune réduction mesurable des performances de macOS et iOS telles que mesurées par le benchmark GeekBench 4 ou des benchmarks de navigation Web courants tels que Speedometer, JetStream et ARES- 6.

 
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article
C
Oh ben oui hein c'était bien mieux du temps des machines à vapeur hein ?<br /> A les pessimistes çà me gave !!<br /> @Séminaire : Personne ne vous oblige à rien acheter ; vous n'avez pas un fusil sur la tempe.<br /> Et si vous aviez "transpiré" sur des technos pour les créer, vous sauriez au moins que ce n'est pas si simple.
Répondre
S
Tout ceci est scandaleux. L'obsolescence programmée, des patchs... la technologie a de beaux jours devant elle, tout en optimisant fiscalement ses recettes... Superbe...
Répondre

Archives

Nous sommes sociaux !

Articles récents