Meltdown et Spectre

Aller en bas

Meltdown et Spectre

Message par Kyraly le Ven 5 Jan 2018 - 16:15

Bonjour

Un article sur les failles "Meltdown" et "Spectre" qui touchent la plupart des processeurs existants :

http://www.lemonde.fr/pixels/article/2018/01/05/meltdown-et-spectre-les-deux-failles-critiques-decouvertes-dans-la-plupart-des-processeurs_5237712_4408996.html

Smartphones, serveurs de « cloud » ou ordinateurs, une grande partie des appareils informatiques sont vulnérables à ces attaques exploitant des défauts dans les puces.
Si Meltdown – qui concerne en très grande majorité les processeurs Intel – peut être repoussée, il en va différemment pour sa petite sœur Spectre. Cette dernière a des racines plus profondes et les constructeurs vont devoir modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie que certains appareils demeureront 
vulnérables pendant des mois, voire des années.

Ci dessous le bulletin d'alerte du CERT

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

A voir l'impact qu'auront ces failles, et celui qu'elles auraient déjà eu.
avatar
Kyraly
Membre

Masculin Nombre de messages : 1263
Localisation : Grand Est
Emploi : Industrie
Date d'inscription : 08/02/2017

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Catharing le Ven 5 Jan 2018 - 21:42

Salut,
Le sujet a déjà été abordé hier par Logan  ici  .
A savoir si cela doit faire l'objet d'un topic à part entière vu la gravité de l'info ?
A vous de voir clind'oeil

________________________________________________________
" Avec des si ...tu auras milles passés mais aucun avenir  "
avatar
Catharing
Modérateur

Masculin Nombre de messages : 4543
Localisation :
Date d'inscription : 22/11/2011

Voir le profil de l'utilisateur http://amicaledesnidsapoussiere.over-blog.com/

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Collapse le Ven 5 Jan 2018 - 22:24

bonsoir

vu les conséquences potentiels - un fil dédié serait mieux.

je remet le résumé ici : https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiques-sur-les-processeurs.html

La menace est encore très théorique. Mais les conséquences pourrait être très importante. La majorité des pc/mac/smartphone à travers le monde sont touchés.

Même le gouvernement s'agite :
https://www.cybermalveillance.gouv.fr/nos-articles/alerte-meltdown-spectre/
http://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

Logan - tu as l'air de bien maitriser le sujet. Quel est d’après toi le niveau de menace potentiel ?
avatar
Collapse
Membre

Masculin Nombre de messages : 97
Date d'inscription : 15/11/2016

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par logan le Sam 6 Jan 2018 - 10:11

Salut Collapse,

C'est du lourd mais le ciel ne va pas non plus nous tomber sur la tête.

Encore tôt pour avoir une idée précise de l'ampleur .. mais on a déjà vu des failles pires en terme d'accès. Par exemple certaines qui permettaient de prendre directement la main sur ton pc/serveur à distance (remote root exploit).

Meltdow/Spectre ne font pas çà. Tout du moins aussi directement. Elle permettent surtout de lire des bouts de mémoire sur ta machine. Et pour que çà marche, il faut que ca soit toi qui ait exécuté un programme malveillant (après sur un pc dès que tu surf ton navigateur exécute du code..).

Là où Meltdown/Spectre sont vraiment particulières, c'est que ce sont des failles matérielles (en général c'est plus logiciel). Que ce matériel est présent quasi partout. Et que les mises à jours qui sont en train d’être proposées vont corriger certains bugs, mais surement pas tous (sinon comme dit le CERT US : Replace the CPU)

Clairement pour les boites, c'est un gros truc (depuis 2 jours on fait que çà, voir ce qu'on va patcher, comment, les impacts). Ca peut aussi avoir des conséquences ailleurs .. Mais pour la vie des gens en général, ça devrait franchement pas changer grand chose à mon avis.

Intéressant de comprendre aussi le pourquoi de la faille. Ces processeurs ont une fonction de "speculative execution". Pour des raisons de gain de performance, ils exécutent "à l'avance" des taches qu'ils pensent avoir à traiter plus tard (exemple programme avec if/else, ils vont essayer de deviner les branches à l'avance et exécuter le code). Ils le font au niveau "physique" en outrepassant les règles de sécurité du "logiciel", alors que ce n'est pas du tout leur rôle. En préférant le gain/performance à la sécurité, on arrive à des situations critiques .. (et c'est même pire avec les nouveaux objets connectés)

De façon plus général, il va falloir s'habituer à ce genre d'évènement (grosses failles informatiques).
Et à prendre les dispositions nécessaires .. Ça va être de plus en plus fréquent. Et on est qu'en début 2018 ..

PS1 : Merci d'ailleurs à ceux qui ont publié la faille d'avoir attendu le 4/1/18, pour que la plupart des informaticiens de la planète puissent passer noël et le réveillon tranquille. C'est tout bête mais c'est vrai et ca montre bien comme à évoluer le monde de la sécurité. Ca fait aussi quelques mois que les plus gros sont au courant (au moins en partie) et qu'ils ont eu le temps de préparer les premiers patchs.

PS2 : Rappel d'une petite règle basique de sécurité. Lié aux programmes qui tentent d’accéder à des zones interdites.
Quand vous surfez, n'abusez pas de l'utilisation des onglets ! Préférez plusieurs navigateurs si vous faites des choses sensibles.

PAS BIEN :
- un firefox d'ouvert avec : onglet forum olduvai + onglet votre banque + onglet site toto
MIEUX :
- un 1er navigateur firefox : onglet forum olduvai + onglet site toto
- un 2ie navigateur firefox : onglet votre banque (voir même un autre navigateur : chrome & co)

Car si sur toto ou olduvai, vous avez par exemple une bannière de pub malveillante (çà arrive plus souvent qu'on le croit..), du code malveillant va s’exécuter sur votre ordi. Et çà lui sera beaucoup plus facile d'aller voir ce qui se passe dans l'onglet banque si c'est dans le même navigateur/processus, que si votre page banque est ouverte dans un autre navigateur.

Il y a d'autres trucs comme çà mais c'est déjà facile à faire.

PS3 : Les failles Meltdown/Spectre pour le coup peuvent théoriquement lire la mémoire partout. Vous ne lui facilitez pas la tache si c'est dans des processus séparés, mais elles en sont capables. Donc appliquez bien les patchs (même si ils ne seront pas suffisants à 100%) qui sont en train de sortir.
avatar
logan
Animateur

Masculin Nombre de messages : 2563
Localisation : France
Emploi : Ingénieur IT
Date d'inscription : 17/03/2008

Voir le profil de l'utilisateur http://oldu.fr/

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Catharing le Sam 6 Jan 2018 - 15:00

Salut,
@logan
Merci à toi clind'oeil
Si tu as d'autres trucs ,surtout n'hésites surtout pas! pouce

________________________________________________________
" Avec des si ...tu auras milles passés mais aucun avenir  "
avatar
Catharing
Modérateur

Masculin Nombre de messages : 4543
Localisation :
Date d'inscription : 22/11/2011

Voir le profil de l'utilisateur http://amicaledesnidsapoussiere.over-blog.com/

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Collapse le Sam 6 Jan 2018 - 20:29

Bonsoir
Merci Logan pour ces éclaircissements. J entend surtout l'appel à garder la tête froide.
Si ça évolue n’hésite pas.
cordialement
avatar
Collapse
Membre

Masculin Nombre de messages : 97
Date d'inscription : 15/11/2016

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Kyraly le Dim 28 Jan 2018 - 21:53

Bonsoir

un article sur le sujet : http://www.zdnet.fr/actualites/le-secret-trop-bien-garde-des-failles-meltdown-spectre-irrigue-l-amertume-maj-39863242.htm

Sécurité : Pourquoi seul un petit nombre de grands industriels ont-ils été informés des failles des processeurs Meltdown-Spectre et ainsi pu se préparer, au contraire de nombreuses autres entreprises ? Les développeurs Linux s'agacent et les politiques s'interrogent sur les modalités d'un tel embargo.
avatar
Kyraly
Membre

Masculin Nombre de messages : 1263
Localisation : Grand Est
Emploi : Industrie
Date d'inscription : 08/02/2017

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Meltdown et Spectre

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum