Meltdown et Spectre
4 participants
Page 1 sur 1
Meltdown et Spectre
Bonjour
Un article sur les failles "Meltdown" et "Spectre" qui touchent la plupart des processeurs existants :
http://www.lemonde.fr/pixels/article/2018/01/05/meltdown-et-spectre-les-deux-failles-critiques-decouvertes-dans-la-plupart-des-processeurs_5237712_4408996.html
Ci dessous le bulletin d'alerte du CERT
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/
A voir l'impact qu'auront ces failles, et celui qu'elles auraient déjà eu.
Un article sur les failles "Meltdown" et "Spectre" qui touchent la plupart des processeurs existants :
http://www.lemonde.fr/pixels/article/2018/01/05/meltdown-et-spectre-les-deux-failles-critiques-decouvertes-dans-la-plupart-des-processeurs_5237712_4408996.html
Smartphones, serveurs de « cloud » ou ordinateurs, une grande partie des appareils informatiques sont vulnérables à ces attaques exploitant des défauts dans les puces.
vulnérables pendant des mois, voire des années.Si Meltdown – qui concerne en très grande majorité les processeurs Intel – peut être repoussée, il en va différemment pour sa petite sœur Spectre. Cette dernière a des racines plus profondes et les constructeurs vont devoir modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie que certains appareils demeureront
Ci dessous le bulletin d'alerte du CERT
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/
A voir l'impact qu'auront ces failles, et celui qu'elles auraient déjà eu.
Kyraly- Membre
- Nombre de messages : 4964
Localisation : Grand Est
Emploi : Industrie
Date d'inscription : 08/02/2017
Re: Meltdown et Spectre
Salut,
Le sujet a déjà été abordé hier par Logan ici .
A savoir si cela doit faire l'objet d'un topic à part entière vu la gravité de l'info ?
A vous de voir
Le sujet a déjà été abordé hier par Logan ici .
A savoir si cela doit faire l'objet d'un topic à part entière vu la gravité de l'info ?
A vous de voir
________________________________________________________
"Le problème avec ce monde est que les personnes intelligentes sont pleines de doutes tandis que les personnes stupides sont pleines de confiance."
"Quand on se fait vieux, on se réveille chaque matin avec l'impression que le chauffage ne marche pas."
C'est ça le problème avec la gnôle, songeai-je en me servant un verre. S'il se passe un truc moche, on boit pour essayer d'oublier; s'il se passe un truc chouette, on boit pour le fêter, et s'il ne se passe rien, on boit pour qu'il se passe quelque chose.
Re: Meltdown et Spectre
bonsoir
vu les conséquences potentiels - un fil dédié serait mieux.
je remet le résumé ici : https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiques-sur-les-processeurs.html
La menace est encore très théorique. Mais les conséquences pourrait être très importante. La majorité des pc/mac/smartphone à travers le monde sont touchés.
Même le gouvernement s'agite :
https://www.cybermalveillance.gouv.fr/nos-articles/alerte-meltdown-spectre/
http://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/
Logan - tu as l'air de bien maitriser le sujet. Quel est d’après toi le niveau de menace potentiel ?
vu les conséquences potentiels - un fil dédié serait mieux.
je remet le résumé ici : https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiques-sur-les-processeurs.html
La menace est encore très théorique. Mais les conséquences pourrait être très importante. La majorité des pc/mac/smartphone à travers le monde sont touchés.
Même le gouvernement s'agite :
https://www.cybermalveillance.gouv.fr/nos-articles/alerte-meltdown-spectre/
http://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/
Logan - tu as l'air de bien maitriser le sujet. Quel est d’après toi le niveau de menace potentiel ?
Collapse- Membre
- Nombre de messages : 136
Date d'inscription : 15/11/2016
Re: Meltdown et Spectre
Salut Collapse,
C'est du lourd mais le ciel ne va pas non plus nous tomber sur la tête.
Encore tôt pour avoir une idée précise de l'ampleur .. mais on a déjà vu des failles pires en terme d'accès. Par exemple certaines qui permettaient de prendre directement la main sur ton pc/serveur à distance (remote root exploit).
Meltdow/Spectre ne font pas çà. Tout du moins aussi directement. Elle permettent surtout de lire des bouts de mémoire sur ta machine. Et pour que çà marche, il faut que ca soit toi qui ait exécuté un programme malveillant (après sur un pc dès que tu surf ton navigateur exécute du code..).
Là où Meltdown/Spectre sont vraiment particulières, c'est que ce sont des failles matérielles (en général c'est plus logiciel). Que ce matériel est présent quasi partout. Et que les mises à jours qui sont en train d’être proposées vont corriger certains bugs, mais surement pas tous (sinon comme dit le CERT US : Replace the CPU)
Clairement pour les boites, c'est un gros truc (depuis 2 jours on fait que çà, voir ce qu'on va patcher, comment, les impacts). Ca peut aussi avoir des conséquences ailleurs .. Mais pour la vie des gens en général, ça devrait franchement pas changer grand chose à mon avis.
Intéressant de comprendre aussi le pourquoi de la faille. Ces processeurs ont une fonction de "speculative execution". Pour des raisons de gain de performance, ils exécutent "à l'avance" des taches qu'ils pensent avoir à traiter plus tard (exemple programme avec if/else, ils vont essayer de deviner les branches à l'avance et exécuter le code). Ils le font au niveau "physique" en outrepassant les règles de sécurité du "logiciel", alors que ce n'est pas du tout leur rôle. En préférant le gain/performance à la sécurité, on arrive à des situations critiques .. (et c'est même pire avec les nouveaux objets connectés)
De façon plus général, il va falloir s'habituer à ce genre d'évènement (grosses failles informatiques).
Et à prendre les dispositions nécessaires .. Ça va être de plus en plus fréquent. Et on est qu'en début 2018 ..
PS1 : Merci d'ailleurs à ceux qui ont publié la faille d'avoir attendu le 4/1/18, pour que la plupart des informaticiens de la planète puissent passer noël et le réveillon tranquille. C'est tout bête mais c'est vrai et ca montre bien comme à évoluer le monde de la sécurité. Ca fait aussi quelques mois que les plus gros sont au courant (au moins en partie) et qu'ils ont eu le temps de préparer les premiers patchs.
PS2 : Rappel d'une petite règle basique de sécurité. Lié aux programmes qui tentent d’accéder à des zones interdites.
Quand vous surfez, n'abusez pas de l'utilisation des onglets ! Préférez plusieurs navigateurs si vous faites des choses sensibles.
PAS BIEN :
- un firefox d'ouvert avec : onglet forum olduvai + onglet votre banque + onglet site toto
MIEUX :
- un 1er navigateur firefox : onglet forum olduvai + onglet site toto
- un 2ie navigateur firefox : onglet votre banque (voir même un autre navigateur : chrome & co)
Car si sur toto ou olduvai, vous avez par exemple une bannière de pub malveillante (çà arrive plus souvent qu'on le croit..), du code malveillant va s’exécuter sur votre ordi. Et çà lui sera beaucoup plus facile d'aller voir ce qui se passe dans l'onglet banque si c'est dans le même navigateur/processus, que si votre page banque est ouverte dans un autre navigateur.
Il y a d'autres trucs comme çà mais c'est déjà facile à faire.
PS3 : Les failles Meltdown/Spectre pour le coup peuvent théoriquement lire la mémoire partout. Vous ne lui facilitez pas la tache si c'est dans des processus séparés, mais elles en sont capables. Donc appliquez bien les patchs (même si ils ne seront pas suffisants à 100%) qui sont en train de sortir.
C'est du lourd mais le ciel ne va pas non plus nous tomber sur la tête.
Encore tôt pour avoir une idée précise de l'ampleur .. mais on a déjà vu des failles pires en terme d'accès. Par exemple certaines qui permettaient de prendre directement la main sur ton pc/serveur à distance (remote root exploit).
Meltdow/Spectre ne font pas çà. Tout du moins aussi directement. Elle permettent surtout de lire des bouts de mémoire sur ta machine. Et pour que çà marche, il faut que ca soit toi qui ait exécuté un programme malveillant (après sur un pc dès que tu surf ton navigateur exécute du code..).
Là où Meltdown/Spectre sont vraiment particulières, c'est que ce sont des failles matérielles (en général c'est plus logiciel). Que ce matériel est présent quasi partout. Et que les mises à jours qui sont en train d’être proposées vont corriger certains bugs, mais surement pas tous (sinon comme dit le CERT US : Replace the CPU)
Clairement pour les boites, c'est un gros truc (depuis 2 jours on fait que çà, voir ce qu'on va patcher, comment, les impacts). Ca peut aussi avoir des conséquences ailleurs .. Mais pour la vie des gens en général, ça devrait franchement pas changer grand chose à mon avis.
Intéressant de comprendre aussi le pourquoi de la faille. Ces processeurs ont une fonction de "speculative execution". Pour des raisons de gain de performance, ils exécutent "à l'avance" des taches qu'ils pensent avoir à traiter plus tard (exemple programme avec if/else, ils vont essayer de deviner les branches à l'avance et exécuter le code). Ils le font au niveau "physique" en outrepassant les règles de sécurité du "logiciel", alors que ce n'est pas du tout leur rôle. En préférant le gain/performance à la sécurité, on arrive à des situations critiques .. (et c'est même pire avec les nouveaux objets connectés)
De façon plus général, il va falloir s'habituer à ce genre d'évènement (grosses failles informatiques).
Et à prendre les dispositions nécessaires .. Ça va être de plus en plus fréquent. Et on est qu'en début 2018 ..
PS1 : Merci d'ailleurs à ceux qui ont publié la faille d'avoir attendu le 4/1/18, pour que la plupart des informaticiens de la planète puissent passer noël et le réveillon tranquille. C'est tout bête mais c'est vrai et ca montre bien comme à évoluer le monde de la sécurité. Ca fait aussi quelques mois que les plus gros sont au courant (au moins en partie) et qu'ils ont eu le temps de préparer les premiers patchs.
PS2 : Rappel d'une petite règle basique de sécurité. Lié aux programmes qui tentent d’accéder à des zones interdites.
Quand vous surfez, n'abusez pas de l'utilisation des onglets ! Préférez plusieurs navigateurs si vous faites des choses sensibles.
PAS BIEN :
- un firefox d'ouvert avec : onglet forum olduvai + onglet votre banque + onglet site toto
MIEUX :
- un 1er navigateur firefox : onglet forum olduvai + onglet site toto
- un 2ie navigateur firefox : onglet votre banque (voir même un autre navigateur : chrome & co)
Car si sur toto ou olduvai, vous avez par exemple une bannière de pub malveillante (çà arrive plus souvent qu'on le croit..), du code malveillant va s’exécuter sur votre ordi. Et çà lui sera beaucoup plus facile d'aller voir ce qui se passe dans l'onglet banque si c'est dans le même navigateur/processus, que si votre page banque est ouverte dans un autre navigateur.
Il y a d'autres trucs comme çà mais c'est déjà facile à faire.
PS3 : Les failles Meltdown/Spectre pour le coup peuvent théoriquement lire la mémoire partout. Vous ne lui facilitez pas la tache si c'est dans des processus séparés, mais elles en sont capables. Donc appliquez bien les patchs (même si ils ne seront pas suffisants à 100%) qui sont en train de sortir.
Re: Meltdown et Spectre
Salut,
@logan
Merci à toi
Si tu as d'autres trucs ,surtout n'hésites surtout pas!
@logan
Merci à toi
Si tu as d'autres trucs ,surtout n'hésites surtout pas!
________________________________________________________
"Le problème avec ce monde est que les personnes intelligentes sont pleines de doutes tandis que les personnes stupides sont pleines de confiance."
"Quand on se fait vieux, on se réveille chaque matin avec l'impression que le chauffage ne marche pas."
C'est ça le problème avec la gnôle, songeai-je en me servant un verre. S'il se passe un truc moche, on boit pour essayer d'oublier; s'il se passe un truc chouette, on boit pour le fêter, et s'il ne se passe rien, on boit pour qu'il se passe quelque chose.
Re: Meltdown et Spectre
Bonsoir
Merci Logan pour ces éclaircissements. J entend surtout l'appel à garder la tête froide.
Si ça évolue n’hésite pas.
cordialement
Merci Logan pour ces éclaircissements. J entend surtout l'appel à garder la tête froide.
Si ça évolue n’hésite pas.
cordialement
Collapse- Membre
- Nombre de messages : 136
Date d'inscription : 15/11/2016
Re: Meltdown et Spectre
Bonsoir
un article sur le sujet : http://www.zdnet.fr/actualites/le-secret-trop-bien-garde-des-failles-meltdown-spectre-irrigue-l-amertume-maj-39863242.htm
un article sur le sujet : http://www.zdnet.fr/actualites/le-secret-trop-bien-garde-des-failles-meltdown-spectre-irrigue-l-amertume-maj-39863242.htm
Sécurité : Pourquoi seul un petit nombre de grands industriels ont-ils été informés des failles des processeurs Meltdown-Spectre et ainsi pu se préparer, au contraire de nombreuses autres entreprises ? Les développeurs Linux s'agacent et les politiques s'interrogent sur les modalités d'un tel embargo.
________________________________________________________
« La guerre, c'est la paix. » : L Tolstoi (je crois)
« La liberté, c'est l’esclavage. » : Spartacus (pas sur)
« L'ignorance, c'est la force. » : F Dostoïevski (a vérifier)
Kyraly- Membre
- Nombre de messages : 4964
Localisation : Grand Est
Emploi : Industrie
Date d'inscription : 08/02/2017
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|