Meltdown et Spectre : les failles de sécurité les plus polluantes de l’histoire ?

Christophe Laporte |

Les conséquences de Meltdown sont diverses et variées. Fidèle au calendrier qu’il s’était fixé, le géant des semi-conducteurs n’a pas tardé à déployer des correctifs. Si dans le cadre d’une utilisation courante sur Mac, les premiers correctifs mis à disposition des utilisateurs ont relativement peu d’impacts sur les performances, sur les serveurs, le diagnostic est bien différent.

Cliquer pour agrandir

Ce graphique publié par Mike Newswanger l’illustre parfaitement. L’ingénieur a commencé à évaluer l’impact en matière de performances sur les premiers serveurs de Stack Overflow dotés du correctif.

Les deux courbes montrent la charge processeur : en orange la charge du processeur avant le patch, en vert celle après la mise à jour. La différence se voit à l’oeil nu. À nombre de requêtes identiques, le CPU voit sa charge de travail augmenter de 65 % en moyenne. Pire encore, on constate des pics dans certains cas pouvant atteindre 275 % ! Les tests en question ont été menés sur des serveurs Dell équipés de processeur Xeon E5 2690 v3 (double socket, chacun dispose de 12 core).

Bien entendu, il s’agit d’un cas particulier, mais ce n’est certainement pas un cas isolé. Les programmes pour serveurs sont souvent conçus pour exploiter au maximum les caractéristiques des processeurs. Microsoft pour sa part a d’ailleurs reconnu que Meltdown et Spectre auront un impact non négligeable sur les performances de Windows Server. Red Hat a tenu de son côté un discours assez similaire. LeMagIT publie plusieurs témoignages liés à cette problématique. Nos confrères citent le cas d’EPIC dont les serveurs au cœur de leurs plates-formes de jeu en ligne, consomment 20 à 30 % en plus depuis la mise en place des correctifs. Pour ne rien arranger, certains notent que tout cela conduit également à une augmentation de l’instabilité des serveurs.

Alors maintenant, il faut imaginer des centaines de millions de processeurs qui quasiment du jour au lendemain, vont commencer à chauffer plus, à tourner plus vite et à consommer davantage pour accomplir les mêmes tâches qu’hier. Dans certains cas, il faudra même acheter des serveurs supplémentaires pour accomplir la même besogne. La note d’électricité des data-center va très vite s’en ressentir. Et en termes de conséquence écologique, même si cela est encore très difficile à chiffrer pour le moment, cette faille aura un coût important. Certains se « rassureront » en se disant que cela reste relativement peu de choses comparées aux cryptomonnaies, qui sont très critiquées sur cet aspect-là. Le mining consommerait actuellement l’équivalent de la production de quatre centrales nucléaires. On se rassure comme on peut…

avatar Liena | 

Pour les crypto monnaies, l’exemple des « mineurs » chinois est parlant : la production de bitcoin consomme beaucoup d’énergie et en Chine, celle-ci provient des centrales à charbon. Le gouvernement chinois entend réglementer cette activité tant elle est source de pollution

avatar C1rc3@0rc | 

Il me semble que les usines de "minages" sont surtout branchées a la sortie des megabarages hydroelectriques en Chine...

Bon en terme ecologique c'est pas mieux, vu que l'energie captée pour miner n'arrive plus aux usines qui doivent alors plus tirer sur les centrales a charbon.

Apres, je pense que le principe du minage est une faille majeure de concpetion des crptomonnaies qui va les conduire dans une impasse tres rapidement.

La raison est tres simple: le principe de base des cryptomonnaies repose sur la blockchain dont la solidité repose sur les modele reparti P2P.
Avec les principe du minage on va inévitablement vers une centralisation du traitement qui se localise géographiquement.
On le voit aujourd'hui avec le Bitcoin, 70% des usines de minages seraient localisées en Chine. Cela veut dire que si du jour au lendemain l'etat Chinois decide d'intervenir, avec comme situation du pire une interdiction de fonctionnement, 70% des transactions seront immédiatement transférés sur les 30% restant de ressources ( hors Chine) ce qui constituera alors un tel coup de frein - le principe de l'economie financiere est transactionnelle et circulaire - que cela pourrait alors impliquer de devoir attendre des années avant que le réseau retrouve sa vitesse de validation... ce qui signifie la mort du Bitcoin.

La chute de performance des serveurs du a Meltdown, Spectre, plus toutes celles qui vont etre annoncées dans les mois qui viennent, va conduire aussi a un ralentissement des transactions des cryptomonnaies. Et même si les monnaies comme le Bitcoin reposent de plus en plus sur des cartes spécifiques pour le minage, le rendement du processeur a un impact majeur.

Il faut se rappeler que l'efficacité des cryptomonnaies, et leurs valeur, dépendent de l'ampleur du réseau qui les utilise et de sa distribution... Bref, depuis des annees on assiste a une demande croissante de la puissance de calcul pour faire fonctionner le systeme Bitcoin, si on perd meme 20% d'un coup ce sera pire qu'un krak boursier majeur.

avatar Bigdidou | 

« Le mining consommerait actuellement l’équivalent de la production de quatre centrales nucléaires. On se rassure comme on peut… »

C’est sidérant.
Et intéressant. C’est quelque chose de difficile à réaliser au quotidien l’impact énergétique de toutes ces activités.

avatar Orus | 

Il faut bien que la valeur du Bitcoin vienne de quelque part. Ce qui en fait une vraie ressource; ce n'est pas une bulle (comme voudrait le faire croire les banques).

avatar Bigdidou | 

@Orus

« Il faut bien que la valeur du Bitcoin vienne de quelque part. »
La nécessité ne crée pas la cause :D
La question n’est pas s’il faut que cela soit, mais comment les choses sont.
Les bitcoins existent en quantité finie, limitée et prédéterminée.
Pour l’instant, beaucoup de monde en veut, dans l’espoir que la demande ne cessera de se soutenir ou d’augmenter ce qui, mathématiquement fait croitre la valeur de cette ressource puisqu’elle est limitée.
Mais cette ressource est du vent : elle ne correspond à rien de concret. Et surtout, elle n’est garantie par personne.
Elle n’existe et n’a de la valeur que par la spéculation.
C’est un jeu dangereux, en tout cas sur le long terme.

Sinon, les technologie qui sont derrière le bt, on est d’accord, c’est autre chose, très concret, et j’ai compris que ça allait à court ou moyen terme révolutionner les échanges de valeurs, mais aussi, plus globalement, d’informations qui ont besoin d’être sécurisées et certifiées.

avatar backfromcharly | 

@Bigdidou

Oui comme l'euro (ancien franc depuis 1936) ou le dollar (depuis 1976) qui sont des valeurs fiduciaires et qui sont donc par définition dépourvus de valeur intrinsèque et qui ne peuvent être convertis en or.
En gros 1 euro ne correspond à rien dans un coffre fort.

avatar Bigdidou | 

@backfromcharly

« Oui comme l'euro »
Eh non. Derrière un monnaie, il y a des états qui sont très concrets, eux.
La valeur de ton euro est garantie par des états.
La valeur du bitcoin n’est garantie par rien du tout. Une valeur que lui auto-attribue un groupuscule d’utilisateurs.

avatar backfromcharly | 

@Bigdidou

J’ai jamais dit le contraire.
Je parle juste du côté immatériel de l’argent ;-)

avatar Issou la chancla | 

Les crypto monaies moi je vais pas m'en plaindre.
+4400 euros sur l'ETH en 3 mois après avoir investi 200 balles y'a pas mal de temps, je suis assez satisfait.

"C'est une bulle" ouais ouais ...

avatar marc_os | 

@Issou la chancla :
Les 4200 € que tu as gagnés, d'où crois-tu qu'ils viennent ?

avatar Issou la chancla | 

De mon hold pardi !

avatar Trillot Bernard | 

Il ne les a pas gagné! Pour l'instant ce n'est que la valeur qu'à pris son investissement, ce qui est très différent.

On ne saura qu'à la vente s'il a gagné ou perdu quelque chose.

avatar marc_os | 

@ Trillot Bernard
Vous êtes tous très bons pour esquiver et éviter de répondre sur le fond. Je pose donc à nouveau la question :
Si suite à la vente de son « investissement » il gagne de l'argent, d'où l'argent « gagné » proviendra-t-il ?

avatar Bigdidou | 

@marc_os

« Si suite à la vente de son « investissement » il gagne de l'argent, d'où l'argent « gagné » proviendra-t-il ? »
Ben ici de celui qui lui a racheté les bitcoins (puisqu’il est question de ça), et ainsi de suite.
Jusqu’à ce que la bulle éclate et que ce système pyramidal se casse la gueule.
Celui qui aura perdu l’aura bien cherché.
C’est plus embêtant quand il représente les intérêts de gens modestes qui lui ont fait confiance, pour leur retraite, par exemple.
L’avantage de ces bulles, c’est que personne ne travaille ou se ruine la santé pour nourrir les spéculateurs qui fonctionnent en circuit fermé et jouent une sorte de poker menteur planétaire.
Donc, qu’ls fassent ce qu’ils veulent, après tout.

avatar Claude Pelletier | 

On se rassure vraiment comme on peut !
-
Au passage, je serais curieux de connaître l'impact de mon activité numérique personnelle. Quel est le prix de tous mes clics sur la toile ?.

avatar marenostrum | 

c'est ce que tu payes en factures, rien de plus.

avatar Bigdidou | 

@marenostrum

« c'est ce que tu payes en factures, rien de plus. »

J’ai cherché en vain, je ne vois nullement la mention de mes clics sur mes factures.
Je suppose que Claude Pelletier parle du coût écologique, et je trouve que c’est intéressant comme question.
Ça rejoint la masse de choses inutiles que nous faisons, pour lesquelles nous ne nous posons pas la question, et qui, accumulées, finissent par constituer une pollution énorme inutile et évitable, mais dont nous n’avons pas idée.

avatar marenostrum | 

le coût écologique se mesure aussi par ses factures, électricité, abonnements, matériel électronique etc. dès qu'il aura de l'argent a dépensé la pollution va continuer, quand il dépensera plus, ça va s'arrêter (tout seul). ils sont lié.

en tout cas on va mourrir avant la planète, qui ne dépend pas de nous. peut-être pas tous. ça va se répéter la même histoire biblique et ainsi de suite.

avatar Bigdidou | 

@marenostrum

« en tout cas on va mourrir avant la planète, qui ne dépend pas de nous. peut-être pas tous »

Oui, sauf que nous soucier de ce qui se passe après nous, et pas se contenter de notre petit passage temporaire, c’est ce qui distingue l’humanité de la moule.
Les gens qui avant toi, depuis l’antiquité, ont tenté d’unir les territoires au travers des guerres et des conflits et des traités, d’y construire des infrastructures, d’y développer les technologies, l’art, les monuments, c’est pas pour leur petite pomme qu’il l’ont fait.
Pas uniquement.
C’est pour ceux d’après, et d’encore après.

Sinon, l’histoire de l’humanité, elle commence pas avec ce qui est raconté dans la bible, hein.
Elle commence avec la soupe primordiale, les premiers acides aminés, les première formes de vie unicellulaires, et, etc, jusqu’au premier homme de Neandertal, le premier homo sapiens.
Il n’y a pas de cycle, dans cette histoire, encore moins biblique.
Les dinosaures, qui ont disparu après une pollution accidentelle le savent bien, et ils reviendront pas.
Quand la Terre sera stérilisée par la pollution, qu’est-ce qui te dis qu’il y aura une résilience possible ?
On s’en fout, on sera plus là ?
Moui.

avatar Sokö | 

@Bigdidou

« Les dinosaures, qui ont disparu après une pollution accidentelle le savent bien, et ils reviendront pas. »

Pour ma part, je n’appelle ça une pollution, mais bon !

avatar Bigdidou | 

@Sokö

« Pour ma part, je n’appelle ça une pollution, mais bon ! »
Un gigantesque nuage de poussière, on l’appelle comment ?
La pollution peut-être naturelle.

avatar PomBreizh | 

@marenostrum

Ben non, pas « rien de plus »
Il y a les flux chez l’opérateur, qu’il compense à travers sa facture d’opérateur internet.
Il y a aussi les les actions engendrées sur les serveurs à l’autre bout, ceux de MacG et consorts, compensées par la pub.

Et, comme le remarque @Bigdidou, il y le coût du matériel pour tout ça, réparti sur l’activité supportée.

avatar macam | 

Pendant ce temps un lecteur dit par deux fois en l’espace d’une semaine s’être fait hacké son trousseau mais ça vous en touche une sans faire bouger l’autre.
Et au contraire de ce que je pensais les failles liées au trousseau ne datent pas de l’automne dernier (https://www.macg.co/os-x/2017/09/le-trousseau-de-macos-affiche-ses-mots-de-passe-en-clair-99847), puisqu’on en parlait déjà en 2015 (https://m.nextinpact.com/news/95456-une-faille-dans-trousseau-dos-x-et-ios-peut-conduire-a-fuite-mots-passe.htm) ; au passage on notera qu’une fois la faille exploitée ce n’est pas que le trousseau qui devient vulnérable.
J’ajoute que dans mon cas l’accès au trousseau s’est faite sans que j’aie eu à installer une application.

avatar mat 1696 | 

@macam

Si tu les as contacté par mail, je te comprends.

Je ne sais pas comment ils gèrent leurs mails macg... mais personellement quand je contact pour signaler un problème ou suggérer un article, je reçois (sans dec) 1/10 fois une réponse et encore moins de fois ma remarque, suggestion, ... n'est prise en compte.

Je trouve que macg est le meilleur site en la matière avec de super rédacteurs, mais niveau mails(contact) c'est pas super. Je pense que c'est pas volontaire, mais faudrait vraiment songer à utiliser un gestionnaire de tickets par mail pour pouvoir avoir un suivi des discussions et être sûr de répondre (ou au moins prendre en compte les messages) à tout le monde.

avatar macam | 

@mat1696 :
En fait non, je ne les ai pas contacté par email à ce sujet ; ce sont juste deux commentaires postés lors de la semaine écoulée. Ca aurait été sans doute plus efficace de les contacter par email à ce sujet (quoique ?). :/
J’avoue ne pas être très emballé à l’idée de ramener le débat à ma petite personne ; et j’espérais obtenir un écho en passant par le forum parce que j’ai du mal à croire que j’ai été la seule cible de cette attaque.

avatar macam | 

Je voulais aussi de cette manière alerter sur ce problème non seulement les lecteurs de Macg mais aussi tous ceux qui s’occupent de sécurité informatique.
De deux choses l’une, soit le script kiddy qui me cherche des noises est suffisamment stupide et vaniteux pour révéler une faille qui peut être exploitée de manière beaucoup plus profitable qu’emmerder un quidam pour ses opinions politiques (scénario crédible vu que ces hackeurs de seconde zone sont en effet aussi vaniteux qu’ils sont bêtes), soit ces vulnérabilités au sein de macos/ios sont un secret de polichinelle dans le monde des hackeurs.

avatar C1rc3@0rc | 

@macam

Expliques ce qui te fais penser que tu as ete hacké et pourquoi cela relèverait de l’exploitation d'une faille du trousseau/

avatar iPop | 

Les déchets que les gens jettent tous les jours (et il y en a, sidérant!), ça c'est vraiment polluant.

avatar Bigdidou | 

@iPop

« ça c'est vraiment polluant. »
Ça l’est aussi.
Une pollution n’en exclut pas une autre.
Ce n’est pas parce qu’il faut faire attention à l’une qu’il ne faut pas s’alerter à propos de l’autre.

avatar Madalvée | 

Tout ça pour diffuser 2 millions de fois la même photo de chatons…

avatar Bigdidou | 

@Madalvée

« Tout ça pour diffuser 2 millions de fois la même photo de chatons… »
Ben, ça c’est précisément mignon, et ça donne du plaisir aux gens.
Les bébés qui gazouillent, le web est fait pour eux ;)

Mais on parle beaucoup ici de la pub et des systèmes de traçage, sans compter toutes les saloperies du web.
Tout cela pollue à tous les niveaux, y compris énergétique.

avatar occam | 

La plus polluante, peut-être, la plus chiante, sûrement.

Rien qu'à voir le trafic internet généré depuis dix jours pour s'informer, alerter, enfumer, descendre en flammes et, accessoirement, effectuer des mises à jour parfois fumeuses, parfois foireuses, le surcoût énergétique causé par la simple propagation de la frayeur causée par la nouvelle de Meltdown&Spectre doit être faramineux. Les courbes de recherche des termes combinés "intel+meltdown+spectre" sur Google Trends en disent long. Google les désigne d'ailleurs comme "outliers".

Personnellement, après trois jours de tollé absolu suivant l'annonce du fiasco, et mois de quatre heures de sommeil en tout, je me suis mis en congé pour une semaine, pour pouvoir répondre calmement aux différentes demandes d'aide et de renseignement de mes collègues et collaborateurs, et pour intervenir directement sur les différents projets le cas échéant.

La situation se résume en deux mots : panique et pagaille, l'une ayant causé l'autre. Mises à jour intempestives, incomplètes et malencontreuses, malentendus, manque d'informations ou surenchère mal digérée, c'est de mémoire le plus grand gâchis depuis longtemps.

Peter Bright vient de publier un état des lieux assez complet, comme à son habitude :
https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/

D'après mes premières observations, ça cadre : les plus pénalisés sont les PC vieillots gémissant encore sous Windows 7 et les serveurs équipés de SSD. Pour les serveurs, la baisse observée après m. à j. est dans une fourchette de 15-30% au moins, comme ordre de grandeur très approximatif.

Mais ce qui me choque surtout — me choque, mais ne me surprend guère — est le coût en travail et en efforts causé par les dysfonctionnements humains, administratifs et institutionnels révélés par ces failles. Et la fragilité de notre infrastructure informatique. Sans parler du manque de culture informatique d'une grande partie des utilisateurs, surtout ceux qui se trouvent à des postes de responsabilité.

avatar Bigdidou | 

@occam

Merci pour ce retour très intéressant.

« Mais ce qui me choque surtout — me choque, mais ne me surprend guère — est le coût en travail et en efforts causé par les dysfonctionnements humains, administratifs et institutionnels révélés par ces failles. Et la fragilité de notre infrastructure informatique. Sans parler du manque de culture informatique d'une grande partie des utilisateurs, surtout ceux qui se trouvent à des postes de responsabilité. »

Rien de nouveau, donc, effectivement.
On a pris récemment la mesure de l’incurie lors des dernières vagues de ramsonware. Ça faisait déjà peur.
On a la confirmation de notre extrême fragilité informatique, le colosse au pieds d’argiles n’a jamais eu d’illustration aussi pertinente.

Quand au manque de culture, il concerne les dirigeants, mais il est surtout institutionnel.
Un exemple.
L’HAS se targue de visions stratégique, nous parle de l’hopital numérique 2020 de d’ipaqs et autres normes qualité à atteindre pour ça.
Mais dans leur site, c’est le grand vide, rien concernant l’informatique, et il sont totalement absent de la gestion du quotidien et surtout lors des crises.
Pour les ransomwares, c’était : « faites attention et démerdez vous ».
Là, pour ces histoies actuelles, silence radio. Mais on file à fond sur l’ouverture des mannes, la centralisation et la circulation des données médicales via les réseaux externes

Sinon, de notre côté, c’est que du bonheur : la vie des petites structures qui sous-traite à des scii.
Eux, ils prennent aussi du recul, comme toi, mais en ne répondant plus ni aux mails, ni au téléphone.
Je ne sais pas comment savoir si nos deux serveurs ont été mis à jour ou pas, aucun moyen d’apprécier, donc, si la baisse de performance a/aura un impact conséquent pour lequel il faut prendre des mesures.
C’est un serveur d’applications, colonne vertébrale de l’informatique de la structure, je suis un peu inquiet§.

avatar backfromcharly | 

@occam

Moué. Je bosse pour le SI d’une banque, je pensais que ce serait le K.O en rentrant de vacances.
Un des responsables de la production m’a dit que pour le moment ça lui en touchait une sans faire bouger l’autre.
Donc pas de suractivité en ce moment.

avatar occam | 

@backfromcharly

"Un des responsables de la production m’a dit que pour le moment ça lui en touchait une sans faire bouger l’autre."

J'ai vu également ce genre de réaction chiraquienne, et la trouve peu édifiante. Anti-cool, pour tout dire.

avatar bitonio | 

Voir ce que ça va donner avec les vagues d’optimisation (comme celle mise au point par les chercheurs de Google). On est dans les v1 des patches, d’autres vont suivre, trop d’enjeux !

Et beaucoup attendent de pied ferme les roadmap des fondeurs pour faire des mises à jour de parc machine/CPU. Intel avait deja pas mal ralenti sur les progrès en terme de bon de vitesse brut, on garde les machines bien plus longtemps chez les pros, sauf si effectivement le gain place/énergie est evident.

On assiste à un pic de pollution certes mais rien comparé aux moteurs diesel (facile de critiquer les chinois hein) ou encore la production de viande vs protéines végétales.

avatar cenker | 

Bonsoir,
Pourquoi avec les serveurs les performances sont impactees et pas pour les ordinateurs « personnel » ? Quelqu’un pourrait éclairer ma lanterne ?

avatar djgreg13 | 

@cenker

Un serveur la charge est plus linéaire la ou sur un pc perso c'est juste des pics de charge

CONNEXION UTILISATEUR