Meltdown, Spectre : le point des failles chez Intel, Apple et Nvidia
Les correctifs de sécurité pour boucher les failles Meltdown et Spectre continuent de se déployer. Intel a réitéré hier que 90% de ses puces lancées ces dernières années allaient être immunisées cette semaine, le reste d'ici la fin du mois.
Du côté d'Apple, la faille Meltdown est de l'histoire ancienne depuis macOS 10.13.2. On n'a pas de nouvelles pour OS X El Capitan et macOS Sierra, qui ont été annoncés comme immunisés… et puis finalement non.
La Pomme a en revanche fait le nécessaire pour Spectre dans Safari pour High Sierra, Sierra et El Capitan (Spectre a aussi été corrigé sur iPhone et iPad via iOS 11.2.2). Depuis ce soir, Apple a également apporté un correctif à Spectre dans Safari Technology Preview, avec la version 47 du navigateur "expérimental".
Nvidia a distribué des mises à jour de pilotes pour ses propres puces (GeForce, Quadro, GRID…), même si les GPU du fabricant ne sont pas directement affectés par ces problèmes de sécurité, a martelé le CEO Jensen Huang. En revanche, « ce que nous avons fait est de proposer des mises à jour pour corriger la vulnérabilité dans les CPU, de la même manière qu'Amazon, SAP ou Microsoft l'ont fait, car nous avons des logiciels ».
Je ne comprends pas bien comment les correctifs que promet Intel et ceux publiés directement par Apple sur ses OS ou Microsoft pour Windows se conjuguent ou s'excluent les uns des autres...
Si Intel corrige ses processeurs et qu'on applique ces correctifs alors la faille est comblée et les correctifs des OS ou des navigateurs comme Safari ne servent plus à rien, je me trompe?
Au passage, si Safari doit être corrigé pour combler la faille Spectre, pourquoi les autres navigateurs ne proposent pas de mise à jour? Est-on toujours exposé si on utilise Chrome ou Firefox?
Bref c,'est vraiment pas claire cette affaire!
et pour rendre les choses encore plus embrouillées, voila Nvidia qui propose des correctifs tout en disant que ses puces ne sont pas concernées.
@SyMich
En ce qui concerne les autres navigateurs chrome et Firefox, j’ai vu passer une mise à jour en fin de semaine dernière ou début de cette semaine pour corriger la faille spectre pour chacun des navigateurs. Donc normalement tout est corrigé du côté de ces navigateurs de la même manière que ce qui a pu être fait pour safari.
@ForzaDesmo
1ere chose a comprendre: Intel ne corrige pas ses processeurs car ce n'est pas possible, le mecanisme est dans le silicium, c'est pas du soft...!
Seules les prochaines generations (d'ici 18 a 24 mois, au minimum) seront exemptes de ces backdoor.
Il n'y a que 4 niveaux d'action possible:
- les drivers
- le bios / EFI
- le noyau du systeme
- dans une certaine mesure les applications aussi (les donnees peuvent etre securisée en interne, ça limite les degats)
Reste une interrogation sur certaines fonctions du processeur qui pourraient etre desactivables, mais cela reste un secret d'Intel et si c'est le cas cela va poser d'autres questions...
Donc ce que fait Intel c'est mettre a disposition des editeurs d'OS des patch de tres bas niveau pour limiter les degats possibles. C'est du colmatage et rien d'autre.
De leurs coté les editeurs d'OS sont en train de revoir le fonctionnement de ceux-ci pour qu'ils compensent ce que le processeur ne fait pas, a savoir securiser les acces a la memoire.
Donc on a deux approches complementaires:
- Intel propose des patch d'urgence pour limiter les degats
- le éditeurs ne font plus confiance a Intel et securisent le plus possible les acces aux donnees.
Il faut aussi comprendre que cette politique est progressive. Dans un premier temps il faut faire au plus presser et eviter a tout prix des exploitations illégitimes de ces backdoor. C'est donc pas optimisé et on pourrait voir une amélioration des performances avec de prochaines mise a jour.
Il est important de prendre en compte, qu'une fonction effectuée au niveau du logiciel est beacoupl plus lente et consommatrice de ressource que si elle est assurée par une unite dediée du processeur!
La 2eme chose qui est importante c'est que la correction de ces backdoor interferent avec les mecanismes principaux d'optimisation qui ont permis les gains de puissance et de consommation ces 10 dernieres annees.
Techniquement les solutions de securisation vont donc mettre a terre les mecanisme de mise en cache, execution predictive et pipeline. Ça veut dire que plus un processeur repose sur ces mecanismes, plus les performances vont etre affectées... Plus un processeur a de Core, plus il fait usage du turbo et de l'unité de gestion d'alimentation, plus ses performances vont s'effondrer.
«Et est-ce que le correctif pour Safari ralentit le navigateur ?»
Normalement pas de maniere sensible.
L'idee c'est de verifier que le code JS d'une page Web ne repond pas au modele d'exploitation demontré. Sinon, le code ne doit pas etre executé.
Par contre l'acces a cette faille a travers un navigateur Web risque bien de remettre en question la tendance actuelle du Web, a savoir tenter de faire du navigateur une machine virtuelle sur laquelle executer des applications comparables a des applications natives. On va peut etre revenir a l'esprit du Web et abandonner le concept de Web app complexe.
Je tiens a relever une chose: on apprend donc maintenant que les GPU sont aussi affectés indirectement par ce type de backdoor. On se retrouve donc avec un mécanisme de faille pernicieux, qui était accessible a un niveau plus bas que l'OS et qui impacte des architectures matérielles totalement différentes et antagonistes: il est impossible que ce soit une coïncidence ou un hazard!
Plus que des backdoor, on pourrait parle de "meta" backdoor, permettant de forger d'autres backdoor...
Les agences de sécurité et l’état américain vont devoir s'expliquer.
@SyMich
Le correctif des cpus permettent de combler la ou les failles.
Cependant, bcp de logiciels et l’OS utilisent la fonctionnalité d’accès direct à la mémoire du cpu.
Donc il faut les patcher car une fois la faille corrigée plus rien ne marche. Quelques antivirus non patches ont généré des écrans bleus, ce qui a au pire des cas demandé une restauration de l’OS.
Donc la chaîne est : CPU>OS>navigateur Internet|AV|logiciel
Et concrètement, comment ça va se passer pour installer les mises à jour d'Intel pour le processeur et de Nvidia pour ceux qui ont des cartes NVidia sur leur Mac?
Est-ce qu'Apple va diffuser une sorte de mise à jour comme pour l'EFI?
Mais si pour la carte graphique je comprends que ça puisse être possible, pour le processeur j'ai des doutes qu'il puisse être en fonctionnement pour s'auto mettre à jour.
Ce serait bien que MacG nous trouve des éclaircissements, parce que juste savoir qu'Intel et NVidia ont mis au point des patches de leurs puces, ça ne nous dit pas comment ça va solutionner le problème sur nos Macs.
(Et vu la vitesse à laquelle ces fabricants de micro processeurs reagissent, j'imagine qu'il y a urgence à installer leurs mises à jour pour se protéger contre ces failles. Alors certes certains disent que ça fait 10 ans qu'elles existent et que le monde ne s'est pas arrêté de tourner, sauf que maintenant ces failles sont connues et risquent d'être exploitées, ce qui n'était pas le cas jusqu'à présent),
Le correctif pour Windows est déjà sorti?
@djtst
Quelques heures après Meltdown ? je suppose que pour Spectre aussi.
@quentinf33
J’ai vu, elle est sorti il y a 8 jours
C’est juste des mises à jour de cascade, des ajustements suite aux patchs niveau système. Je suis d’accord que la com est pas super claire !!
Mises à jour de cascade, c'est à dire?
Tu veux dire qu'elles se complètent les unes les autres?
Mais du coup, il faut bien TOUTES les installer pour être protégé, c'est ça?
D'où mes questions pour savoir comment nos macs vont recevoir les mises à jour d'Intel et de Nvidia.
Un patch logiciel ne corrigera jamais une faille hardware, ça me parait très fumeux tout ça ...
J'ai trouvé la page de téléchargement des nouveaux micrologiciels des processeurs Intel (ça a beau être une faille hardware,j'imagine que la correction du micrologiciel change le comportement du processeur et ferme l'accès à sa mémoire protégée) mais je ne vois vraiment pas comment on peut mettre à jour ceux installés dans nos Mac.
En gros pour les macs anciens non sous High Sierra, il faut utiliser Windows puisque je présume que la MAJ d’Intel ne sera à mon avis pas sous macOS.
@konoplyanka06
En principe Sierra et probalement El Capitan devraient etre patché. Apple avait annoncé que c'etait deja fait, mais ils ont de toute evidence merdé et la correction n'est pas effective. Vu la berezina qu'est l'organisation d'Apple ces dernieres annees et le florileges de failles, bug et incongruités qui affectent Mac OS High Sierra et iOS 11, il ne pas y avoir grand monde qui a le temps de se pencher sur MacOS 10.12 et Mac OS 10.12, et encore moins pour iOS 10. Mais Apple n'a pas non plus beaucoup le choix, au moins pour MacOS...
Et pour iOS 10.3 ? Parce qu'il existe encore des iPhones qui tournent sur cette version ! Non ?