Microsoft et Google préparent des correctifs pour la faille processeur

Mickaël Bazoge |

Apple n'est pas le seul éditeur de systèmes d'exploitation à livrer les correctifs indispensables pour boucher la faille qui touche les processeurs Intel depuis des années (mais également des puces ARM et AMD, a dévoilé Intel ce soir). Microsoft et Google ne vont pas laisser leurs utilisateurs seuls face à cette vulnérabilité.

Microsoft tout d'abord va fournir une mise à jour pour Windows 7, 8 et 10 dans les heures qui viennent. Pour Windows 10, le correctif va s'installer automatiquement ; pour les versions plus anciennes de l'OS, il faudra réclamer le patch via le système de mise à jour des systèmes (il devrait tomber d'ici mardi prochain). Du côté de Google, une communication est prévue dans la nuit.

On attend également des correctifs et des mises à jour de firmware chez Intel, chez AMD, ainsi que chez les éditeurs d'anti-virus. Apple a corrigé la faille dans macOS 10.13.2 et 10.13.3 en bêta), mais on ignore quand El Capitan et Sierra seront servis. De même, quid d'iOS ? Certaines architectures ARM sont touchées, notamment le Cortex-A.

avatar Juju67 | 

Un beau bordel tout ça!

avatar f3nr1l | 

Les proc d'AMD ne seraient pas touchés. Voir com dans la précédente news.
http://lkml.iu.edu/hypermail/linux/kernel/1712.3/00675.html

avatar Nathanael_Mtd | 

AMD n'est, selon leurs dires, pas touchés par certaines failles. Mais leurs CPU le sont pour d'autres : https://spectreattack.com

avatar Petrichor | 

C'est vraiment pas évident à suivre mais apparemment il y a trois failles :

- La faille CVE-2017-5754 ("rogue data cache load") fait référence à ce que les auteurs ont appelé "Meltdown", qui serait celle dont on a le plus parlé aujourd'hui (parce que des gens se sont aperçus de modifications apportées au noyau linux avant la levée de l'embargo sur la découverte)

Meltdown serait plutôt simple à exploiter mais ne concernerait que les processeurs Intel (et peut être aussi les ARM mais ce n'est pas hyper clair) et serait relativement facile à corriger avec une mise à jour de l'OS (mais avec les baisses de performances que l'on craint ...)

- Les failles CVE-2017-5753 et CVE-2017-5715 (a.k.a "bounds check bypass " et "branch target injection") font référence à "Spectre", qui selon les auteurs concerne tous les processeurs modernes (en gros ceux qui ont le fameux système de "speculative execution")

Spectre serait apparemment plus difficile à exploiter, mais aussi plus difficile (certains disent impossible) à corriger.

Pourtant, AMD annonce (ici) qu'ils ne sont sensibles qu'à "Bounds Check Bypass", et qu'elle ne nécessite qu'une mise à jour software qui n'aura que des conséquences négligibles sur les performances...

À voir dans les heures/jours qui suivent qui dit vrai

avatar pim | 

2017 : failles et bugs en pagaille
2018 : idem mais puissance 10

L’année va être chaude !

avatar marenostrum | 

y a une réponse en fait, la technologie devienne incontrôlable par manque de techniciens de haut niveau. la nouvelle génération est moins apte (l'internet a tout changé, les jeunes ne lissent plus, n'ont plus de vie sociale, etc) que les vieux. aux USA on compense par les indiens en les embauchant (qui sont "en retard", dans leur façon de vivre là bas chez eux. pour le moment la technologie a très peu d'impact dans leur vie. ils en profitent). mais la globalisation va finir par les atteindre, eux aussi. et alors ça sera la fin de tout ça.
c'est pas linéaire le progrès. c'est par cycles.

avatar debione | 

Je ne pense pas que ce soit aussi simple... On se frotte ici à la complexité des systèmes (sujets très intéressants au par ailleurs).

Pour faire simple, si un système est entièrement contrôlable (développable, et gérable) par un seul humain, alors on pourra penser arriver à un système "sans" faille. La ou cela devient problématique, c'est quand on a besoin de plusieurs humains pour contrôler le système. Les bugs n'apparaîtront pas dans ce que fait chaque humain, mais dans la mise en interaction des différentes choses faites.

Le problème vient dans la spécialisation a outrance des gens... On ne veut uniquement que des ultra-spécialistes qui s'occuperont que par exemple d'une partie infime de l'ouvrage. Il manque des généralistes, de vrai généralistes... Un chef de production devrait être un généraliste, ce n'est jamais le cas, c'est toujours un spécialiste qui se spécialisera encore plus...

Faire un tour du côté des théories de la complexité des systèmes, avant de dire : "Les jeunes sont nuls, ils ne se lèvent plus lorsque l'on entre dans leurs classe, ils ne bossent pas"

avatar sachouba | 

@marenostrum :
C'est un commentaire humoristique ? Il était hilarant en tout cas !

Tu sais que le niveau des écoles prestigieuses, que ce soit en France – Polytechnique, CentraleSupélec, Mines de Paris, Ponts, ENS... – ou à l'étranger – MIT, Columbia, Imperial College... – n'a pas baissé, par rapport à l'"ancienne génération", et forme toujours des ingénieurs et chercheurs de très haut niveau ?

Je veux bien croire, éventuellement, que le niveau moyen de la population baisse (et encore, ça reste à prouver...), mais le niveau des élites ne baisse certainement pas...
Alors si on cherche des spécialistes de très haut niveau, il n'y a pas plus de difficultés à en trouver aujourd'hui qu'il y a 20 ans !

avatar scanmb | 

@sachouba

Si le niveau scolaire, les bonnes manières et le respect augmentaient dans notre société cela se verrait ...

avatar C1rc3@0rc | 

@pim

On va attendre les synthese des instituts de climatologie, mais en effet l'hypothese de +2.5º tant a ce confirmer, et ce ne serait que le debut, vu que rien de significatif est fait pour enrayer cette catastrophe.

Sinon pour la nouvelle du jour chez Intel, maintenant on attend le discours de Snowden qui va venir nous confirmer que ces backdoor de tres bas niveau (mais haute technicité) ont ete imposé aux entreprises occidentales par on se doute bien de qui...

Concrètement, il est impossible que la meme faille se produise dans 2 architectures aussi opposées que les sont les x86 et les ARM. Ça ne peut pas etre autre chose qu'une porte d'acces pour les agences a 3 lettres et les militaires. Et ce n'est pas la premiere, ça fait des annees que l'on sait que les "fonctions" d'administration des Xeon sont des backdoor royales...

Bref au lieu de parler de correctifs pour juguler des failles, ici, il faut titrer sur des barricadages pour fermer des portes sans serrures...

avatar reborn | 

Sous iOS la faille pourrait être présente mais inexploitable

avatar occam | 

Voici la page d'information la plus complète à cette heure (heure du post) au sujet des exploits "Meltdown" et "Spectre" :
https://spectreattack.com

La documentation des équipes qui les ont détectés :
https://assets.documentcloud.org/documents/4343429/Meltdown-paper.pdf
https://spectreattack.com/spectre.pdf

Après les avoir parcourus, ainsi qu'une kyrielle d'autres, plus ou moins bien informés : Good Night, and Good Luck.

avatar fte | 

@occam

Il y a quelques années, je suivais un projet de processeur drastiquement simplifié au niveau hardware et gestion des cercles de sécurité et gestion mémoire. MIT je suppose.

L’idée était de confier toute cette gestion de sécurité au système d’exploitation au lieu du hardware, l’hypothèse étant que le hardware simplifié pourrait être accéléré sensiblement plus (>50%, et moins coûteux) que l’impact de performance sur les applications (~30%) par la gestion de sécurité logicielle, avec des bénéfices très importants pour la sécurité globale des machines et systèmes.

Je pense que dans les années à venir, on verra de plus en plus de failles liées au hardware, insolubles sans changer le hardware.

Mais il ne faut pas s’y tromper. Ce n’est ni la première faille de ce genre, ni la dernière. Elle est juste large et médiatisée. Il y en aura d’autres. D’ici à ce qu’on se rende compte qu’on peut injecter un firmware dans les ampoules connectées pour miner des cryptomonnaies et espionner les gens et piloter le reste de la domotique...

avatar rikki finefleur | 

Vu le peu de suivi des failles software par les firmes diverses et variées., je pense que ton post est en tout point théorique.
Et ici on ne parle même pas de petites firmes, alors pour les petites firmes..
Peut etre devra ton vouloir eviter de connecter tout ce qui peut être connecté.

avatar fte | 

@rikki finefleur

Disons qu’il y a plusieurs voies et façons. Librairie maintenue par le fabricant du processeur, partie du firmware des cartes mère, partie de l’OS, hal open-source maintenue par une fondation financée par fabricants de processeur et d’OS, fondation d’une machine virtuelle unifiée... le modèle programmeur n’a pas à n’être que lié au hardware, il pourrait très bien être singulièrement simplifié à ce niveau et intégrer des API pour la gestion des choses pas triviales.

Après c’est certain que ça devient un maillon de la chaîne sécurité comme les autres, donc attaquable, root kitable, etc. L’approche d’Apple avec l’iMac Pro ne manque pas d’intérêt dans une telle optique. Librairie de sécurité signée et vérifiée à chaque chargement...

C’est clairement une autre approche. J’ai tendance à penser que ça deviendra nécessaire à un certain stade.

avatar harisson | 

Le pdg d'Intel qui a appliqué la "maxime" d'Andy Grove au pied de la lettre ^_^ #balancetonconcurrent

avatar poco | 

Appel apporte un correctif sur High Sierra uniquement à ce jour. Alors que beaucoup de Mac users sont toujours pas passés à HS.

M$ apporte des correctifs jusque Windows 7 (sorti en 2009).

On verra si Apple patchera tout ses OS depuis 2009 (10.5 Leopard, à la rigueur 10.6 Snow Leopard)

CONNEXION UTILISATEUR