Skyfall et Solace, deux nouvelles failles dans les processeurs
Meltdown et Spectre, les deux failles processeur découvertes au début du mois, ne vous ont pas suffi ? Voici Skyfall et Solace, deux nouvelles failles de sécurité dénichées dans les processeurs modernes. On ne sait encore quasiment rien à leur sujet, mais un site officiel a été lancé hier pour annoncer leur existence et indiquer que l’on en saura plus quand les failles auront été corrigées.
On sait néanmoins que ces deux nouvelles failles sont basées sur les mêmes mécanismes que Meltdown et Spectre, en particulier sur l’exécution spéculative qui sert à accélérer les processeurs. De la même manière, la correction devra être effectuée en même temps au niveau du système d’exploitation et des processeurs eux-mêmes.
Il n’est guère surprenant que les deux premières failles ne soient pas les seules. Les constructeurs de processeurs n’ont jamais vraiment sécurisé l’exécution spéculative depuis son apparition dans les années 1990. C’est quelque chose qu’ils devront tous faire à l’avenir, mais en attendant, il reste probablement de multiples failles de sécurité encore à découvrir…
On va se retrouver avec des processeurs ayant les performances des années 90 avec tout ça...
C'est flippant toutes ces failles mais rassurant de les découvrir avant qu'elles soient exploitées
@clho
Ça, personne n'en sait rien...
Il est probable qu'elles soient exploitées, par certains services avec trois lettres, dont un N, un S et un A. J'ai toujours pensé que les failles étaient dans les couches basses, le processus de démarrage (EFI ou BIOS) et le matériel. Ce n'est d'ailleurs pas un hasard si l'iMac Pro bétonne cette phase (enfin, on pense qu'il la bétonne).
D'ailleurs, c'est exactement pareil sur les smartphone. Plus personne ne parle de la faille en dessous de la couche L7. Mais elle repose sur les couches basses de télécommunication, qui permettent aux appareils d'adresser leur signal à travers le réseau vers les bons destinataires... et de facturer. Cette couche ISO a été conçue bien avant l'apparition de l'informatique mobile, et c'est un gruyère ouvert à tous vents...
Plutot debut 2000 en fait, pour le niveau de performance cote x86... mais oui, c'est ce que je dis depuis un moment, et un de mes principaux sujets de critique contre les x86 d'intel depuis des années.
Avec Spectre et Meltdown (qu'on peut qualifier de "meta backdoor") on en est qu'au debut et je le repete encore une fois, 2018 ça va etre grandiose et terrifiant dans tout ce qu'on va apprendre en terme de backdoor et failles dans le materiel, protocoles reseaux et OS... Les mauvaises semaines vont continuer de s'enchainer...
La seule chose vraiment positive c'est que face a ce reveil aussi brutal que les revelations de Snowden, la population va peut etre finir par demander des comptes aux agences de securité US et leurs complices de l'OTAN et commencer a regarder les alterations democratiques et atteintes anti-democratiques envers les constitutions de nos nations.
Parce quand on arrive a maintenir des annees des backdoor dans les processeurs du niveau de Spectre et qu'on réclame en plus - administrativement - des droits d'acces aux données informatiques locales, y a quand meme un gros probleme.
Accessoirement, il faut s'attendre a un effondrement des cryptomonnaies, parce qu'elles dependent de la puissance de calculs des PC ainsi que d'un ralentissement massif de l'economie dans les prochains mois (elle depend aussi de la puissance informatique mine de rien) et on parle meme pas de la finance, surtout speculative, qui vit de la puissance de calcul des Xeon pour capter la moindre fluctuations ephemere du cours d'une action... S'il doit y avoir un krack financier, il pourrait bien venir de la.
Bon ceci dit, il faut aussi se mefier des "infos". Deja beaucoup d'arnarques surfant sur Meltdown et Spectre pousse les gens non informés sur des vraies arnaques et site de phishing.
Il y a plein de petits malins qui exploitent la peur et l'ignorance et l'episode de la rupture d'embargo sur Spectre a encore ouvert des vannes aux arnaques.
Pour l'instant Skyfall c'est cense etre un exploit de spectre... mais tant que les details n'auront pas ete publies et expertises... mefiance.
+1000
@C1rc3@0rc
« Accessoirement, il faut s'attendre a un effondrement des cryptomonnaies, parce qu'elles dependent de la puissance de calculs des PC ainsi que d'un ralentissement massif de l'economie dans les prochains mois »
Effondrement ou au contraire envolée du fait de la raréfaction, ou du moins de l’augmentation de la difficulté de l’accès à la ressource (pour le Bitcoin) ?
En tout cas, on imagine très bien un retard au déploiement de ces technologies, c’est sûr.
En tout cas, je trouve très malin et pertinent d’avoir posé le problème.
Il y a globalement certainement des choses passionnantes à écrire et à lire sur les conséquences en cascade dont certaines probablement très inattendues ou peu imaginables pour le commun des mortels d’une diminution globale de 30% de la puissance de calcul des serveurs.
Une sorte de futurologie décliniste.
Envolée ? ce serait tres étonnant. Les transaction de cryptomonnaies reposent sur la puissance de calcul du reseau P2P pour les valider.
Moins il y a de puissance disponible par rapport a la masse de transaction, plus le temps de validation des transactions augmente.
Je vais rapidement decrire le scenario:
- seuil nº 1 (rapport nombre de transactions / puissance de calcul disponible), le délai devient trop long pour les activités spéculatives, les spéculateurs quittent la cryptomonnaie pour une autre, plus réactive ou un autre produit. Ils vendent en masse et allongent de fait le temps de transaction
- seuil nº2 le délai devient trop long pour les transactions commerciales (achats/ventes de biens), le commerçant et le client migrent sur un autre système de paiement et vendent, ce qui allonge le temps de transaction
- seuil nº 3, la il concerne les épargnants, ceux qui gardent et investissent a long terme. Ils se foutent des délais transactionnels, mais par contre ils s’inquiètent de voir le cours baisser du fait de la désertion de la plateforme. Jusqu’à quel point ont ils confiance dans la monnaie? Car in fine avec ceux qui font des transactions commerciales, ils constituent la valeur et la réalité de la cryptomonnaie.
Alors bien sur on peut se dire que la chute de performance des processeurs est temporaire et que ce retour en arrière va être absorbé d'ici 5 ans.
Seulement un produit financier c'est soit une valeur refuge ultra-stable comme l'or (rare) ou un système très dynamique reposant sur la masse de transactions, masse qui repose sur la confiance des acteurs.
Les cryptomonnaies sont certainement la forme transactionnelle la plus robuste aujourd'hui, mais elles reposent entièrement sur le nombre et la puissance des PC qui sont dédies a la validation des transactions.
Et ça (en fait le minage pour être précis) c'est une faille aussi grosse que le fonctionnement des banques centrales avec les monnaies flottantes (dollars, euro, yen,..).
Donc les cryptomonnaies prennent de la valeur au fur et a mesure que la masse d'utilisateurs augmente et qu'elles se rapprochent de leur masse finale (qui est arbitraire et les définit). Mais si les transactions sont trop ralenties je vois pas comment elles pourraient prendre de la valeur, au contraire.
Si on considère le bitcoin, il repose aujourd'hui a 70% sur des fermes de calcul situées en Chine, au pieds des barrages électriques.
On se trouve face a une hérésie puisque le principe de répartition P2P est violé et tend vers un système centralisé de fait.
Ça veut dire que si la Chine interdit le travail sur le bitcoin et ferme ces centres de calcul, bloque l'internet, ... 70% de la puissance transactionnelle disparaît aussi vite.
Avec Meltdown on va avoir une chute de la puissance transactionnelle moins importante, car aujourd'hui cette puissance repose plus sur des composants dédiées et des GPU que sur des x86, mais il va tout de même y avoir une grosse chute de la puissance et donc un ralentissement.
Reste donc a savoir quel sera sont impact final et pendant combien de temps.
Cela est d'ailleurs vrai pour tous les systèmes reposant sur une blockchain et le transactionnel chiffre de manière plus générale. La grande robustesse d'un système P2P repose sur sa distribution et son éloignement d'un modèle centralisé...
@clho
“C'est flippant toutes ces failles mais rassurant de les découvrir avant qu'elles soient exploitées”
On ne sait jamais ce qui est detourne ou exploite jusqu’a ce que les medias en parlent. Tous les processeurs depuis 20 ans sont peut etre veroles, avec une dizaine de faille chacun, sur deskrop comme sur mobile. Qui peut apporter la preuve que non? Personne. Il faut attendre les bonnes nouvelles au jour le jour.
@ Paquito06
« Qui peut apporter la preuve que non? Personne »
Argumentation à la base même de toute théorie du complot.
On ne sait pas, alors on préfère parfois imaginer tout un tas de choses*.
C'est bien pour cela qu'en justice, tout personne est considérée comme innocente tant que sa culpabilité n'a pas été prouvée. On peut aisément prouver que vous étiez à tel endroit si cet endroit est public et sous vidéo-surveillance. Mais où étais-je le 6 juin 2015 à 23h15 ? Aucune idée. J'étais probablement dans mon lit ou devant un film, mais je n'ai aucun moyen de le prouver !
(*) Au moyen-âge on avait les lutins et autres farfadets pour expliquer ce qui ne pouvait l'être alors, faute de connaissances scientifiques suffisantes.
@marc_os
En justice oui, et en democratie... administrativement non. et dans une dictature non plus.
Par exemple en France l'utilisateur est legalement responsable de la securisation de son acces Wifi et si un pirate s'introduit sur son Wifi, c'est l'utilisateur qui est coupable et doit demontrer son innocence. C'est la presomption de culpabilite.
On a la meme avec Hadopi: non seulement il y a presomption de culpabilite mais en plus on a pas acces aux donnees de l'accusation...
Et cela se generalise depuis...la presidence de Sarkozy en France, et l'administration Bush aux USA.
Dans le cas de Spectre ou Meltdown, ce sont des backdoor qui offrent un acces qui ne laisse pas de trace, le graal de tout espion ou pirate.
Et leurs "exploitations" possibles sont vraiment tres larges, donc d'une part le mécanisme est connu comme insecure depuis sa creation et c'est pour cela qu'il a ete recommande de l'accompagner de mesures de protections, non mise en oeuvre.
Et ensuite des backdoor de ce niveau qui se retrouvent pendant des annees sur des dizaines de generations de processeurs, de classes et d'usage différents et surtout touchant des architectures que tout oppose... soit les ingenieurs et chercheurs réputés les meilleurs au monde et les plus intelligents sont en fait des crétins irresponsables, soit il y a une volonté concertée derrière tout cela.
@marc_os
C’est juste. Mais sans aller jusqu’a la theorie du complot (je n’en suis pas), on peut bien se poser la question de savoir s’il y a bien davantage de failles qui ne sont pas rendues publiques. Le complot serait de dire que c’est fait expres et tout a ete orchestre par le FBI et la Coree du Nord 🤣
Pour ce qui est du:
“En justice, tout personne est considérée comme innocente tant que sa culpabilité n'a pas été prouvée”
Ca depend de quel cote de l’Atlantique on se place 😬
@marc_os
"mais je n'ai aucun moyen de le prouver !"
Si tu avais un smartphone Android, tu peux demander à Google où tu étais. Ils savent. ;)
Toutes les avancées technologique des processeurs vont être anéanties par les correctifs de sécurité.
Lorsqu'on regarde ce qu'annonce les gros utilisateurs et acteurs du serveur et du PC, comme Microsoft par exemple, concernant Meltdown, on constate globalement que leurs estimations constate une perte de 50% de performances sur x86...
Sachant qu'on constate depuis pres de 10 ans que le x86 gagne au mieux 5% par génération, ça situe le niveau de performance auquel on peut s'attendre a la fin 2018...
En terme de conséquences et de possibilités d’évolutions, lorsqu'on connait un minimum les architectures des processeurs, il apparait que la sortie de crise pour le x86(Intel/AMD) et les ARM/Power n'est de loin pas la meme.
Les methodes de "securisations" des x86 existants (et en phase de production, car autant les x86 existant et en arrivée sont porteurs de Meltdown et Spectre) sont limitées et vont conduire a un effondrement irreversibles des performances.
Pour les POWER et ARM, c'est assez différent et surtout a terme on peut compenser la perte de performance a l’exécution en optimisant le logiciel lors de sa production (compilation). Ça va demander beaucoup de travail, mais c'est rattrapable.
Par contre, tout ce qui tourne avec des machines virtuelles (VM) et de l’exécution dynamique va en prendre une grand coup (Java, moteurs Javascript, etc...). Ici la constatation est implacable et lié precisement a la capacité du processeur a optimiser l'execution...
De meme tout ce qui repose sur du multicore "auto-gere", donc qui ne beneficie pas d'une programmation parallèle native (compilateur et architecture vraiment parallèle) au travers d'un langage etudié pour cela, va énormément souffrir. C'est tres logique puisque ici encore le travail qui n'est pas fait (et pas faisable avec le x86 a fortiori) en amont par le développeur etait fait par l'ordonnanceur du processeur a l'execution...
Bref, un bon conseil: c'est pas le moment d'investir dans une nouvelle machine...
@C1rc3@0rc
Beaucoup d’extrapolation, peut-être pour masquer un manque de compétence dans le domaine ? Ça nous arrive à tous.
@PiRMeZuR
Surtout à ceux qui savent tout sur tout. ;-)
@C1rc3@0rc
Le minage est massivement fait sur des ASIC dédiés, donc aucune probabilité que ta prose se réalise. Mais alors aucune. En fait tu n’y connaît rien mais ça ne t’empêche pas de t’étaler sur n’importe quel sujet. C’est bien, tu n’as pas peur du ridicule.
@frankm
Le 6s va devenir un bouzin! Mdr!
Quelqu'un d'assez éclairer pour me conseiller entre acheter une nouvelle tour maintenant ou attendre la prochaine génération de processeur qui évitera des pertes de performances sur ces failles ?
@glaglasven
Je présume que tu t’en sers pour jouer à des jeux gourmands en puissance de processeur.
@Giloup92
Non c'est de la puissance de calcul pour du machine learning, je ne joue pas
@glaglasven
Attend fin 2019 / debut 2020.
Tous les processeurs actuels sont dans la panade et c'est que le debut des revelations.
Spectre ça fait 8 mois que les boites info bossent dessus pour colmater les brèches et y a toujours rien de fiable. Par contre la baisse des performances elle est magistrale.
Il va falloir concevoir de nouveaux processeurs qui dans un premier temps vont tenter de securiser la mémoire, mais a terme il faudra revoir le concept de re-ordonnancement predictif et reporter l'optimisation sur le complilateur et le programmeur... avec une autre architecture.
En bref, il faut compter 2 ans pour que les producteurs de processeur produisent des processeurs "vaccinés" contre Spectre et Meltdown.
@C1rc3@0rc
Merci pour tes informations
@glaglasven
Renonce !
Quand les failles actuelles auront été bouchées, on en découvrira d'autres dans les nouveaux processeurs censés être blindés ultra sécurisés et tout et tout.
@glaglasven
Éclairez-nous sur vos usages et besoins, nous vous éclairerons sur les outils pour ce faire.
Pages