Skyfall et Solace, deux nouvelles failles dans les processeurs

Nicolas Furno |

Meltdown et Spectre, les deux failles processeur découvertes au début du mois, ne vous ont pas suffi ? Voici Skyfall et Solace, deux nouvelles failles de sécurité dénichées dans les processeurs modernes. On ne sait encore quasiment rien à leur sujet, mais un site officiel a été lancé hier pour annoncer leur existence et indiquer que l’on en saura plus quand les failles auront été corrigées.

Il ne s’agit pas du même Skyfall. Cliquer pour agrandir
Il ne s’agit pas du même Skyfall. Cliquer pour agrandir

On sait néanmoins que ces deux nouvelles failles sont basées sur les mêmes mécanismes que Meltdown et Spectre, en particulier sur l’exécution spéculative qui sert à accélérer les processeurs. De la même manière, la correction devra être effectuée en même temps au niveau du système d’exploitation et des processeurs eux-mêmes.

Il n’est guère surprenant que les deux premières failles ne soient pas les seules. Les constructeurs de processeurs n’ont jamais vraiment sécurisé l’exécution spéculative depuis son apparition dans les années 1990. C’est quelque chose qu’ils devront tous faire à l’avenir, mais en attendant, il reste probablement de multiples failles de sécurité encore à découvrir…

avatar alan1bangkok | 

Achète gomme crayon papier
Faire offre raisonnable merci

avatar marc_os | 

@alan1bangkok
Je peux vous faire une offre à 499,99 €, somme plutôt raisonnable par rapport au prix d'un iPhoneX.
Me contacter par MP si intéressé.
;-)

avatar lesurfeurfou | 

Comme les failles vont par paire, je propose : tintin et milou, tom et jerry, david et goliath, astérix et obélix...

avatar C1rc3@0rc | 

Charybde et Scylla
Georges et W
...

avatar Amaczing | 

@lesurfeurfou

Titi et gros minet

avatar jojostyle94 | 

Avec les futurs correctifs, on va inverser la tendance de la loi de Moore !

avatar Oh la belle Pomme | 

Ce qui me surprend, c'est que d'un côté on râle à propos de la perte de performance des iPhones liée à une mise censée masquer des problèmes de batterie, et de l'autre on parle de la perte de performance liée aux failles Meltdown/Spectre/Skyfall/Solace comme d'une fatalité car comme d'habitude tout ce qui est fait "pour des raisons de sécurité" ne peut être contredit.
Chacun est libre de refuser ces pertes de performances.

avatar Oh la belle Pomme | 

Un exemple que vous pouvez observer concernant l'obsession de la sécurité, c'est de passer le permis moto. Là on arrive dans un monde où on décide volontairement de privilégier l'efficacité par rapport à la sécurité et au confort des voitures. Fini les ceintures de sécurité, fini l'ABS, d'ailleurs on t'explique qu'il ne faut pas freiner en courbe sinon la roue avant se bloque et tu te plantes. Et ça ne choque personne car le choix est simplement de ne pas mettre la sécurité comme critère principal.

Sans vouloir inciter les autres à prendre des risques, il faut juste avoir conscience que c'est possible et que ce n'est pas forcément le mauvais choix.
Et j'espère qu'on nous laissera le choix de refuser ces mises à jour de sécurité.
Je préfère avec un Mac efficace que pseudo "sécurisé", car il ne sera de toute façon pas protégé contre toutes les failles qui n'ont pas été publiées.

avatar Bigdidou | 

@Oh la belle Pomme

« Sans vouloir inciter les autres à prendre des risques, il faut juste avoir conscience que c'est possible et que ce n'est pas forcément le mauvais choix.
Et j'espère qu'on nous laissera le choix de refuser ces mises à jour de sécurité. »

Non, sacrifier la sécurité n’est pas un choix possible dès lors que tu es connecté à internet ou à n’importe quel réseau et en relation avec d’autres, puisque ce n’est plus ta seule sécurité qui est en jeu dès lors que tu peux servir de porte d’entrée ou de vecteur.

Mais je comprends très bien qu’il y en ait pour penser qu’on peut sacrifier la sécurité aux performances.
Ce n’est pas comme si, l’année dernière, à plusieurs reprises, des vagues de ramsonwares avaient paralysé pendant plusieurs jours des entreprises entières et le système de soins anglais.
Ah, ben si, et on a toujours pas fini d’apprécier les pertes de chances des gens qui h’ont pas eu leur chimio dans le bon timing, par exemple.

avatar Paquito06 | 

@Bigdidou

“Mais je comprends très bien qu’il y en ait pour penser qu’on peut sacrifier la sécurité aux performances.”

C’est un peu le cas des principaux fondeurs que sont Intel et AMD où il y avait une course a la puissance depuis 20 ans, j’ai l’impression que c’est moins le cas a present depuis peu, et di coup on se retrouve avec des failles comme Spectre et Meltdown qui datent du debut des annees 2000.

avatar Oh la belle Pomme | 

Je comprends tes arguments, mais ils reposent sur la supposition que ces failles de sécurité permettraient d'exécuter du code malicieux, or ce n'est pas ce que j'ai compris : à priori toutes ces failles permettent uniquement qu'une application puisse lire (et pas exécuter) des petites zones mémoire utilisées par d'autre applis.
Dans ce cas quel est l'impact concret qui justifierait de rendre l'ensemble du parc informatique obsolète au niveau mondial? Il faut avoir conscience que cette obsolescence va causer énormément de pollution et des coûts énormes. Donc réfléchissons calmement avant de nous précipiter sur de mauvaises solutions. Si le remède est pire que le mal, qui a intérêt à imposer l'application de ces patchs?

avatar Bigdidou | 

@Oh la belle Pomme

Certes, mais à partir du moment où tu peux lire des informations qui ne te sont pas destinées, comme des codes d’accès, ça facilite drôlement l’accès aux machines et l’exécution par ailleurs de codes malicieux, voire la prise de contrôle.
Je ne sais pas les scénarios que cette faille rend concrètement possibles pour quelqu’un de très motivé.
Mais j’aimerais savoir.
Des gens très motivés pour mettre en difficultés nos systèmes, il y en a. On les a vu concrètement à l’oeuvre l’année dernière, et pas qu’un peu.

avatar Liena | 

C’est le epic « faille gate »

avatar lesurfeurfou | 

C’est quand même étrange toutes ces failles à répétitions, je propose d’envoyer James Bond et Miss Moneypenny pour enquêter. Est-ce la revanche de Spectre ?

avatar MiniApple | 

Ahahah le lien vers le blog de Nicolas sur le point de la description de la photo avec Craig ! Article très intéressant sur Skyfall ?

avatar Nicolas Furno | 

@MiniApple

?

avatar pagaupa | 

Bientôt la fin des smartphones et retour au bon vieux téléphone si on ne veut pas avoir d'emmerdes?

avatar eric210766 | 

Au fait, il sort quand le prochain James !
La pub, que de la pub, je vois…

avatar Desseaux | 

Y’a moyen d’accéder aux données à distance ?
Sinon, M. et Mme Michou s’en tamponne le coquillart ( oui oui).
Dans 3 jours ils auront oublié.
Ils ont qu’un mot de passe (1234 voire 4321) pour l’ensemble de leurs sites, balance tout sur FB, Google & co.
Sont prêts à vendre père, mère et données personnelles pour ne pas avoir à payer 1€ pour jouer à un jeu tout pourri sur leur téléphone à 900€ ( mais payé que 400 car ils ont un abonnement à 60€/ mois)

C’est ça la réalité.
Demandez autour de vous, regardez votre entourage.

Suffit de voir la gueule de la sécurité informatique dans mon domaine : la pharmacie de ville pour se rendre compte que les failles liées aux professeurs, c’est vraiment le dernier des problèmes qu’on puisse avoir.

avatar Bigdidou | 

@Desseaux

« Sinon, M. et Mme Michou s’en tamponne le coquillart ( oui oui). »
Le fait que des failles ne concernent pas nécessairement le grand public n’est fait pas moins une catastrophe industrielle.

C’est vrai, qu’au fond, elle n’est pas très inquiétante pour l’ordinateur du salon. En plus, s’il est ralenti de 10 ou 30%, il est possible que personne ne s’en aperçoive, et, de toute façon, cela n’aura pas d’impact économique.

Seulement, voilà, cette faille concerne aussi et surtout les serveurs de données publiques, privées, institutionnelles, industrielles.
Et, pas de chance, ce sont surtout ces serveurs qui seront ralentis par les correctifs de sécurité.
Et ça, ça va toucher très rapidement monsieur ou madame Michu, de façon plus ou moins directe, dans sa vie quotidienne.

« Suffit de voir la gueule de la sécurité informatique dans mon domaine : la pharmacie de ville pour se rendre compte que les failles liées aux professeurs, c’est vraiment le dernier des problèmes qu’on puisse avoir. »
Ça, par contre, tu m’en vois bien inquiet.
Je peux t’affirmer qu’en milieu de soin, même (et surtout) privé, nous prenons extrêmement au sérieux la sécurité informatique du circuit du médicament, de la prescription à la commande, en passant par la délivrance.
C’est d’ailleurs un critère de qualité essentiel auquel l’HAS est très attentive et avec lequel,elle ne transige pas.

avatar debione | 

Ce que les gens ne comprennent pas forcément, c'est que l'ordi de madame michu à le même proc que l'ordi qui contrôle la mise en route par exemple des générateurs en cas de panne de courant... Mais qu'il utilise aussi les mêmes composants que l'ordi de la banque dans laquelle madame michu a ses économies, et que l'assurance de madame et les remboursement sont aussi sur la même architecture. De même ce qui contrôle l'espace aérien... mais aussi l'armée, mais aussi les feu rouges, les alarmes etc etc.

Alors on peut se dire, rien a battre moi je veux de la performance... Par contre comme tu le cites dans le domaine médical ou dans les exemples que je mets en avant, si on part la dessus, alors il va falloir fractionner le marché, et du coup madame michu ne profitant plus des achats d'architecture semblables par des domaines ou l'on ne peut pas transiger avec l'aspect sécuritaire, va payer au final son ordi et son smartphone plus cher... Et quand on touche au porte monnaie c'est incroyable comme les gens devienne intelligent ou compréhensible.

avatar Bigdidou | 

@debione

C’est toit à fait ça...

avatar DG33 | 

@Desseaux
Quel LGO ?

avatar DarthThauron | 

Une version recompilee pour PowerPC de Snow Leopard, avec correctifs avec les dernières optimisations de compilations va sortir... Les bons vieux powermac vont finir par redevenir plus rapides que les pentiummac ahahah...

avatar melaure | 

@DarthThauron

Ce serait sympa !!!

En attendant on a que Amiga OS 4 et peut-etre un Linux en récent sur PPC ...

avatar debione | 

Comment? je vais pouvoir revendre mon iBook palourde, mon premier iMac et mon iMac tournesol le prix que je les avais acheté?
Cool...

Tient c'est rigolo, en écrivant cela, je remarque que les seuls ordis que j'ai fini par ne plus utiliser parce que devenu vraiment trop lent, sont PPC... Tous mes vieux intel ont lâché avant que les ralentissements ne vienne sonner l'heure de leurs retraites.

avatar iRobot 5S | 

(Quantum of) Solace, Skyfall et Spectre la prochaine c'est quoi ? Octopussy ? ?

avatar SyMich | 

"...la correction devra être effectuée en même temps au niveau du système d’exploitation et des processeurs eux-mêmes."
Sur Mac, Apple ne dit toujours rien sur la méthode d'application des patches des processeurs, ni même si les cartes-mere Mac le permette.
Ça fait pourtant un moment que les premiers patches d'Intel sont disponibles (il y a même eu le correctif des premiers patches). Mais visiblement ça n'a pas l'air d'inquiéter grand monde.
Même les rédacteurs de MacG continuent d'expliquer qu'il faut appliquer à la fois le correctif de l'OS et le correctif du processeur, sans même noter que sur Mac cette deuxième partie n'est pas prévue.

avatar Jonathan JNP | 

De nombreux retours sont actuellement faits à propos de ces deux failles supposées. Certains évoquent même un hoax en l’espèce.
Auriez-vous une mise à jour de cet article?

Pages

CONNEXION UTILISATEUR