Catégories d'actualités
Actualités
Faille sur les processeurs meltdown et spectre
Publié par ghislain AQUEOS sur 08 January 2018 10:05 AM

Bonjour,

  La faille révélée par des chercheurs sur la sécurité des processeurs Intel en particulier est un peut partout dans les nouvelles.


http://www.hardware.fr/news/15326/meltdown-spectre-point-deux-failles.html


  La vulnérabilité n'étant pas logicielle elle ne peut pas être corrigée par une mise a jour du système ou des logiciels. Les fournisseurs d'OS et de divers logiciels travaillent donc  mettre en œuvre des mécanismes internes de protection contre ces failles mais ce n'est pas ici une faille du code Linux a corriger mais une faille due au fonctionnement même des processeurs Intel (et aussi des AMD, ARM et autres pour spectre).

  Cela implique donc de changer la façon de fonctionner du logiciel pour  prendre en compte et tenter de contourner la faille du processeur. Cette faille étant dans les codes d'optimisation du processeur les patchs sont attendu pour avoir entre 10 et 50% d'impact sur les performance brutes.

  Pour Linux se protéger contre meltdown consiste a ajouter une couche de protection au noyau nommé Kaiser (Kernel Address Isolation to have Side-channels Efficiently Removed). Cela ne corrige pas pour autant spectre et consiste (pour ce que j'en comprend) a chaque fois que le noyau Linux passe sur un programme utilisateur a lui présenter une "fausse" mémoire du noyau l’empêchant ainsi de lire la vrai. Bien sur ce constant passage d'un véritable espace mémoire a un "faux" implique un coût en performance important puisque l'efficacité des caches est fortement diminuée. La technologie étant fraîche et faite dans l'urgence rien de très bon ne devrais en sortir ni au niveau performance ni au niveau qualité et compatibilité avec l'existant mais le temps nous le dira.

 Ensuite, pour que chaque application soit protégée contre spectre, comme mysql, apache et autre il faut que chacune utilise une technique visant a limiter avec plus ou moins de bonheur ce type d'attaque et il y a peut de chance pour que ceci soit corrigé même dans le moyen terme. Les application clientes sont sûrement les premières qui vont être exploités puisqu'il n'y a rien de plus intéressant pour un truand que de lire vos mots de passes bancaire sur le navigateur depuis un simple JavaScript mais toutes sorte de variantes sont possibles y compris serveur. Firefox a déjà sorti une version du navigateur qui tente de limiter l'impact de spectre par exemple.

  Pour utiliser ces vulnérabilités la personne malveillante doit pouvoir exécuter du code sur la machine en question, cela ne peut pas être fait a distance sans cet accès. C'est donc moins grave pour les serveurs mais cela pose problème pour toute solution non dédiée comme les VPS Aquelia car vous n'êtes pas seul a exécuter du code sur la machine. Dans tous les cas nous suivons l'évolution et nous vous indiquerons les mesures prises.

cordialement,
AQUEOS.


Commentaires (0)