IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

MDS : de nouveaux exploits liés à l'exécution spéculative affectent les CPU Intel jusqu’à Kaby Lake


Sujet :

Sécurité

  1. #121
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 352
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 352
    Points : 42 823
    Points
    42 823
    Par défaut
    J'imagine qu'un tel problème ne serait jamais resté ignoré aussi longtemps sur du open-hardware.
    Le problème étant matériel, il faut :

    • remédier au problème de conception.
    • quid du matériel déjà fourni avec le défaut ? il faut le changer, ou accepter la mitigation, réduisant le problème mais ne le solutionnant pas à 100 %, générant un ralentissement global de fonctionnement.


    Ca ne peut de toute façon pas se régler en 15 jours.

    Les gens ayant acheté un CPU avec la faille peuvent toujours essayer de faire jouer le vice caché.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #122
    Membre régulier
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Mai 2011
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Mai 2011
    Messages : 44
    Points : 85
    Points
    85
    Par défaut
    C'est vrai que depuis que spectre est sorti, je ne dors plus la nuit..... ;-)

    Il y a des attaques revendiquées tous les jours par ce bug hard ;-)

  3. #123
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    Ca ne peut de toute façon pas se régler en 15 jours.
    d'accord sur l'ensemble de ta réponse ...par "aussi longtemps" j'entends l'existence de la/les failles depuis plus de 20-30 ans. ^^'
    Ce qui, il faut l'avouer, est extrêmement rare (encore plus) sur du libre, ou du 100% open-source.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  4. #124
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 352
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 352
    Points : 42 823
    Points
    42 823
    Par défaut
    C'est pas parce que c'est opensource qu'il y a plus ou moins de failles :
    Regardes cette actu (logiciel pas matériel) assez récente :
    https://www.developpez.com/actu/2457...u-FOSDEM-2019/

    En général, sur de l'opensource logiciel, les failles découvertes sont corrigés rapidement, mais encore faut-il qu'elles le soient.

    Et pour le matériel, opensource ou non, si défaut de fabrication, il faut déjà revoir la conception.

    C'est pas une soudure de résistance à refaire, c'est la conception à revoir, puis une fabrication à faire, pour ensuite procéder à une mise à disposition, sur quelque chose de très pointu.

    Et faire un CPU en FPGA, je sais pas ce que ça peut valoir en terme de perf. Je pense que ça doit être bien en dessous de nos CPU actuels.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  5. #125
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Ce que je voulais dire ce n'est pas que open-source = codage de qualité... mais que quand c'est open à 100%, et que c'est quelque chose qui est utilisé à outrance, il y a bien plus de personnes qui audit' la dite chose, bien plus de personnes qui tentent de malmener la dite chose, bien plus de personnes... que sur la solution équivalente propriétaire (partiellement ou pas)... et de facto, est, en comparaison, statistiquement plus fiable.

    Un logiciel pris seul, la licence n'assure rien sur la qualité, elle te garantie de pouvoir contrôler la qualité. Si tu en prend plusieurs, par exemple, 7zip et WinRAR, en partant du principe que les 2 sont empiriquement autant utilisé (en comparaison d'illustres inconnus), on constate que WinRAR et 7zip ont tout 2 présenté des failles, buggs, etc. mais que statistiquement 7zip en présentait moins, ou moins graves, alors que les 2 ont une complexité comparable. C'est plutôt sur cet axe de logique que s'appuie mon propos précédent.

    Donc oui, Libre != sans défaut, mais force est de constaté que ça y contribue fortement... un peu comme l'argent et le bonheur. ^^
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  6. #126
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    mais que quand c'est open à 100%, et que c'est quelque chose qui est utilisé à outrance
    Citation Envoyé par Michael Guilloux Voir le message
    La loi de Linus

    En informatique, la loi de Linus, nommée en l'honneur de Linus Torvalds, et formulée par Eric Raymond, concerne le développement de logiciel. La loi indique qu’« avec suffisamment d'yeux, tous les bugs sont superficiels » ; ou plus formellement : « avec un groupe de bêta-testeurs et de co-développeurs suffisamment large, presque tous les problèmes seront rapidement analysés et le correctif sera évident pour l'un d'entre eux ». Présenter le code à une multitude de développeurs avec l'objectif d'avoir un consensus sur son acceptation est une forme simple de la revue de logiciel. La loi de Linus fait généralement partie de la philosophie de base des adeptes du mouvement open source et du logiciel libre.
    Cela dit je pense qu'il y a plus de gens qui cherchent des failles dans le software que dans l'hardware.
    Pour trouver Spectre ou Meltdown il faut déjà y aller... Même si l'intégralité de la conception du processeur était publique, il faudrait une grosse équipé de chercheur pour trouver les failles.
    Il faut forcer un programme à accéder à des zones arbitraires de l'espace mémoire qui lui est allouée pour Spectre.
    Meltdown permet à un processus non autorisé l'accès privilégié à la mémoire.

    Citation Envoyé par chrtophe Voir le message
    Les gens ayant acheté un CPU avec la faille peuvent toujours essayer de faire jouer le vice caché.
    La quasi intégralité des processeurs Intel depuis 1995 sont potentiellement touché par Meltdown.
    C'est impossible qu'Intel fasse un geste, Intel ne savait pas qu'il y avait une faille, ils l'ont pas fait exprès.
    Et ça ne gène pas le fonctionnement du processeur.
    Keith Flint 1969 - 2019

  7. #127
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Même si l'intégralité de la conception du processeur était publique, il faudrait une grosse équipé de chercheur pour trouver les failles.
    Oui, mais sûrement moins grosse que dans un modèle où l'ingénierie que tu étudies est secrète, et que la communauté avec laquelle tu interagis pour renforcer ton travail ne peut s’établir dans la conception du sujet étudié (le processeur, l'architecture...).
    Se serait comme tenter de relever des erreurs /incohérences de style de rédaction sur un document classé "secret", où les 3/4 du contenu est censuré, mais où il est pourtant possible dans déduire certaines infos censurés. --> le travail ne peut être aussi complet, aussi profond, et requiert de s'appuyer sur des aptitudes qui serait inutiles si tout le contenu était accessible, et donc l'emploi de plus de personne, de plus d'énergie ...pour un résultat bien moins probant.

    PS: effectivement, c'est à la loi de Linus que je pense.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  8. #128
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    Se serait comme tenter de relever des erreurs /incohérences de style de rédaction sur un document classé "secret"
    Ouais ok c'est le principe de test "boite noire" / "boite blanche" et effectivement quand on a accès au code c'est plus facile de trouver certains problèmes.
    Intel ne partage certainement pas tous les éléments de conception de ses processeurs avec les chercheurs et c'est donc plus compliqué de trouver les erreurs.

    Cela dit je pense que si tu fais un processeur open source et qu'il contient des failles de sécurité, elles vont quand même être difficile à trouver, même si les chercheurs ont accès à tout.
    Keith Flint 1969 - 2019

  9. #129
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Je suis entièrement d'accord sur le fait que chercher des failles, quand c'est pas dans une calculette de conversion francs/euros, n'a rien de trivial, c'est tout un métier. Mes propos sont simplement que si le travail se basait sur quelque chose de transparent, de pas secret... alors soit le problème ne serait pas apparu, soit il aurait été repéré plus vite, soit il aurait été mieux corriger ...et qu'en plus, cela aurait nécessité moins d'énergie, temps de travail, compétences, etc.

    On sait tous que "Linux" est loin d'être exempt de défauts, et que certains ont existé plus d'une décennie, mais sur la même chose couvert par le secret, c'est bien pire. Heureusement que ce qui se fait sur le noyau Linux (failles découvertes ou correctif) a également des répercutions sur les noyaux couverts par le secret. ^^'
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  10. #130
    Expert éminent sénior

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mars 2017
    Messages
    1 177
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2017
    Messages : 1 177
    Points : 78 774
    Points
    78 774
    Par défaut L’architecture de tous les CPU Intel remise en question après la découverte de SPOILER
    L’architecture de tous les CPU Intel remise en question après la découverte de SPOILER
    Une nouvelle faille difficile à corriger par voie logicielle

    Des chercheurs du Worcester Polytechnic Institute aux États-Unis et de l’université de Lübeck en Allemagne ont découvert une nouvelle vulnérabilité critique baptisée SPOILER qui affecte toutes les puces Intel depuis la première génération Core jusqu’aux plus récentes « Kaby Lake refresh ». Ils décrivent Spoiler comme « une nouvelle approche permettant d’obtenir des informations sur les adresses mémoires physiques » en exploitant un mécanisme d’optimisation implémenté dans les processeurs modernes : l’exécution spéculative.

    Nom : 29992-48887-ntel-top-l.jpg
Affichages : 16839
Taille : 50,3 Ko

    En principe, dans le cadre du fonctionnement normal d’un processeur prenant en charge l’exécution spéculative, les éléments spéculatifs incorrects sont ignorés et une charge de données non spéculative normale est effectuée, ce qui permet l’exécution de l’instruction, mais sans augmenter les performances. Le document indique que le problème principal avec SPOILER est la performance de désambiguïsation de la mémoire d’Intel, qui tente d’empêcher le calcul sur des données chargées par une tentative de spéculation incorrecte, son comportement prédictif étant la vulnérabilité réelle.

    Cette nouvelle approche permettrait même, d’après eux, de « lancer des attaques déjà connues plus efficacement ou d’en concevoir de nouvelles ». Et pour cause, SPOILER serait capable de déterminer comment la mémoire virtuelle et la mémoire physique sont liées l’une à l’autre, en mesurant le temps de chargement et de stockage des opérations spéculatives effectuées par le processeur : en repérant des divergences dans le timing, il est possible pour un attaquant de déterminer la disposition de la mémoire, et à son tour de connaître les zones à attaquer.

    Pour rappel, au cours des derniers mois, plusieurs vulnérabilités majeures affectant la majorité des processeurs disponibles sur le marché ont été découvertes, la plupart étant liées à leurs capacités d’exécution spéculatives. Elles affectent surtout les processeurs du fondeur américains Intel ainsi que certaines puces conçues par Arm et IBM, mais aussi, dans une moindre mesure cela dit, les CPU produits par AMD. Il a été démontré que certaines d’entre elles existent même depuis près de 20 ans.

    Les plus connues sont : Meltdown, Spectre, BranchScope, Foreshadow, PortSmash et TLBleed. Ces exploits permettraient à un attaquant d’accéder en douce et de détourner différents types de données (mots de passe, clés cryptographiques…) sur un système sans être détecté ou arrêté par les outils de sécurité traditionnels. Les processeurs produits par Intel sont presque toujours les plus sensibles ou les seuls concernés par ces exploits.

    SPOILER n’affecte vraisemblablement que les processeurs du fondeur de Santa Clara, les processeurs Arm et AMD analysés n’ayant à aucun moment présenté un comportement similaire lors de l’étude. Elle tire parti des tâches que le processeur entreprend pour déterminer à l’avance les futures commandes potentielles et gagner les précieuses millisecondes dont sont friands les amateurs de benchmarks au détriment de la sécurité des opérations. SPOILER serait quasiment impossible à corriger par voie logicielle, d’après les chercheurs.

    Signalons au passage que les chercheurs de Google assurent désormais que tous les processeurs qui prennent en charge l’exécution spéculative resteront toujours sensibles aux diverses attaques par canal latéral, malgré les mesures d’atténuation qui pourraient être découvertes à l’avenir. D’après eux, pour véritablement remédier à tous les bogues actuels et futurs liés à Spectre et à la menace qu’ils représentent, les concepteurs de puces (Intel en tête de liste) doivent s’atteler à proposer de nouvelles architectures pour leurs microprocesseurs.

    Nom : 1.jpg
Affichages : 14326
Taille : 34,1 Ko

    La firme de Santa Clara, qui a été informée depuis le 1er décembre 2018, a de son côté déclaré : « Nous nous attendons à ce que les logiciels puissent être protégés contre de tels problèmes en utilisant des techniques de développement résistantes aux attaques par canal latéral ».

    Source : Publication des chercheurs (PDF)

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT des CPU AMD pourraient aussi être touchés
    AMD pourrait vendre plus de CPU serveur dédiés au cloud computing, après le scandale des vulnérabilités matérielles touchant surtout les CPU Intel
    Sept nouvelles variantes de Meltdown et Spectre ont été découvertes par des chercheurs en sécurité, Intel ne se montre pas inquiet
    Les processeurs Intel x86 souffriraient d'un défaut qui exposerait la mémoire noyau et impacterait surtout sur le marché serveur
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  11. #131
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par Christian Olivier Voir le message
    Qu’en pensez-vous ?
    C'est marrant que pendant 15 ou 20 ans aucun chercheur n'a trouvé ou publié quoi que ce soit et que d'un coup il y a Spectre, Meltdown, SPOILER.
    Ça va être difficile pour Intel qui doit concevoir des nouvelles architectures de processeurs plus sécurisé.
    Mais en comblant une faille tu peux très bien en créer 2 autres...

    D'un côté si il a fallu 20 ans pour trouver le problème, c'était pas si mal conçu que ça à la base.
    Keith Flint 1969 - 2019

  12. #132
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Points : 15 059
    Points
    15 059
    Par défaut
    « Nous nous attendons à ce que les logiciels puissent être protégés contre de tels problèmes en utilisant des techniques de développement résistantes aux attaques par canal latéral »
    Donc intel se fout de ses clients?

  13. #133
    Membre chevronné
    Avatar de emixam16
    Homme Profil pro
    Chercheur en sécurité
    Inscrit en
    Juin 2013
    Messages
    333
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Chercheur en sécurité

    Informations forums :
    Inscription : Juin 2013
    Messages : 333
    Points : 1 827
    Points
    1 827
    Par défaut
    D'un côté si il a fallu 20 ans pour trouver le problème, c'était pas si mal conçu que ça à la base.
    Pas systématiquement.

    Dans les cas de Spectre/Meltdown/Foreshadow/Spoiler, ces failles sont effectivement relativement balèzes (même si pas non plus exceptionnelles) et c'est compréhensible qu'elles aient mis du temps à être découvertes.

    Mais des failles critiques, qui tiennent très longtemps dans le systèmes sont courantes. Voici deux exemples:
    - La faille WinRar découverte récemment (https://www.developpez.com/actu/2479...-utilisateurs/) est très bête. Elle exploite une faille "bête" dans un format très peu utilisé (.ace). Et comme winrar ne prend pas en compte l'extension, en renommant simplement le fichier en .rar, je peux l'exploiter très facilement et compromettre une machine.
    - L'idée derrière la faille HeartBleed était très basique aussi (principe expliqué en images par xkcd ici https://xkcd.com/1354/).

    En résumé, qu'une faille n'ait été trouvé qu'après très longtemps ne veut pas dire que le logiciel était bien sécurisé... Juste qu'aucun chercheur en sécurité n'a regardé au bon endroit... Et vu le nombre d'endroits à regarder c'est compréhensible.

  14. #134
    Membre éclairé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Septembre 2014
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2014
    Messages : 204
    Points : 712
    Points
    712
    Par défaut
    ça demande des recherches complémentaires pour AMD et ARM.
    Ils ont testés 10 CPU INTEL mais seulement 1 CPU AMD (de 2012 en plus) et 1 seul CPU ARM également.
    On ne sait pas du coup si les CPU Ryzen sont impactés

  15. #135
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par andry.aime Voir le message
    Donc intel se fout de ses clients?
    Intel espère qu'il existe des solutions logiciel, parce qu'il n'existe pas de solution hardware, une fois qu'il y a une faille dans le processeur c'est trop tard.
    Il faut rassurer les consommateurs.

    Citation Envoyé par emixam16 Voir le message
    En résumé, qu'une faille n'est été trouvé qu'après très longtemps ne veut pas dire que le logiciel était bien sécurisé... Juste qu'aucun chercheur en sécurité n'a regardé au bon endroit... Et vu le nombre d'endroits à regarder c'est compréhensible.
    D'accord. Donc maintenant Intel doit embaucher des chercheurs en sécurité pour s’assurer qu'il n'y aura pas de failles dans leur prochains processeurs.
    Keith Flint 1969 - 2019

  16. #136
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    D'accord. Donc maintenant Intel doit embaucher des chercheurs en sécurité pour s’assurer qu'il n'y aura pas de failles dans leur prochains processeurs.
    Vu la pénurie qui dure depuis quelques années dans le secteur, cela ne va pas être simple de recruter... même si on en trouve, un spécialiste hardware et sécurité va coûter cher
    Intel ferait mieux de monter une équipe en interne.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  17. #137
    Expert éminent sénior
    Avatar de Kannagi
    Homme Profil pro
    cyber-paléontologue
    Inscrit en
    Mai 2010
    Messages
    3 214
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : cyber-paléontologue

    Informations forums :
    Inscription : Mai 2010
    Messages : 3 214
    Points : 10 136
    Points
    10 136
    Par défaut
    Dans le domaine c'est Intel qui optimise le plus les processeurs dit Superscalaire OoO , du coup j'ai l'impression que plus on optimise ce genre de proc plus il y'a des failles.
    Par contre tout ces procs ont des failles avec l’exécution spéculatif du coup si on leur enlève ça , je crois que ça sera des procs avec des perfs assez médiocre

    Bref j’espère que ces failles feront qu'on se concentrera sur les processeurs In-Order et l’optimisation des compilateurs pour ce type de proc particuliers

  18. #138
    Membre du Club
    Homme Profil pro
    etudiant IT
    Inscrit en
    Novembre 2014
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : etudiant IT

    Informations forums :
    Inscription : Novembre 2014
    Messages : 15
    Points : 56
    Points
    56
    Par défaut
    Allier performance et sécurité c'est compliqué. Intel des le début ( même les autres hein ) c'était perf perf perf , côté sécurité c'était du limite.
    Rien que contrer les ransomwares efficacement en ajoutant des hooks dans les vfs , tu perds 20 % de perf en moyenne mais tu gagnes un palier en sécurité.

  19. #139
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Points : 15 059
    Points
    15 059
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    Intel espère qu'il existe des solutions logiciel, parce qu'il n'existe pas de solution hardware, une fois qu'il y a une faille dans le processeur c'est trop tard.
    Il faut rassurer les consommateurs.
    C'est la réponse évasive de leur part qui me choque, et ce n'est pas la première fois. L'année dernière intel ne voulait pas faire un patche pour la faille TLBleed poussant certains OS à désactiver l'Hyper-Threading.

  20. #140
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    D'un côté si il a fallu 20 ans pour trouver le problème, c'était pas si mal conçu que ça à la base.
    Il y a aussi autres choses, avant on avait pas besoin d'exploiter des failles aussi complexes, il y en avait tellement d'autres. D'ailleurs les failles sont si complexe que très peu de malware les exploitent.
    1) Les premières failles exploitées étaient celle du type buffer-overflow, du moins des faille logiciels.
    2) Ensuite les logiciels devenant de plus en plus protégé et les anti-virus de plus en plus efficace, les pirates ont dû exploitées les failles plus bas niveau OS et BIOS au moins pour se cacher une fois une faille logiciel exploitée.
    3) Aujourd'hui OS et Bios se sont énormément améliorés (UEFI à remplacé Bios) alors les chercheurs (et le pirates) ont été contraint de chercher des failles ailleurs. On est aujourd'hui descendu au niveau du processeur.

    Une seul constante, c'est l'exploitation du social-engineering, autrement des failles humaines.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Discussions similaires

  1. Macro qui s'exécute sur tous les onglets
    Par idckhorne dans le forum Macros et VBA Excel
    Réponses: 4
    Dernier message: 27/05/2009, 12h56
  2. Réponses: 2
    Dernier message: 04/12/2008, 18h41
  3. Arret de l'exécution de tous les jobs
    Par ahlemahlem dans le forum Oracle
    Réponses: 1
    Dernier message: 05/10/2006, 18h57
  4. Réponses: 12
    Dernier message: 22/06/2006, 11h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo