IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Un nouvel exploit a permis de récupérer les clés de chiffrement au sein de processeurs Intel, Réactions à la publication du 05/11/2018
Options
Lionel
posté 5 Nov 2018, 00:00
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 52 459
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Des chercheurs en sécurité ont annoncé qu'ils publieraient prochainement un document dans lequel ils dévoileraient une faille permettant de récupérer des clés de chiffrement au sein des processeurs Intel.
Cette faille, différente de Spectre ou de Meltdown, utilise ce que l'on appelle les fuites de canaux latéraux et passe par l'hyperthreading en mesurant très précisément le temps mis par le processeur pour traiter des informations envoyées en flot continu.
Avec cette méthode, ils ont ainsi réussi à récupérer la clé privée d'un serveur TLS sous OpenSSL.

Bien que complexe à mettre en œuvre, cette technique ne nécessiterait pas de compétences très poussées en connaissance des arcanes des processeurs (contrairement à Meltdown ou Spectre).

Intel a réagi indiquant que cette faille, différente des précédentes, devrait toucher tous les processeurs y compris les puces AMD.

Il sera probablement possible d'en limiter l'impact par une modification du code d'OpenSSL afin qu'il soit moins constant dans le type d'instructions utilisées, ce qui compliquera la déduction de ses clés privées à partir de calculs sur la durée d'exécution.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
otto87
posté 5 Nov 2018, 00:24
Message #2


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 259
Inscrit : 12 Jun 2009
Membre no 137 508



Marrant c'est une nouvelle version d'une autre classe d'attaque : le temps nécessaire au CPU pour répondre à la vérification d'un mot de passe permet de déterminer les n premiers bon caractère du mot de passe.

Enfin terminator 2 n'y changera rien wink.gif


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
raoulito
posté 5 Nov 2018, 00:27
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 557
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



mais du coup, on a maintenant des processeurs intel sans hyperthreading (mon imac par exemple)
du coup cette faille ne l'affecterait pas   ?
(non pas que je veuille me sentir protéger, je demande juste..)


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
otto87
posté 5 Nov 2018, 01:31
Message #4


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 259
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (raoulito @ 5 Nov 2018, 01:27) *
mais du coup, on a maintenant des processeurs intel sans hyperthreading (mon imac par exemple)
du coup cette faille ne l'affecterait pas ?
(non pas que je veuille me sentir protéger, je demande juste..)


Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien wink.gif sans faire intervenir de reptiliens laugh.gif (mauvais exemple MB étant non sécurisé)

T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction....

Ce message a été modifié par otto87 - 5 Nov 2018, 01:40.


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
chammer
posté 5 Nov 2018, 09:03
Message #5


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 314
Inscrit : 16 May 2002
Membre no 2 488



Citation (otto87 @ 5 Nov 2018, 01:31) *
Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien wink.gif sans faire intervenir de reptiliens laugh.gif (mauvais exemple MB étant non sécurisé)

T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction....


Tout à fait. Rien n'est à caractère privé dès lors que l'objet est connecté sur internet.
Orwell l'avait écrit, mais il n'avait pas imaginé que le besoin de connexion prime sur le besoin de confidentialité.

Le pire, ce sont bien nos téléphones qui sont tous uniques au niveau matériel (IMEI, MAC, UUID..), mais aussi dans leurs utilisations (ID Apple, applications installées, heures et dates des appels, des messages, des logs, des synchronisations...) car ils nous accompagnent tout le temps. Inutile de couper la géolocalisation, celle-ci est de toute façon possible par les antennes de l'opérateur.

Quant aux réseaux sociaux, comme c'est pratique pour nos gouvernements d'avoir la liste des participants à telle manif, de remonter les liens de telle personne...
Pour le pouvoir en place, assurer sa sécurité est la première priorité. Elle n'a pas de prix.


--------------------
"Je vais mettre Mouse Office pour voir combien de kilomètres je parcours entre 2 changements de scotch et nettoyage de boule.
Même dans le domaine du petit bricolage, il faut savoir rester rigoureux. :-) "
-+- CH in Guide du Macounet Pervers : Bien bricoler sa souris -+-
Go to the top of the page
 
+Quote Post
broitman
posté 5 Nov 2018, 09:19
Message #6


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 613
Inscrit : 2 Nov 2008
Lieu : HongKong
Membre no 124 847



Si vous voulez rester inconnus il faut tout debrancher, et ne jamais utiliser son propre appareil

Mais tout le monde est devenu narcissique etaime bien se voir, se faire voir, et se faire admirer
Go to the top of the page
 
+Quote Post
zero
posté 5 Nov 2018, 09:53
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 288
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (chammer @ 5 Nov 2018, 17:03) *
Pour le pouvoir en place, assurer sa sécurité est la première priorité. Elle n'a pas de prix.

C'est le contrôle qui prime pour un gouvernement. Seule la méthode pour y parvenir change.
En second, c'est la stabilité pour eux.
Go to the top of the page
 
+Quote Post
ekami
posté 5 Nov 2018, 10:48
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 870
Inscrit : 9 Apr 2004
Membre no 17 402



Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)
Je sais que même comme ça on doit pouvoir "écouter" le fonctionnemet du matériel, alors il faudra en plus placer le matériel dans une cage de plomb.
Et ne pas oublier le support de stockage déconnecté après usage.
Quand je pense qu'on nous vend (rien n'est gratuit) des services clouds pour qu'on leur donne nos données, au prétexte que c'est "si pratique" (même si sur ce point, il y a de grandes différences au niveau de la praticité).


--------------------
Convaincre, anticiper les besoins des clients…Moi j’ai jamais compris les gens.
D’après vous, que veulent ils ?
La facilité. Les gens sont toujours prêts à troquer la qualité contre la facilité.
Ça peut être de la camelote, c’est pas grave, tant que c’est pratique. (Les indestructibles 2)
.
Go to the top of the page
 
+Quote Post
raoulito
posté 5 Nov 2018, 10:57
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 557
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



Citation (otto87 @ 5 Nov 2018, 01:31) *
Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien wink.gif sans faire intervenir de reptiliens laugh.gif (mauvais exemple MB étant non sécurisé)

T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction....

oui je vois
du coup on peux resumer en disant que meme si on arrivait pas à lire ce qui passe par ton proc de toutes façons ce n'est qu'une methode parmi d'autres pour te pister etc..
thanks !


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
yponomeute
posté 5 Nov 2018, 11:27
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 903
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (ekami @ 5 Nov 2018, 10:48) *
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)

Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise.
Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc.
La liste est très très très longue.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Papalou
posté 5 Nov 2018, 12:23
Message #11


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 468
Inscrit : 8 Aug 2007
Membre no 92 144



Citation (yponomeute @ 5 Nov 2018, 12:27) *
Citation (ekami @ 5 Nov 2018, 10:48) *
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)

Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise.
Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc.
La liste est très très très longue.


C'est pourtant simple : il suffit de ne plus aller à l'école, plus travailler, plus faire de courses, et ne plus aller chez le médecin. Et ne pas se faire recenser. Facile.
Go to the top of the page
 
+Quote Post
Ulf64
posté 5 Nov 2018, 12:33
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 060
Inscrit : 6 Aug 2012
Lieu : Suisse fr
Membre no 178 042



D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer.
C'est ainsi que Ben Laden s'est fait repérer par les américains.

Autrement dit, il ne faut pas tomber en dessous d'un certain volume de données si on veut éviter d'être repéré comme quelqu'un qui veut cacher quelque chose et passer inaperçu. Donc quelqu'un de suspect.

Ce message a été modifié par Ulf64 - 5 Nov 2018, 12:33.


--------------------
Mes OS: High Sierra - W10 - Linux - Android - Tizen
Matos: Mac mini7,1 - Ultrabook - Tour Dell - SmartPhone - SmartTV
Périfs: NAS QNAP - Imprimantes réseau: Brother MFC-9330CDW, HP 2605dn
Réseau Ethernet: Gigabit filaire cat 6 - WiFi 11n/ac
Go to the top of the page
 
+Quote Post
ekami
posté 5 Nov 2018, 12:48
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 870
Inscrit : 9 Apr 2004
Membre no 17 402



Citation (Ulf64 @ 5 Nov 2018, 13:33) *
D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer.
C'est ainsi que Ben Laden s'est fait repérer par les américains.
Autrement dit, il ne faut pas tomber en dessous d'un certain volume de données si on veut éviter d'être repéré comme quelqu'un qui veut cacher quelque chose et passer inaperçu. Donc quelqu'un de suspect.

C'est pas faux tongue.gif
Un bon début pourrait être de ne pas trop abuser des réseaux sociaux et des clouds.


--------------------
Convaincre, anticiper les besoins des clients…Moi j’ai jamais compris les gens.
D’après vous, que veulent ils ?
La facilité. Les gens sont toujours prêts à troquer la qualité contre la facilité.
Ça peut être de la camelote, c’est pas grave, tant que c’est pratique. (Les indestructibles 2)
.
Go to the top of the page
 
+Quote Post
Patounet1
posté 5 Nov 2018, 12:49
Message #14


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 213
Inscrit : 16 Feb 2006
Lieu : Ariège 09300
Membre no 55 743



Citation (Papalou @ 5 Nov 2018, 12:23) *
Citation (yponomeute @ 5 Nov 2018, 12:27) *
Citation (ekami @ 5 Nov 2018, 10:48) *
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)

Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise.
Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc.
La liste est très très très longue.


C'est pourtant simple : il suffit de ne plus aller à l'école, plus travailler, plus faire de courses, et ne plus aller chez le médecin. Et ne pas se faire recenser. Facile.

Et de ne pas raconter sa vie, minutes par minutes sur les réseaux sociaux cool.gif


--------------------
G4 MDD 1,25ghz- Ram 1,5Go Mac OSX 10.5.8. carte PCI ->5 ports USB2
MacBook Pro Retina fin 2013, 13", 8Go-256Go SSD. OS X 10.14
Windows-phone Lumia 550 (Win 10)
Go to the top of the page
 
+Quote Post
raoulito
posté 5 Nov 2018, 13:27
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 557
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



Citation (Ulf64 @ 5 Nov 2018, 12:33) *
C'est ainsi que Ben Laden s'est fait repérer par les américains.

alors là j'ai bloqué  !
vas-y un lien, une explication  ?  ?


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
iAPX
posté 5 Nov 2018, 13:56
Message #16


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 193
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (yponomeute @ 5 Nov 2018, 06:27) *
Citation (ekami @ 5 Nov 2018, 10:48) *
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)

Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise.
Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc.
La liste est très très très longue.

Justement je viens d'entendre parler du Dossier Médical Partouzé géré par Hadès CEGEDIM, et ayant travaillé pour CEGEDIM je peux témoigner qu'on est pas dans la protection de la vie privée, au contraire, ceci expliquant pourquoi ils ont gagné le prix Orwell des Big Brother Awards haut la main wink.gif

Pour ce qui est des CPU Intel, ça affecte probablement tout type de CPU ayant plusieurs threads par cœur, AMD ou IBM aussi, et le code source est extrêmement simple et peut facilement s'adapter à de nombreuses situations en changeant la constante du type d'opération visée (et donc du port ciblé pour mesurer les latences).

Il y avait des erreurs d'implémentation dans OpenSSL, comme souvent en crypto c'est là où le bat blesse, avec des tests conditionnels qui n'auraient jamais dû être effectués pendant le déroulement de l'exécution mais regroupés à la fin via une variable en contenant le résultat (la classique). Du travail d'amateur, ou alors...

PS @Patounet1 : tu te trompes, les gens ont le droit de raconter ce qu'ils veulent à qui ils le veulent et que ça reste entre ces personnes.
Le problème ne vient pas des personnes mais de l'abus de capture et croisement de données.

Ce message a été modifié par iAPX - 5 Nov 2018, 14:29.


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post
yponomeute
posté 5 Nov 2018, 14:10
Message #17


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 903
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (raoulito @ 5 Nov 2018, 13:27) *
Citation (Ulf64 @ 5 Nov 2018, 12:33) *
C'est ainsi que Ben Laden s'est fait repérer par les américains.

alors là j'ai bloqué  !
vas-y un lien, une explication  ?  ?

https://www.ndtv.com/world-news/osama-multi...internet-454439


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
raoulito
posté 5 Nov 2018, 15:52
Message #18


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 557
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



Citation (yponomeute @ 5 Nov 2018, 14:10) *


ouééééééé
bon okay en effe,t mais c'est quand même UN des tres nombreux aspects du problème. Pas vraiment ce qui a ete dit
"D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer.
C'est ainsi que Ben Laden s'est fait repérer par les américains."

voici le texte, court de la news:

WASHINGTON: The mansion that Osama bin Laden was living in at Abbottabad near Islamabad was considerably larger than the other homes in the area and was built in 2005, say US intelligence sources. The mansion was believed to be worth at least a million dollars.
Different agencies report that the house was guarded by high compound walls, some of them upto 16 feet. Intelligence officials noted that the residents of the compound burned their trash, unlike other homes in the area.
The mansion had no phones or internet.
This home, U.S. intelligence analysts concluded, was "custom built to hide someone of significance."


--------------------
G3 blue&white 1999 / iMac 24 pouces 2006 / macbook pro I5 13" 2011 /mac mini 2014 i5 / imac 27 5K (mi-2017)
iphone 3G / 3GS / 4 / 4S / 5 / 5S / 6 / 6S / 7 / l'ipad pro 12,9 et son stylet ! (un ordinateur de travail, oui oui !)
Début sur Mac aux Beaux-Arts, en 1995, c'etait des LCII, ma première fois. Du coup j'ai foncé.. Sur Amiga 1200 avec Cartes d'extensions etc.. Haaaa que de souvenirs.. :P

Et çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)
----------
Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
iAPX
posté 6 Nov 2018, 00:48
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 10 193
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Pour résumer toute l'affaire...

OpenSSL avait une très grave bug que tout ceux qui travaillent dans le chiffrement connaissent et évitent, des tests+branchements au milieu de l'exécution permettant d'exposer via l'usage de ressources (dans ce cas des unités internes à la CPU) quelle branche a été prise, et donc monter une attaque par parcours partiel et itératif de l'espace.
Une bug de débutant, passé au travers des Code Review, au cœur d'un code essentiel pour la sécurité. Ça devrait faire poser des questions, non?!?

L'exécution simultanée de plusieurs threads sur un seul cœur, aux ressources forcément limitées, expose le travail réalisée par l'autre (ou les autres) via leur occupation d'unités car pas disponible pour la thread d'attaque, c'est fondamentalement une caractéristique de l'hyperthreading d'Intel et des solutions similaires des autres.
Quelque-chose d'attendu et même d'intéressant pour développer du code optimisé si on peut réussir à caler les dépendances de son propre code sur 2 threads pour exploiter à 100% toutes les ressources incroyables d'un cœur moderne.

Plusieurs threads sur un seul cœur posent des problèmes de sécurité car de l'information est exposée sur l'usage de celui-ci par l'autre thread (ou les autres).
Mais la bug d'OpenSSH est tout simplement incroyable, soit la personne qui l'a écrite et le ou les Reviewers sont des attardés mentaux, soit ça a été placé là délibérément, et dans les deux cas il faudrait des audit externes car ils viennent de perdre la confiance de nombre de personnes à travers le monde.


--------------------
Apple fanboy, un des rares ici à défendre immanquablement l'immaculée (pas le prononcer "y m'a 'culé" svp!) vertu de cette société qui est le dernier rempart de la civilisation contre la barbarie, grâce au Précieux!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 16th December 2018 - 05:02