Un nouvel exploit a permis de récupérer les clés de chiffrement au sein de processeurs Intel, Réactions à la publication du 05/11/2018 |
Bienvenue invité ( Connexion | Inscription )
Un nouvel exploit a permis de récupérer les clés de chiffrement au sein de processeurs Intel, Réactions à la publication du 05/11/2018 |
5 Nov 2018, 00:00
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 342 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Des chercheurs en sécurité ont annoncé qu'ils publieraient prochainement un document dans lequel ils dévoileraient une faille permettant de récupérer des clés de chiffrement au sein des processeurs Intel.
Cette faille, différente de Spectre ou de Meltdown, utilise ce que l'on appelle les fuites de canaux latéraux et passe par l'hyperthreading en mesurant très précisément le temps mis par le processeur pour traiter des informations envoyées en flot continu. Avec cette méthode, ils ont ainsi réussi à récupérer la clé privée d'un serveur TLS sous OpenSSL. Bien que complexe à mettre en œuvre, cette technique ne nécessiterait pas de compétences très poussées en connaissance des arcanes des processeurs (contrairement à Meltdown ou Spectre). Intel a réagi indiquant que cette faille, différente des précédentes, devrait toucher tous les processeurs y compris les puces AMD. Il sera probablement possible d'en limiter l'impact par une modification du code d'OpenSSL afin qu'il soit moins constant dans le type d'instructions utilisées, ce qui compliquera la déduction de ses clés privées à partir de calculs sur la durée d'exécution. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
5 Nov 2018, 00:24
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 228 Inscrit : 12 Jun 2009 Membre no 137 508 |
Marrant c'est une nouvelle version d'une autre classe d'attaque : le temps nécessaire au CPU pour répondre à la vérification d'un mot de passe permet de déterminer les n premiers bon caractère du mot de passe.
Enfin terminator 2 n'y changera rien -------------------- Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde.... |
|
|
5 Nov 2018, 00:27
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
mais du coup, on a maintenant des processeurs intel sans hyperthreading (mon imac par exemple)
du coup cette faille ne l'affecterait pas ? (non pas que je veuille me sentir protéger, je demande juste..) -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
5 Nov 2018, 01:31
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 228 Inscrit : 12 Jun 2009 Membre no 137 508 |
mais du coup, on a maintenant des processeurs intel sans hyperthreading (mon imac par exemple) du coup cette faille ne l'affecterait pas ? (non pas que je veuille me sentir protéger, je demande juste..) Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien sans faire intervenir de reptiliens (mauvais exemple MB étant non sécurisé) T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction.... Ce message a été modifié par otto87 - 5 Nov 2018, 01:40. -------------------- Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde.... |
|
|
5 Nov 2018, 09:03
Message
#5
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 388 Inscrit : 16 May 2002 Membre no 2 488 |
Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien sans faire intervenir de reptiliens (mauvais exemple MB étant non sécurisé) T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction.... Tout à fait. Rien n'est à caractère privé dès lors que l'objet est connecté sur internet. Orwell l'avait écrit, mais il n'avait pas imaginé que le besoin de connexion prime sur le besoin de confidentialité. Le pire, ce sont bien nos téléphones qui sont tous uniques au niveau matériel (IMEI, MAC, UUID..), mais aussi dans leurs utilisations (ID Apple, applications installées, heures et dates des appels, des messages, des logs, des synchronisations...) car ils nous accompagnent tout le temps. Inutile de couper la géolocalisation, celle-ci est de toute façon possible par les antennes de l'opérateur. Quant aux réseaux sociaux, comme c'est pratique pour nos gouvernements d'avoir la liste des participants à telle manif, de remonter les liens de telle personne... Pour le pouvoir en place, assurer sa sécurité est la première priorité. Elle n'a pas de prix. -------------------- "Je vais mettre Mouse Office pour voir combien de kilomètres je parcours entre 2 changements de scotch et nettoyage de boule.
Même dans le domaine du petit bricolage, il faut savoir rester rigoureux. :-) " -+- CH in Guide du Macounet Pervers : Bien bricoler sa souris -+- |
|
|
5 Nov 2018, 09:19
Message
#6
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 977 Inscrit : 2 Nov 2008 Lieu : HongKong Membre no 124 847 |
Si vous voulez rester inconnus il faut tout debrancher, et ne jamais utiliser son propre appareil
Mais tout le monde est devenu narcissique etaime bien se voir, se faire voir, et se faire admirer |
|
|
5 Nov 2018, 09:53
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 571 Inscrit : 25 Nov 2001 Membre no 1 397 |
|
|
|
5 Nov 2018, 10:48
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 447 Inscrit : 9 Apr 2004 Membre no 17 402 |
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur)
Je sais que même comme ça on doit pouvoir "écouter" le fonctionnemet du matériel, alors il faudra en plus placer le matériel dans une cage de plomb. Et ne pas oublier le support de stockage déconnecté après usage. Quand je pense qu'on nous vend (rien n'est gratuit) des services clouds pour qu'on leur donne nos données, au prétexte que c'est "si pratique" (même si sur ce point, il y a de grandes différences au niveau de la praticité). -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
5 Nov 2018, 10:57
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
Le problème est que ce genre de faille doit aussi être exploitable (plus difficilement) avec un second core.Mais bon, se poser ce genre de questions dans le pays du DPI (Deep Packet Inspection) généralisé est secondaire. Même si l'on ne peut pas forcement savoir ce que tu as envoyé comme infos, la simple corrélation du site auquel tu as balancé tes donnés et l'inspection du site suffise a te pister.Par exemple, tu as envoyé ce commentaire 1h24 sur le forum et il y a ta connexion vers ce forum avec un message dont la longueur est proportionnelle a ton post... conclusion on peut faire le lien sans faire intervenir de reptiliens (mauvais exemple MB étant non sécurisé) T2 ni même le meilleurs algo de cryptage ne te protège en rien contre ce genre de corrélation que le big data maîtrise parfaitement. S'imaginer être invisible sur le net est une pure fiction.... oui je vois du coup on peux resumer en disant que meme si on arrivait pas à lire ce qui passe par ton proc de toutes façons ce n'est qu'une methode parmi d'autres pour te pister etc.. thanks ! -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
5 Nov 2018, 11:27
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur) Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise. Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc. La liste est très très très longue. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
5 Nov 2018, 12:23
Message
#11
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 727 Inscrit : 8 Aug 2007 Membre no 92 144 |
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur) Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise. Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc. La liste est très très très longue. C'est pourtant simple : il suffit de ne plus aller à l'école, plus travailler, plus faire de courses, et ne plus aller chez le médecin. Et ne pas se faire recenser. Facile. -------------------- Mac Mini 2012
Macbook Air 2013 Mac Pro 1,1 Mac Pro 5,1 HP EliteBook 840 G2 NUC7i3BNH - Core i3-7100U @ 2.4GHz - 16Go RAM - SSD Sata Sandisk 480Go et tout une tripotée de stations i7 et Xeon. |
|
|
5 Nov 2018, 12:33
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 940 Inscrit : 6 Aug 2012 Lieu : Suisse fr Membre no 178 042 |
D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer.
C'est ainsi que Ben Laden s'est fait repérer par les américains. Autrement dit, il ne faut pas tomber en dessous d'un certain volume de données si on veut éviter d'être repéré comme quelqu'un qui veut cacher quelque chose et passer inaperçu. Donc quelqu'un de suspect. Ce message a été modifié par Ulf64 - 5 Nov 2018, 12:33. -------------------- Mes OS: Ventura, - Catalina - Win10 - Android 14
Matos: Mac mini14,3 - Mac mini7,1 - Ultrabook - Galaxy S23 - SmartTV - Nvidia Shield Récup pr lecture journaux au pt.déj: MBA 3,2 / 2010/ 2+128Go / 10.13.6 Périfs: NAS QNAP - Imprimantes réseau: Brother MFC-9330CDW et DCP-L2550DN LAN: Ethernet Gigabit cat 6 - WiFi 6 Mesh Orbi - Pont CPL Devolo de 50m |
|
|
5 Nov 2018, 12:48
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 447 Inscrit : 9 Apr 2004 Membre no 17 402 |
D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer. C'est ainsi que Ben Laden s'est fait repérer par les américains. Autrement dit, il ne faut pas tomber en dessous d'un certain volume de données si on veut éviter d'être repéré comme quelqu'un qui veut cacher quelque chose et passer inaperçu. Donc quelqu'un de suspect. C'est pas faux Un bon début pourrait être de ne pas trop abuser des réseaux sociaux et des clouds. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
5 Nov 2018, 12:49
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 708 Inscrit : 16 Feb 2006 Lieu : Ariège 09300 Membre no 55 743 |
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur) Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise. Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc. La liste est très très très longue. C'est pourtant simple : il suffit de ne plus aller à l'école, plus travailler, plus faire de courses, et ne plus aller chez le médecin. Et ne pas se faire recenser. Facile. Et de ne pas raconter sa vie, minutes par minutes sur les réseaux sociaux -------------------- G4 MDD 1,25ghz- Ram 1,5Go Mac OSX 10.5.8. carte PCI ->5 ports USB2
MacBook Pro Retina fin 2013, 13", 8Go-256Go SSD. OS X 11.2.En arrêt cardiaque avec la Mise à jour Bigsur, ressuscité après une opération à cœur ouvert et beaucoup de chance. HP, EliteBook, reconditionné acquis en dépannage. iPhone SE 2020 |
|
|
5 Nov 2018, 13:27
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
C'est ainsi que Ben Laden s'est fait repérer par les américains. alors là j'ai bloqué ! vas-y un lien, une explication ? ? -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
5 Nov 2018, 13:56
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 383 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Je délire un peu ou on va arriver à un stade où pour stocker des données "confidentielles"(ou plus simplement "personnelles") il faudra les placer sur un ordinateur totalement offline (réseau local et internet bien sur) Solution qui semble idéale, sauf que tes données personnelles/confidentielles tu n'en a pas la maitrise. Ton médecin stocke tes données personnelles et confidentielles, ta commune stocke tes données personnelles, l'école de tes enfants stocke tes données personnelles et celles de tes enfants, ton employeur stocke tes données personnelles, ton supermarché stocke tes données personnelles, etc etc etc. La liste est très très très longue. Justement je viens d'entendre parler du Dossier Médical Partouzé géré par Hadès CEGEDIM, et ayant travaillé pour CEGEDIM je peux témoigner qu'on est pas dans la protection de la vie privée, au contraire, ceci expliquant pourquoi ils ont gagné le prix Orwell des Big Brother Awards haut la main Pour ce qui est des CPU Intel, ça affecte probablement tout type de CPU ayant plusieurs threads par cœur, AMD ou IBM aussi, et le code source est extrêmement simple et peut facilement s'adapter à de nombreuses situations en changeant la constante du type d'opération visée (et donc du port ciblé pour mesurer les latences). Il y avait des erreurs d'implémentation dans OpenSSL, comme souvent en crypto c'est là où le bat blesse, avec des tests conditionnels qui n'auraient jamais dû être effectués pendant le déroulement de l'exécution mais regroupés à la fin via une variable en contenant le résultat (la classique). Du travail d'amateur, ou alors... PS @Patounet1 : tu te trompes, les gens ont le droit de raconter ce qu'ils veulent à qui ils le veulent et que ça reste entre ces personnes. Le problème ne vient pas des personnes mais de l'abus de capture et croisement de données. Ce message a été modifié par iAPX - 5 Nov 2018, 14:29. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
5 Nov 2018, 14:10
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
C'est ainsi que Ben Laden s'est fait repérer par les américains. alors là j'ai bloqué ! vas-y un lien, une explication ? ? https://www.ndtv.com/world-news/osama-multi...internet-454439 -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
5 Nov 2018, 15:52
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
ouééééééé bon okay en effe,t mais c'est quand même UN des tres nombreux aspects du problème. Pas vraiment ce qui a ete dit "D'un autre côté si tu génères trop peu de données sur le net, tu te fais repérer. C'est ainsi que Ben Laden s'est fait repérer par les américains." voici le texte, court de la news: WASHINGTON: The mansion that Osama bin Laden was living in at Abbottabad near Islamabad was considerably larger than the other homes in the area and was built in 2005, say US intelligence sources. The mansion was believed to be worth at least a million dollars. Different agencies report that the house was guarded by high compound walls, some of them upto 16 feet. Intelligence officials noted that the residents of the compound burned their trash, unlike other homes in the area. The mansion had no phones or internet. This home, U.S. intelligence analysts concluded, was "custom built to hide someone of significance." -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
6 Nov 2018, 00:48
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 383 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Pour résumer toute l'affaire...
OpenSSL avait une très grave bug que tout ceux qui travaillent dans le chiffrement connaissent et évitent, des tests+branchements au milieu de l'exécution permettant d'exposer via l'usage de ressources (dans ce cas des unités internes à la CPU) quelle branche a été prise, et donc monter une attaque par parcours partiel et itératif de l'espace. Une bug de débutant, passé au travers des Code Review, au cœur d'un code essentiel pour la sécurité. Ça devrait faire poser des questions, non?!? L'exécution simultanée de plusieurs threads sur un seul cœur, aux ressources forcément limitées, expose le travail réalisée par l'autre (ou les autres) via leur occupation d'unités car pas disponible pour la thread d'attaque, c'est fondamentalement une caractéristique de l'hyperthreading d'Intel et des solutions similaires des autres. Quelque-chose d'attendu et même d'intéressant pour développer du code optimisé si on peut réussir à caler les dépendances de son propre code sur 2 threads pour exploiter à 100% toutes les ressources incroyables d'un cœur moderne. Plusieurs threads sur un seul cœur posent des problèmes de sécurité car de l'information est exposée sur l'usage de celui-ci par l'autre thread (ou les autres). Mais la bug d'OpenSSH est tout simplement incroyable, soit la personne qui l'a écrite et le ou les Reviewers sont des attardés mentaux, soit ça a été placé là délibérément, et dans les deux cas il faudrait des audit externes car ils viennent de perdre la confiance de nombre de personnes à travers le monde. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
Nous sommes le : 24th April 2024 - 00:44 |