L'iMac Pro embarque bien une puce ARM, Réactions à la publication du 15/12/2017

[Lionel]

Apple a confirmé que l'iMac Pro embarque bien une puce ARM, une puce T2 à comparer à la T1 dont sont dotés les portables de la marque et qui gère l'enclave du Touch ID et la Touch Bar.

Si l'on met de côté le risque dans le futur pour les Hackintosh, on apprécie que la puce gère le chiffrement et déchiffrement à la volée du SSD afin que le processeur central en soit déchargé. Toutefois, cela n'aurait pas pesé bien lourd sur un Xeon.

Lien vers le billet original

[iAPX]

Très intéressant, car il y a quelque-chose en plus, avec le chffrement réalisée coté puce T2 et non coté CPU principale: aucun process sur l'INtel n'aura probablment accès aux clés de chiffrement/déchiffrement du SSD, même si un process kernel ou même un process au-dessus du Kernel (la partie avec un mini x86 et un Minix) étaient hackés: Apple se protège ainsi de toutes les backdoors failles de sécurité créés laissés par Intel

C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel, et là ça montre que leur stratégie est d'isoler la puce Intel de tout ce qui est le plus "chaud" en terme de sécurité. Apple est en train de faire monter le niveau de sécurité des Mac vers celui des iDevice et n'a visiblement confiance en personne pour ce-faire.

Un très bon coup!

[raoulito]

Très intéressant, car il y a quelque-chose en plus, avec le chffrement réalisée coté puce T2 et non coté CPU principale: aucun process sur l'INtel n'aura probablment accès aux clés de chiffrement/déchiffrement du SSD, même si un process kernel ou même un process au-dessus du Kernel (la partie avec un mini x86 et un Minix) étaient hackés: Apple se protège ainsi de toutes les backdoors failles de sécurité créés laissés par Intel
C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel, et là ça montre que leur stratégie est d'isoler la puce Intel de tout ce qui est le plus "chaud" en terme de sécurité. Apple est en train de faire monter le niveau de sécurité des Mac vers celui des iDevice et n'a visiblement confiance en personne pour ce-faire.

certes, mais est ce que ce n'est pas plutot quelque chose de plus profond? un long chemin transformant le proc intel en "coprocesseur" et l'arm d'apple en "processeur generique qui s'occupe de tout le reste" ?
en gros le premier pas vers le mac ARM, où on choisira toujours son processeur intel, mais seulement dans les machines dites "pro" ?

[Sethy]

L'évolution que je vois à terme, c'est un OS qui va réintégrer une sorte de "Rom", comme sur les premiers micro (Commodore 64, etc.), même si celle-ci sera flashable.

On pourrait imaginer que la puce Arm se chargerait de flasher l'OS et l'OS en retour s'occuperait de flasher la puce Arm.

iAPX parlait de sécurité des données, ici en plus, on a la sécurité sur l'OS.

['Ztyk]

Voulant passer sur un hackintosh d'ici quelques mois (ou quelques années, ça va dépendre de mon iMac), où est le danger pour ces premiers ?

[Xander Cage]

Voulant passer sur un hackintosh d'ici quelques mois (ou quelques années, ça va dépendre de mon iMac), où est le danger pour ces premiers ?

Je suppose que les fabricants de cartes mères 'compatibles' n'auront pas la possibilité de 'copier' cette puce T2 pour l'intégrer dans le futur ... Exit (pour le moment) aussi les distrib' Linux quand cet iMac Pro deviendra obsolète chez Apple ...

[broitman]

Oui c'est bien le verouillage APPLE SOLO qui est programme, et rien d'autre qui soit adaptable

L'ordinateur est protege contre tout ce qui n'est pas signe Apple

[zebigbug]

L'évolution que je vois à terme, c'est un OS qui va réintégrer une sorte de "Rom", comme sur les premiers micro (Commodore 64, etc.), même si celle-ci sera flashable.

On pourrait imaginer que la puce Arm se chargerait de flasher l'OS et l'OS en retour s'occuperait de flasher la puce Arm.

iAPX parlait de sécurité des données, ici en plus, on a la sécurité sur l'OS.

Scénario possible en 2020 ? :
"Votre machine obsolète ne peut plus accueillir les mises à jour , pour votre sécurité nous avons bloqué la possibilité de vous connecter à internet.
Merci de nous contacter pour acheter un nouvel imac ".

[Cekter]

Oui c'est bien le verouillage APPLE SOLO qui est programme, et rien d'autre qui soit adaptable

L'ordinateur est protege contre tout ce qui n'est pas signe Apple

"Étrangement" cette "new feature" est mise au point juste avant l'apparition d'un mac pro "modulaire". Signe évident que les "modules" ne seront que ceux fournis exclusivement par Apple.

[Albook]

C'est indéniablement un pas de plus vers des machines 100% Apple ou toute modification tant matérielle que logicielle devient impossible car interdite.
Si l'on n'accepte pas cette dépendance totale, on ne pourra plus utiliser ces belles machines ni contourner tant les tarifs excessifs des composants Apple ( Ram, SSD,... )
que les utilisations logicielles non signées par Apple.

Ce message a été modifié par Albook - 15 Dec 2017, 09:03.

[Kenny]

Oui c'est bien le verouillage APPLE SOLO qui est programme, et rien d'autre qui soit adaptable

L'ordinateur est protege contre tout ce qui n'est pas signe Apple

"Étrangement" cette "new feature" est mise au point juste avant l'apparition d'un mac pro "modulaire". Signe évident que les "modules" ne seront que ceux fournis exclusivement par Apple.

Entièrement d'accord avec toi.
Les gens veulent des machines modulaires? Pas de souci, mais ce sera qu'avec du Apple!

[downanotch]

Si l'on met de côté le risque dans le futur pour les Hackintosh, on apprécie que la puce gère le chiffrement et déchiffrement à la volée du SSD afin que le processeur central en soit déchargé. Toutefois, cela n'aurait pas pesé bien lourd sur un Xeon.

Le but ici n'est pas de décharger le processeur principal mais bien d'éviter qu'il ait accès aux clés comme l'explique iAPX. Pas forcément par crainte de failles ou de backdoor dans le processeur, mais simplement parce que ça limite fortement les possibilités d'attaques.

[shawnscott]

Le jour où il ne sera plus possible de construire son Hackintosh, j'imagine que cela poussera certains à quitter Apple purement et simplement.

[jakin1950]

Je n’achetai pas une machine à ce prix
Elle me semble malgré ses défauts montrer un intérêt d’apple Pour le Mac
La puce ARM permet de bloquer les hackintosh
Les questions sont:
Qui peut amortir un poste à 11 000 euros sur 3 ans?
Seront’ils assez nombreux pour que les éditeurs sortent des programmes optimisés ?
C’est un marché de niche
Ceux qui l’utilisent disent quoi?

Miser sur le hackintosh n’est pas une solution pérenne

Quel est la concurrence sur Windows 10 au niveau matériel et softwares ?
Win 10 est maintenant fiable et agréable à utiliser
Pour quelqu’un qui n’a pas de culture PC, il faut plus d’un an être à l’aise sur Windows , ce qui est à prendre en compte

[g4hd]

"Étrangement" cette "new feature" est mise au point juste avant l'apparition d'un mac pro "modulaire". Signe évident que les "modules" ne seront que ceux fournis exclusivement par Apple.

C’est déjà le cas depuis le Mac Pro 2013.
(Ah non ! On peut monter sa propre Ram).

[Cekter]

@g4hd : sauf que le mac pro 2013, de part sa forme, était de toute façon inupgradable simplement.

Là c'est à peu près évident pour moi qu'Apple va nous vendre des solutions du genre gros bloc vaguement design à emboiter pour upgrader sa machine, mais chaque module sera totalement fermé. Un peu comme les "cartouches" qu'on rajoutait sur les amstrad cpc ou sur les commodore 64 pour augmenter la mémoire, ou rajouter un lecteur de k7. En moins moche j'espère.

Après tout pourquoi pas si ça plait aux gens, moi je m'en tape.

Par contre pour revenir à l'iMac pro ce qui me gène le plus ici ce n'est pas tant l'impossibilité d'upgrade à la maison (ça à la limite, comme le soulignait je sais plus qui, ça ne concerne que peu de gens) mais plutôt l'impossibilité d'entretenir la machine : pas d'accès aux ventilos par exemple. Et ça sur une machine qui va tourner h24 c'est un très gros problème. Je ne parle pas d'un démontage en règle mais juste d'un accès aux entrailles pour passer un petit coup d'air sec. Pour moi c'est aussi absurde que si on devait aller au garage pour regonfler ses pneus.

Ce message a été modifié par Cekter - 15 Dec 2017, 10:38.

[SartMatt]

C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel

Non, pas inutile. Quand on a des SSD qui moulinent à plusieurs Go/s, effectuer le chiffrement par le CPU, ça a quand même un impact non négligeable sur la charge CPU...

Un i7-6700K en AES-256-CBC, c'est environ 1 Go/s avec 100% de charge CPU sur un cœur... Donc 3 Go/s sur l'iMac 8 coeurs, ça veut dire que quand tu es en écriture intensive tu as au bas mot 1/3 du CPU qui est dédié à ça...

Concernant la clé, les processus x86 n'y auront certes pas accès. Mais par contre, ils ont accès aux données en clair. Donc pas besoin de la clé...

certes, mais est ce que ce n'est pas plutot quelque chose de plus profond? un long chemin transformant le proc intel en "coprocesseur" et l'arm d'apple en "processeur generique qui s'occupe de tout le reste" ?

L'intérêt d'une telle solution serait grosso modo nul. La complexité de la mise en place d'une telle architecture (notamment le partage de l'espace mémoire entre deux CPU d'architecture différente, le besoin de charger en double toute les API, pour que des processus ARM et des processus x86 puissent les utiliser, la gestion de la communication entre processus ARM et processus x86...) annihilerait tous les gains qu'on pourrait en espérer.

[morane_j]

C'est bizarre il me semblait que le chiffrement/déchiffrement des données c'était une fonction à part des proc Intel et que donc ça avait 0 impact sur les performances. ça sent le vérrouillage des Hackintosh, impossible de chiffrer un hackintosh avait processeur intel

[vlady]

Très intéressant, car il y a quelque-chose en plus, avec le chffrement réalisée coté puce T2 et non coté CPU principale: aucun process sur l'INtel n'aura probablment accès aux clés de chiffrement/déchiffrement du SSD, même si un process kernel ou même un process au-dessus du Kernel (la partie avec un mini x86 et un Minix) étaient hackés: Apple se protège ainsi de toutes les backdoors failles de sécurité créés laissés par Intel

C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel, et là ça montre que leur stratégie est d'isoler la puce Intel de tout ce qui est le plus "chaud" en terme de sécurité. Apple est en train de faire monter le niveau de sécurité des Mac vers celui des iDevice et n'a visiblement confiance en personne pour ce-faire.

Un très bon coup!

Tout ça est mignon mais j'aurais laaaaargement préféré que SSD soit un truc standard (nvme m.2), replaceable facilement, sans cette magouille qui a tout l'air d'un "over engineering acharné" qu'Apple affectionne tant. Connaissant la boite, il y a, et il aura toujours, plein de faille de sécurité dans cette antique kernel. Quel intérêt de s'embêter à forcer une serrure "super élaborée" quand les murs sont en carton et les fenêtres sont grande ouvertes ?

[downanotch]

Tout ça est mignon mais j'aurais laaaaargement préféré que SSD soit un truc standard (nvme m.2), replaceable facilement, sans cette magouille qui a tout l'air d'un "over engineering acharné" qu'Apple affectionne tant. Connaissant la boite, il y a, et il aura toujours, plein de faille de sécurité dans cette antique kernel. Quel intérêt de s'embêter à forcer une serrure "super élaborée" quand les murs sont en carton et les fenêtres sont grande ouvertes ?

Le Secure Enclave n'est pas une serrure, c'est plutôt un coffre-fort.

[DonaldKwak]

Si je ne m’abuse, c’est bien Apple qui a sorti récemment un OS ou un gaming de 8 ans pouvait devenir root ? Question sécurité, si j’étais eux, je ferais profil bas pendant quelque mois au moins.

[g4hd]

@g4hd : sauf que le mac pro 2013, de part sa forme, était de toute façon inupgradable simplement.

Pas du tout d'accord.
Je possède cette machine et je peux dire qu'on y accède sans difficulté.
Une fois le lourd capot en fonte d'aluminium retiré, on a accès sans entraves aux 4 supports de Ram très proprement articulés et on a accès au Flash SSD juste tenu en place par une vis et inséré dans son support.
Le truc bien dégueulasse de la part d'Apple c'est qu'il s'agit d'un M.2 Samsung modifié volontairement au niveau des contacts… et ce SSD est refusé à la vente par Apple.
Il y a plusieurs vendeurs sur eBay qui vendent ces modules certifiés Apple.
Il y a aussi des copies chez OWC qui ne sont que des assemblages, dégradent les perfs d'origine.
Autre chose, une fois ouvert, c'est plaisant de faire une toilette contre la poussière et les poils de chat puisque le flux d'air ventilé est du bas vers le haut… donc la machine aspire ce qui se dépose à proximité.
Pour d'autres upgrades, c'est juste qu'il n'y a pas de matériel dispo, car les 2 cartes graphiques sont amovibles et la carte mère aussi, au prix d'un démontage soigneux du système de ventilation tout en haut et qui enserre les 3 cartes.

[iAPX]

Très intéressant, car il y a quelque-chose en plus, avec le chffrement réalisée coté puce T2 et non coté CPU principale: aucun process sur l'INtel n'aura probablment accès aux clés de chiffrement/déchiffrement du SSD, même si un process kernel ou même un process au-dessus du Kernel (la partie avec un mini x86 et un Minix) étaient hackés: Apple se protège ainsi de toutes les backdoors failles de sécurité créés laissés par Intel
C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel, et là ça montre que leur stratégie est d'isoler la puce Intel de tout ce qui est le plus "chaud" en terme de sécurité. Apple est en train de faire monter le niveau de sécurité des Mac vers celui des iDevice et n'a visiblement confiance en personne pour ce-faire.

certes, mais est ce que ce n'est pas plutot quelque chose de plus profond? un long chemin transformant le proc intel en "coprocesseur" et l'arm d'apple en "processeur generique qui s'occupe de tout le reste" ?
en gros le premier pas vers le mac ARM, où on choisira toujours son processeur intel, mais seulement dans les machines dites "pro" ?

Je verrais bien un avenir comme cela, peu importe les technologies employées, mais on en est très loin, pour l'instant il s'agit d'un architcture de sécurisation, basée de loin sur celle qu'on connait sur iPhone ou iPad, et dont on connait la très grande qualité.

C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel

Non, pas inutile. Quand on a des SSD qui moulinent à plusieurs Go/s, effectuer le chiffrement par le CPU, ça a quand même un impact non négligeable sur la charge CPU...

Un i7-6700K en AES-256-CBC, c'est environ 1 Go/s avec 100% de charge CPU sur un cœur... Donc 3 Go/s sur l'iMac 8 coeurs, ça veut dire que quand tu es en écriture intensive tu as au bas mot 1/3 du CPU qui est dédié à ça...

Concernant la clé, les processus x86 n'y auront certes pas accès. Mais par contre, ils ont accès aux données en clair. Donc pas besoin de la clé...
...

Après le démarrage initial et surtout la saisie du passe permettant la création de la clé de chiffrement/déchiffrement coté T2, mon ami, et donc rendant extrêmement difficile l'accès à ses données même en profitant des backdoors failles Intel après vol ou saisie d'un iMac Pro, car maintenant tout cela est controlé par Apple, et ça va mettre des batons dans les roues ds organisations à 3 lettres et de leurs pendants dans nombre de pays où être un opposant au régime peut sévèrement impacter l'espérance de vie (une fois que cela se sera démocratisé sur les autres Mac!)

Bien vu pour l'AES-256-CBC effectivement, ça veut aussi dire qu'Apple a développé du très très bon pour supporter de tels débits sur une plateforme ARM, ils m'épatent avec la quantité de technologies novatrices et performantes qu'ils amènent aussi sur du silicone, depuis leurs premères CPU Ax maison.

Ce message a été modifié par iAPX - 15 Dec 2017, 14:35.

[g4hd]

Pour ce qui est du SSD de base en 256 Go, je me suis bien habitué à gérer mes dossiers en archives externes, ce qui fait que système + applis m'encombre moins de 80 Go et mes dossiers en cours également 80 Go… reste donc 90 Go libres.
J'aurais un SSD 512 Go ou même 1 To, ce serait juste pour être moins soigneux dans mes dossiers, donc pas du tout une bonne idée.
En revanche, si j'étais contraint à augmenter le volume du SSD, il y a longtemps que j'aurais acheté un module aux USA.

[SartMatt]

Après le démarrage initial et surtout la saisie du passe permettant la création de la clé de chiffrement/déchiffrement coté T2

Oki, j'avais pas compris ça comme ça, je pensais que c'était un chiffrement global de tout le volume, pas juste les données utilisateurs après le login.

ça veut aussi dire qu'Apple a développé du très très bon pour supporter de tels débits sur une plateforme ARM, ils m'épatent avec la quantité de technologies novatrices et performantes qu'ils amènent aussi sur du silicone

Je dirais surtout que c'est pas le cœur ARM qui effectue le chiffrement. Je pense qu'ils ont un circuit dédié au chiffrement, le cœur ARM n'étant que le chef d'orchestre...

D'autres ont déjà fait ça avant elle d'ailleurs. Tous les SSD un peu haut de gamme et ciblant le marché pro (mais également pas mal de modèles grand public) ont en option du chiffrement matériel effectué au niveau du contrôleur du SSD, sans impact sur les débit. Et typiquement, dans le cas des Samsung 9xx Pro, c'est donc dans un contrôleur basé sur une plateforme ARM (tous les contrôleurs SSD de Samsung depuis une dizaine d'années sont basées sur de l'ARM).

[chris27]

Très intéressant, car il y a quelque-chose en plus, avec le chffrement réalisée coté puce T2 et non coté CPU principale: aucun process sur l'INtel n'aura probablment accès aux clés de chiffrement/déchiffrement du SSD, même si un process kernel ou même un process au-dessus du Kernel (la partie avec un mini x86 et un Minix) étaient hackés: Apple se protège ainsi de toutes les backdoors failles de sécurité créés laissés par Intel

C'est quelque-chose d'assez fantastique car inutile si Apple avait confiance en Intel, et là ça montre que leur stratégie est d'isoler la puce Intel de tout ce qui est le plus "chaud" en terme de sécurité. Apple est en train de faire monter le niveau de sécurité des Mac vers celui des iDevice et n'a visiblement confiance en personne pour ce-faire.

Un très bon coup!

Mouais... avec les derniers déboires d'Apple et d'High Sierra, il n'y a même pas besoin de descendre jusqu'aux failles de sécurité du CPU.
C'est un peu ridicule à mon sens de pointer ses fournisseurs alors qu'on vient de vivre 2 mois très chaud niveau sécurité.

[Cekter]

Pour d'autres upgrades, c'est juste qu'il n'y a pas de matériel dispo, car les 2 cartes graphiques sont amovibles et la carte mère aussi, au prix d'un démontage soigneux du système de ventilation tout en haut et qui enserre les 3 cartes.

C'est ce que j'entendais par "simplement" dans le sens de matériel facilement dispo.

Par contre c'est très bien qu'on puisse le nettoyer facilement et c'est à mon avis là que l'iMac pro va poser de gros problèmes dans quelques temps. A moins de bosser dessus dans un environnement stérile à pression positive mais tout le monde ne peut pas se payer un environnement de bloc opératoire...

[vlady]

Tout ça est mignon mais j'aurais laaaaargement préféré que SSD soit un truc standard (nvme m.2), replaceable facilement, sans cette magouille qui a tout l'air d'un "over engineering acharné" qu'Apple affectionne tant. Connaissant la boite, il y a, et il aura toujours, plein de faille de sécurité dans cette antique kernel. Quel intérêt de s'embêter à forcer une serrure "super élaborée" quand les murs sont en carton et les fenêtres sont grande ouvertes ?

Le Secure Enclave n'est pas une serrure, c'est plutôt un coffre-fort.

Il joue quel rôle quand le système est booté et tourne ?
(Un coffre-fort a toujours une porte et une serrure plus ou mois sophistiqué )

Quelle aussi la relation avec Secure Boot de PC ?

https://technet.microsoft.com/en-us/library/hh824987.aspx

Ce message a été modifié par vlady - 15 Dec 2017, 18:28.

[zoso2k1]

...
Qui peut amortir un poste à 11 000 euros sur 3 ans?
...

Les mêmes qui achètent une station HP Z6 ou Z8 à plus de 30.000 euros pour faire tourner des softs ayant besoin de 3 cartes graphiques par exemple.

Je connais un développeur qui facture 1000 euros par jour et d'autres encore plus. Alors même à 30000 euros, si la machine te fait gagner 15 jours de production à l'année, en deux ans elle ne t'a rien coûté.

[raoulito]

Les mêmes qui achètent une station HP Z6 ou Z8 à plus de 30.000 euros pour faire tourner des softs ayant besoin de 3 cartes graphiques par exemple.
Je connais un développeur qui facture 1000 euros par jour et d'autres encore plus. Alors même à 30000 euros, si la machine te fait gagner 15 jours de production à l'année, en deux ans elle ne t'a rien coûté.

regardez une agence d eprod comme là ou j'ai travaillé. et on parle du maroc hein, il y a un peu moins de 10 ans. Une journée d'un opérateur c'est facturé 2000euros environ au total (la machine plus que le gars d'ailleurs ^^). Certes il y a l'administration, les charges etc... Mais on savait qu'il suffisait de mener à bien un projet menseul (petite anim d'une vingtaine de seconde si on est tout seul) pour rentabiliser sa paye. Alors replaçons cela à Paris en 2017 et les 15000 euros de l'imac ne sont pas des drames. Lionel l'a bien expliqué dans l'article "l'imac pro, oui mais.."