Version imprimable du sujet

Écrit par : Lionel 14 Nov 2018, 07:20

Les attaques spéculatives Spectre et Meltdown permettent d'accéder au sein des processeurs à des données protégées.
Depuis la première découverte de ces failles, les chercheurs en sécurité ont commencé à en faire un recensement systématique et à trouver de nouveaux moyens pour les exploiter de la manière la plus pratique possible.
Cela vient de conduire à l'annonce de la découverte de 7 nouvelles méthodes pour en tirer parti. Elles concernent dans certains cas seulement les processeurs Intel, dans d'autres tous les processeurs y compris ARM, y compris ceux produits par Apple.
Ces failles sont parfois atténuées par les premiers patchs mis en place, parfois non.

Par exemple, l'une d'entre elles va tenter d'accéder au contenu protégé de la mémoire, ce qui est devenu impossible grâce aux atténuations mises en place. Toutefois, chaque interdiction à l'accès de cette mémoire va renvoyer des données parcellaires qui suffiront une fois cumulées et interprétées à en déduire le contenu, par exemple une clé de déchiffrement.

Vous l'aurez compris, on est très loin d'en avoir fini avec ces problèmes de sécurité. Il faudra certainement des années de travail au niveau du design le plus intime des processeurs pour trouver le moyen d'en venir à bout et d'ici là il y a de fortes chances que d'autres failles soient découvertes.
En bref, auparavant on cherchait des failles au niveau des logiciels et systèmes d'exploitation. Maintenant, même si cette recherche continue, on tente aussi d'en découvrir au niveau du design des processeurs. C'est très complexe mais permet de trouver des failles qui sont indépendantes des systèmes d'exploitation installés, des protections logicielles mises en place et dont l'exploitation active est très difficile à détecter

http://macbidouille.com/news/2018/11/14/7-nouvelles-attaques-spectre-et-meltdown-devoilees

Écrit par : Cekter 14 Nov 2018, 12:36

Et ben c'est de plus en plus rassurant tout ça...

C'est pour quand déjà les "super nouveau proc" dépourvus de ces failles ? (même si je me doute qu'il y en aura d'autres...)

Écrit par : otto87 14 Nov 2018, 13:26

Pour quand assez de gens seront capables d'accepter une division des performances d'un facteur 2 pour leur sécurité, c'est a dire dans très très longtemps ou tout simplement jamais...

Écrit par : @nilsou 14 Nov 2018, 13:43

Si je comprends bien, pendant ce temps, tous les ordinateurs de la planète ou presque sont de vrai passoire ?

Écrit par : iAPX 14 Nov 2018, 13:45

Humpf...

On en verra pas la fin de cette affaire, visiblement, surtout qu'il n'y a pas de protections, uniquement des atténuations des risques et portées de ces attaques.

Avec la concentration des serveurs et des tâches, c'est moyen comme situation...

Écrit par : Cekter 14 Nov 2018, 14:04

Meuuuuh non, tout va bien voyons !

Écrit par : Hebus 14 Nov 2018, 14:32

On va passer à la phase Mentat plus vite que prévu ... quoique eux aussi peuvent être piratés ...

Écrit par : Bunios 14 Nov 2018, 15:34

C'est clair....

Enfin j'ai toujours que ce serait peut-être la prochaine guerre...de la part d'un "tarré" ou d'un état. On a eu une petite idée il y a pas si longtemps (Les hopitaux de Londres et ailleurs).

Bref, ça ne va pas être simple tout ça !!!

A+

Écrit par : linus 14 Nov 2018, 15:56

Le problème n'est plus de chercher les trous mais de savoir si la passoire a encore autre chose que des trous !
Quand je pense que certains disaient que la sécurité c'est l'affaire de l'utilisateur. Cela pouvait sembler raisonnable mais ils ne savaient pas les pauvres !

Écrit par : Papalou 14 Nov 2018, 16:39

Un ordinateur pas branché sur internet reste sûr, hein…
C'est pour ça qu'à une époque le réseau Saphir (Gendarmerie Nationale) avait son réseau dédié (en même temps, c'était bien avant qu'internet ne soit déployé), ou bien encore que les majors ciné US font signer des contrats et vérifient périodiquement que les labos qui travaillent pour eux n'aient pas de machines de production connectées à internet.

Evidemment, pour un développeur web, c'est plus compliqué...

Écrit par : iAPX 15 Nov 2018, 00:26

Elle est déjà commencé avec des acteurs qui se cachent de moins en moins et surtout qui n'hésitent pas à détruire, soit se sentant repéré soit à la fin de leur forfait initial, pour effacer les traces, mais aussi pour faire gratuitement du mal.

Le meilleur des mondes possibles

Écrit par : CPascal 15 Nov 2018, 06:00

aucun des ordis vendus n'est sécure. quand on sait que l’essentiel de nos données personnelles transite par le web, ca donne une idée précise de l'état de notre sécurité informatique. alors le RGPD et tout le tintouin... quelle rigolade. dans ces conditions, pas de bras pas de chocolat, restons sur des pc ordinaires, faille pour faille, ça coutera moins cher de se faire pirater, de tte façon même les derniers composants hors de prix ne sont pas protégés donc...

la prime au labo qui nous sortira de là. transposé au monde des voitures, etc, tout ce petit monde se verrait interdire toute vente à risques
le monde de l'informatique est vraiment hors normes (juridiques)

Écrit par : Bunios 15 Nov 2018, 07:02

C'est sûr....y aurait bien une solution proche du 0....elle est radicale celle-là....vivre en ermite "sans rien" (téléphone, ordinateur,....).....au fin fond de la campagne....comme ceux en Amazonie (encore mieux)....

A+

Écrit par : iAPX 16 Nov 2018, 00:33

Effectivement, c'est incompréhensible que dans un secteur on puisse vendre des produits avec des problèmes de sécurité connus.

Quand j'ai acheté un Kimono à Shibuya (Tokyo) cet été pour mon neveu par alliance, il y avait des règles de sécurité très stricte pour le protéger.
Si je lui achète un ordinateur portable, apparemment celles-ci n'existent pas et sa vie privée pourrait être exposée ou vendue par des malandrins, en respectant toutes les règles joyeusement acceptées.