Informatique : actualités et discussions

La news sur hfr : Un bug de sécurité coûteux côté serveur chez Intel - Processeurs - HardWare.fr
Et le topic associé : Actu : Un bug de sécurité coûteux côté serveur chez Intel [HFR] - HFR - Hardware - FORUM HardWare.fr

Bon, c’est assez technique Le principal :

Des chercheurs semblent avoir détecté une vulnérabilité assez importante dans les CPU modernes, qui ne concernerait, c’est encore spéculatif, que les processeurs Intel. Les informations autour de ce bug sont assez limitées, les méthodes de mitigations sont connues mais pas exactement les méthodes d’attaques qui restent sous embargo.

Depuis fin octobre, un patch est en développement pour Linux pour tenter d’imposer de nouvelles restrictions et mieux protéger les espaces mémoires du noyau. Ce patch a été significativement réécrit et porte le nom de KPTI (Kernel Page-Table Isolation) qui comme son nom l’indique tente de séparer les tables qui pointent vers les pages mémoires utilisées par le noyau de toutes les autres.

Ce patch qui est encore en cours de développement mais il est significatif par son coût important sur les performances pour certains types d’applications. En pratique, ce sont les applications qui effectuent beaucoup d’appels aux instructions systèmes (syscall) qui sont les plus touchées.

Les premiers benchmarks réalisés sur ces nouveaux patchs par nos confrères de Phoronix pointent des chutes de performances très significatives dans les benchmarks théoriques sur les I/O disques. Pour les tests pratiques, les plus gros perdants semblent être (assez logiquement) les logiciels de base de données avec des impacts variables jusqu’ici allant de 6% à 25% pour Postgres. Redis, dans la même veine, semble également notablement impacté.

Pour une utilisation non serveur, tout semble pointer vers un impact nul ou infinitésimal, pour preuve, Microsoft semble avoir également appliqué le même type de patch dès novembre dans Windows 10 . Au delà de benchmarks synthétiques, l’impact devrait être réduit, on peut le voir dans les benchs de Phoronix ou FFMpeg, x264 et la compilation d’un noyau Linux ne sont pas impactés.

Les actions sont des valeurs mobilières

“Alors en fait non, mais un peu quand même”

Quelques précisions de HFR sur les 2 failles : Meltdown et Spectre : un point sur les deux failles - Processeurs - HardWare.fr
Et le topic associé : Actu : Meltdown et Spectre : un point sur les deux failles [HFR] - HFR - Hardware - FORUM HardWare.fr

Meltdown, exploitation anormale des caches, ne touche qu’Intel à ce jour

La première faille, Meltdown (CVE-2017-5754), est celle qui était évoquée ces derniers jours. Il s’agit d’une faille qui permet de bypasser les mécanismes d’isolation mémoire entre mémoire classique (utilisée par les applications) et mémoire kernel (utilisée par le noyau du système d’exploitation, et protégée normalement par des mécanismes hardware dans le CPU). Meltdown est une attaque side channel qui s’attaque à une faille de certains processeurs OOO (Out Of Order, la plupart des processeurs performants modernes depuis le Pentium Pro) qui, dans leur mécanismes d’exécution spéculatifs, peuvent non seulement lire des données mémoires protégées et exécuter des instructions sur ces données mémoires.

au delà de quelques benchmarks théoriques assez spécifiques (notamment autour des I/O), l’impact pour le grand public sur les performances de ces patchs devrait être réduit. Pour le monde serveur, de multiples benchmarks montrent un impact, parfois dans des cas d’école, parfois d’autres non, qui semblent toucher plus spécifiquement les logiciels type base de données.

Spectre, deux failles sur le même thème, qui touchent tout le monde

En parallèle à Meltdown, une autre faille a été dévoilée baptisée Spectre. Il s’agit toujours d’une variation sur le même thème, a savoir tenter d’exploiter les mécanismes d’exécution spéculative des processeurs. Il est difficile de classer la gravité des failles, dans un sens elle est moins grave que Meltdown car elle ne permet pas de s’attaquer à la mémoire noyau directement (Meltdown repose sur le bug d’implémentation spécifique des architectures Intel) mais uniquement à la mémoire « utilisateur ».

Le groupe Google Project Zero a montré que cette attaque était exploitable aussi bien sur les CPU Intel, AMD, et ARM (un Cortex A57 à été testé).
(…)
Virtuellement, tous les systèmes (du serveur au smartphone) sont vulnérables à cette attaque (…) ce qui la rend assez grave.

La seconde variante de Spectre (CVE-2017-5715, branch target injection), est cette fois spécifique une fois de plus à Intel et s’attaque aux mécanismes de branchement d’Haswell en permettant à un process root, dans un environnement virtualisé, d’accéder à la mémoire de l’hyperviseur. Intel, pour ce problème, a déployé une mise à jour de microcode.

En bref

Si Intel a tenté de minimiser par sa communication la manière dont il était touché par ces problèmes, en pratique, ce sont bien ses processeurs qui sont touchés le plus fortement à court terme avec la faille critique Meltdown. L’impact des patchs, pour les utilisateurs grand public devrait être relativement nul sur les performances mais dans des situations spécifiques et des charges serveurs, l’impact sur les performances pourra être ressenti ce qui ne ravira pas les clients Pro d’Intel. En tentant de mélanger les deux failles dans sa communication à la presse, la société ne sort pas non plus grandie d’autant plus qu’une deuxième faille, dans la famille Spectre, s’attaque spécifiquement là aussi à ses processeurs !

Et si AMD (probablement un peu vexé d’avoir été pointé du doigt par Intel) s’est empressé de contre communiquer en indiquant ne pas être vulnérable à deux des trois PoC présentées aujourd’hui (ce qui est vrai), il faut rester relativement prudent tant l’on risque de voir des variantes de Spectre se multiplier dans les années à venir et qu’il ne semble pas y avoir de solution miracle, à part patcher les failles trouvées au fur et à mesure qu’elles seront rendues publiques.

Le dernier paragraphe :

La complexité des scénarios d’utilisation modernes, entre le code Javascript dans les navigateurs qui ouvre des portes à tout le monde (littéralement dans le cas des publicités, sans parler du futur potentiel désastre qu’est WebAssembly !), mais aussi l’utilisation mutualisée dans les Cloud qui se multiplie en baissant toujours plus les barrières de sécurité (le passage des VM aux solutions types Docker) ont massivement multiplié les surfaces d’attaque et les modèles de sécurité, conçus durant les 50 dernières années, vont devoir être réévalués sérieusement par toute l’industrie.

Eh ben…

Inévitablement :

Il fallait s’y attendre. À peine les premières révélations dans la presse concernant la vulnérabilité Meltdown affectant les processeurs Intel ont-elles eu lieu que déjà le dossier se judiciarise. Aux USA, trois recours collectifs sont recensés par les médias, dans trois États différents : en Californie, dans l’Oregon et dans l’Indiana. D’autres pourraient surgir dans les jours et les semaines à venir.

Ces trois actions en justice accusent le constructeur américain d’avoir manqué à ses obligations. Intel aurait dû mieux sécuriser ses produits mais aussi informer en temps et en heure sa clientèle. Elles reprochent aussi à la firme les effets négatifs supposés des correctifs qui sont en train d’être conçus ou en cours de déploiement. Selon les plaignants, ces patchs diminuent la performance des processeurs.

Le reste de l’article est intéressant sinon et vulgarise mieux que HFR les causes et conséquences des failles.

L’équipe qui travaille avec celle qui a découvert les failles (Project Zero) affirme avoir « développé une mitigation inédite nommée Retpoline — une technique de modifications des binaires qui protège contre les attaques de type « branch target injection » ». Son avantage ? Elle semblerait ne pas avoir d’impact sur la performance des processeurs : « Nous avons partagé Retpoline avec nos partenaires et nous l’avons déployée sur les systèmes de Google. L’impact observé sur les performances est négligeable. » Si l’absence de perte de performance se confirme, l’industrie pourrait suivre la marche.

Google affirme avoir également déployé les correctifs principaux pour les failles Meltdown et Spectre, nommés KPTI, sur tous leurs serveurs qui hébergent les services Google (Gmail et ses amis). Après avoir surveillé les performances des serveurs, il semblerait que l’impact de la mise à jour soit, lui aussi, négligeable. Cela dit, Google reste prudent et se garde bien de généraliser ces informations à toutes les situations : ce qui vaut pour leurs serveurs et leur usage ne vaut pas forcément pour toute l’industrie. Nous aurons sans nul doute de nouveaux tests dans les jours qui viennent qui permettront d’évaluer avec précision l’impact de ces mises à jour de sécurité sur les performances des processeurs.

Pour un particulier, à première vue, l’impact serait minime.

CES :

• la roadmap d’AMD : CES: AMD détaille sa roadmap et baisse ses prix - Processeurs - HardWare.fr

Raven Ridge est le second die produit par AMD dans sa famille Zen. Elle intègre un CCX (un groupe de 4 coeurs) dont la mémoire L3 a été divisée par deux (seulement 4 Mo au lieu de 8 par CCX pour les Zeppelin utilisés sur Desktop) pour la partie CPU, et une version de Vega disposant de 11 CU pour la partie graphique. Ces puces ont un TDP de 15 Watts (configurable entre 12 et 25W par les OEM, AMD avait annoncé 9 précédemment pour la limite basse) et elles se distinguent également par la présence d’une deuxième version du Turbo d’AMD, Precision Boost 2

• Intel sort ses CPU Radeon Vega : CES: Intel lance ses CPU avec Radeon Vega - Processeurs - HardWare.fr

Intel profite du CES pour lancer officiellement ses processeurs « Core de 8ème génération avec Radeon RX Vega M », que l’on connaît surtout sous le nom de Kaby Lake-G. On vous rappellera que les RX Vega sont des GPU AMD, Intel évitant soigneusement de le mentionner dans sa communication !

En pratique, AMD fournit deux variantes de son GPU RX Vega M, baptisées GH et GL. Elles se distinguent par le nombre de CU actifs, on retrouve 24 CU sur le modèle GH, et seulement 20 sur le modèle GL. Les fréquences sont un peu plus elevées sur le modèle GH, mais c’est surtout les ROPs qui différencient les deux modèles, avec la moitié seulement d’actifs sur le modèle GL.

Cinq modèles sont lancés aujourd’hui, les Core i7-8809G, i7-8709G, i7-8706G, i7-8705G et i5-8305G (!). En pratique, seuls les deux plus gros Core i7 sont équipés du GPU Vega en version GH.

Des processeurs 7è générations avec une dénomination 8è génération, le marketing…

Cet article Très bonne vulgarisation des 2 bugs
Les journalistes en prennent pour leur grade au passage xD

MSI qui sort un moniteur avec LED RGB de partout…

Bon par contre, l’utilisation ingame des LED est pas mal. Sans parler du menu accecible avec la souris ou encore les profils multiples pour chaque jeux etc.

Mais ces LED, j’ai du mal à m’y faire.

Les soldes informatiques sur materiel ou ldlc, toujours aussi risibles

Un truc sympa tout de même :

Alim’ Seasonic modulaire

@Thomas, regarde un peu ces petites gourgandines.

Mini-pc de la taille d’un SSD.

Gourgandine ? Je viens de regarder la définition et a mon avis tu t’es planté de mot.

Pas du tout. Tu ne vois pas clair dans le jeu de ces petites gourmandes qui réclament de la débauche ? C’est un PC que tu glisses dans la poche pour sortir à qui le veut.

Z’aviez entendu parler de ça ?

M’en prendrais ptet un pour coller sur le nouvel écran de ma femme pour surfer / mater des vidéos sans avoir à câbler un laptop. Je trouve ça bien pratique

D’ailleurs, ne pas connaître gourgandines, je suis déçu.

Je suis en plein apprentissage. SJW, gourgandine.

Qui m’apprendra un nouveau mot demain ?