Spectre et Meltdown : les explications pour les nuls sur ces deux failles de sécurité qui touchent tous les processeurs


#1

Article publié sur : https://www.geekzone.fr/2018/01/04/spectre-et-meltdown-les-explications-pour-les-nuls-sur-ces-deux-failles-de-securite-qui-touchent-tous-les-processeurs/
Ça fait deux jours que tout le monde en parle, mais vous n’avez toujours rien compris ? C’est qui ce Spectre qui fait un meltdown ? Et pourquoi c’est grave ? On va tenter de vous résumer tout ça et histoire de vous motiver pour activer vos neurones, je vais simplifier la situation avec une…


#2

Si ça va être la fêtes du slip pour les hackers , ça va l’être aussi pour tout les gouvernements et leurs services de renseignements, si c’est pas deja fait d’ailleurs.


#3

C’est évident, j’en parle même pas vu qu’ils emploient les mêmes mecs. :wink:


#4

Merci pour l’article.
Ça resume très bien le bordel !

Petite coquille


#5

On va se pendre pendant des années ouais… :thinking: (Fixed merci :smiley: )


#6

Qu’en est-il des baisses de performance qu’induisent les patchs? Sont elles significatives?
A partir de quelle génération les CPU sont ils touchés?


#7

Réponse courte : ça dépend
Réponse longue : pour toutes les applis qui tournent sans beaucoup d’appels au noyau (donc jeux vidéos, encodage …) les impacts sont faibles à non perceptibles. Donc pour Mr & Mme Michu, pas de souci à se faire, d’autant plus que les CPUs modernes ne sont quasi jamais à pleine charge pour la majorité des utilisateurs lambda.
Pour tout ce qui utilise beaucoup les appels noyau, c’est déjà beaucoup plus compliqué. Les retours pour de la compilation ou des accès lourds en base de données parlent de nombres à 2 chiffres (entre 10 et 30, voire 50% selon les applis)

Tous les procs qui font du speculative execution sous touchés pour spectre, donc quasi tout depuis 1995. En ce qui concerne meltdown, à peu près tout Intel est touché depuis au moins 10 ans. Les procs récents qui gèrent le PCID ont à priori des moyens de contournement plus efficaces qui minimisent la perte de performances.


#8

Si j’ai bien compris, tout cpu avec exécution spéculative et virtualisation de la mémoire , j’ai vu que mon 2600k était dedans, et je vois qu’un antique core 2 duo aussi.
Va falloir ressortir l’amiga mon Caf :stuck_out_tongue:


#9

Amiga OS est sauf et le powerpc aussi (non?) hahem je ne suis plus là !


#10

Yep. :smiley: 68k forever. Ahem. :smiley:

Fun read :


#11

Question : on sait si des logiciels de gestion de mdp comme 1password sont touchés par Spectre ou je panique pour rien ? Je suis pas sur de comprendre où et quand Spectre va toucher les logiciels.


#12

ça veut dire que la faille est chez moi ET chez tous les prestataire de service internet que j’utilise avec une perte de perf certaine pour contrer Meltdown et une prière aux saint esprit pour Spectre ? Euh mais Internet c’est devenu Comptown d’un coup où je rêve ? mais j’y met plus un numéro de CB ou autre d’un coup là .


#13

La réaction de Google, avec notamment une première barrière à activer sur chrome et des conseils pour les devs.


#14

Si ton MDP est décrypté en mémoire, un dump de ta mémoire et hop
Meltdown rend poreux l’isolation kernel/appli et Spectre appli/appli mais plus compliqué a mettre en place.


#15

tu es foutu Thomasorus faut vivre offline ! :wink:


#16

Je me demandais dans quelle mesure cette histoire de faille de sécurité des CPU Intel était du buzz ou un truc réellement important.

J’ai la réponse :pensive:, merci.


#17

Donc, on ne se connecte plus a nos banques en lignes ? on ne paye plus par CB, paypal & co ?


#18

Pour les machines en local, il faut que soit la machine soit infecté par un programme malveillant, sauf que le browser via un onglet exécute du code malicieux. Donc si on a un bon adblock et qu’on ne télécharge pas des cochonneries, il n’y a pas non plus trop de raisons de s’inquiéter.

Pour ce qui est des CBs en ligne et autres, je dirais que tant que les serveurs sont dédiés, ça limite les dégâts, donc j’imagine qu’Amazon et Google sont plutôt safe là dessus. Par contre effectivement pour les petits sites de ventes en ligne, c’est plus craignos.


#19

Et il n’y a rien à craindre pour les smartphones ?

Bon après sur smartphone tant qu’on n’utilise pas d’applications sensibles et que ce sont des micro-transactions… (auto persuasion).

Mais bon comme sur desktop: tout le monde peut être potentiellement touché mais il faut aussi être en ligne de mire et/ou avoir chopé un virus

edit: et/ou être allé sur un site touché.

edit 2, copie d’un commentaire de l’article de Tom’s Hardware fr lié au dessus.

Alors là pardon mais je me marre :confused: !! Il faudrait plutôt parler du (très faible) pourcentage d’équipements utilisant Android qui aura droit à un patch. Et là, on est trèèès loin d’un patchage général d’Android comme le laisse penser ce titre de paragraphe et son paragraphe associé.

Jusqu’à présent j’attribuais aucune importance à la fragmentation d’Android et les vieux matos non mise à jour, mais ce commentaire confirme mes craintes que j’avais en lisant l’article sans en avoir la réponse: mais heuuu je ne veux pas racheter un vieux matos tant qu’il me convient ! (snif).


#20

Yep, dans ma volonté de faire comprendre l’intérêt des updates, je force le trait mais il faut réaliser que ces hacks doivent être packagés dans des programmes qui doivent bien trouver un moyen d’arriver sur vos machines. Il est donc toujours possible de se protéger en gardant ses bonnes pratiques + updates.