Failles critiques Meltdown et Spectre

Tout ce qui concerne purement l'informatique sur PC, Mac ou autre appareil (tablette, phablette, smartphone, ...), les systèmes d'exploitation libres (Linux) ou pas, les applications, et les autres objets (imprimantes, scanners, …).
Avatar du membre
Pit
Administrateur
Administrateur
Messages : 3924
Enregistré le : sam. 17 déc. 2011 11:59
Département [Pays] : Isère
Votre Camping-Car : Ducato L4H2 Isère Evasion Ecrins sur mesure
Tranche d'Age : 55 à 75 ans
Localisation : Dans les Alpes ou en voyage

Failles critiques Meltdown et Spectre

Message par Pit » jeu. 18 janv. 2018 13:37

Bonjour.
Vous avez sans doute entendu parler des deux failles critiques, Meltdown et Spectre, qui touchent quasiment tous les ordinateurs individuels basés sur un processeur Intel, la grande majorité de ceux basés sur un processeur AMD et aussi pas mal de ceux basés sur un processeur ARM.
Cela touche donc également beaucoup de smartphones. Des centaines de millions de PCs, des milliards de smartphones sont donc concernés !!
:(
Ces failles mettent potentiellement en danger la confidentialité des données conservées par tous les ordinateurs qui utilisent ces processeurs, en particulier les serveurs Internet que vous pouvez être amenés à fréquenter et les serveurs de cloud.
Je ne vais pas ici rentrer dans le mécanisme qui cause ces failles (ni encore moins sur comment en profiter, j'en serai incapable !)
Je dis juste que ceux qui savent exploiter ce genre de failles ne sont pas nombreux et qu'ils s'intéresseront en priorité aux gros sites Internet, là où il y a beaucoup de visiteurs (donc de cibles), et là où les administrateurs des serveurs web sont peu rigoureux et/ou sont en retard pour appliquer les mises à jour. Si vous utilisez un serveur de cloud, priez pour que ce soit fait.

Néanmoins, sur nos PC, que ce soit sous Windows, sous Linux ou sous Mac OS, suite aux failles Meltdown et Spectre, faites encore plus attention à avoir un système à jour, effectuez toutes les mises à jour des systèmes d'exploitation de vos ordinateurs et aussi des applications qu'ils font tourner (anti-virus en particulier mais pas que).
Pour les mises à jour des smartphones (Androïd, IOS, ...), c'est un autre problème ! Google travaille dessus, Apple sans doute aussi : tenez-vous informés.

En particulier n'oubliez pas de faire les mises à jour des navigateurs Internet (Firefox, Chrome, Safari et autres). Et encore plus votre anti-virus : au-delà de la base des signatures de virus, il doit y avoir une nouvelle version du programme lui-même !
Car la vulnérabilité la plus grande pour nous, utilisateurs lambda, c'est via un site Internet qui n'aurait pas appliqué les correctifs disponibles pour ces deux failles.
Notez que certains patchs ne sont pas encore dispo pour les systèmes d'exploitation. En particulier celles concernant Spectre.
Pour voir si vous êtes concernés au niveau du processeur / système d'exploitation (juste à titre d'info) :
---> https://www.ginjfo.com/dossiers/tests-l ... e-20180112"
Choisissez la version Windows ou la version Linux selon votre système préféré, téléchargez-la, et lancez la vérification.
Notez que la réparation de ces failles a de grandes chances de réduire les performances de certaines machines. Donc même si vous avez fait les mises à jour, vous serez certainement vulnérables.

ATTENTION : n'allez pas sur un site Internet pour chercher des correctifs, et attention aux mails proposant des correctifs.
Normalement les modifications à apporter au système arriveront sur votre PC par le canal de Windows Update ou du gestionnaire de mises à jours de Linux ou de Mac OS.
En effet, des "petits malins" proposent au téléchargement des fichiers censés corriger les failles, avec un nom tout à fait plausible (genre Intel-AMD-SecurityPatch-10-1-v1), mais en fait ça contient un malware capable d’ouvrir une porte au téléchargement d’autres outils. Les pirates peuvent alors accéder à des informations d’identification et d’autres données sensible de votre PC. Une fois qu’il a infecté le PC, de multiples connexions à plusieurs domaines russes sont tentées avec des transferts de données chiffrées.
:KU&œ±ı:
S'agissant de failles au niveau du processeur, les correctifs sur les OS ne sont que des pis-aller, en particulier pour Spectre : il faut en effet repenser le design des processeurs pour ne plus être vulnérable, cela va prendre un certain temps avant qu'Intel, AMD et ARM créent une nouvelle génération de processeurs.
Nous allons donc vivre avec ce risque pendant longtemps car je ne nous vois pas changer notre PC tout beau tout neuf.
Quand ils ont eu connaissance de ces failles, certains se sont dit "encore une combine d'Intel pour vendre plus."
Malheureusement ce n'est pas le cas.
Fourgon Ducato L4H2-->Isère Evasion: vendu,en attente suivant
FFACCC
“A l'école, on m'a demandé ce que je voulais être plus tard. J'ai dit 'heureux'. Vous n''avez pas compris la question, j'ai répondu qu'ils n'avaient pas compris la vie”John Lennon

Avatar du membre
mitra
Participant
Participant
Messages : 159
Enregistré le : jeu. 16 août 2012 15:41
Département [Pays] : Alpes Maritimes
Votre Camping-Car : Master III sur mesure CC Ligériens .
Tranche d'Age : 55 à 75 ans
Localisation : PACA 06

Re: Failles critiques Meltdown et Spectre

Message par mitra » jeu. 18 janv. 2018 17:51

Bonjour,

Merci Pit, pour toutes ces infos et recommandations, je rajouterais aussi de vérifier la mise a jour du BIOS, comme par hazard, ces derniers jours, des MAJ urgentes sont apparues.

Précision, ces vérifications et MAJ se réalisent sur le site du constructeur de votre PC et pas ailleurs, cela avec beaucoup de prudence.

Cordialement.
Cordialement
Camping-cars Ligériens : http://www.campingcars-ligeriens.com/" onclick="window.open(this.href);return false;
____________
JP
__________________________________________________________________
Image Celui qui ne voyage pas ne connaît pas la valeur des hommes." (Proverbe Touareg)

Avatar du membre
hva
Administrateur
Administrateur
Messages : 2995
Enregistré le : mar. 6 déc. 2011 18:21
Département [Pays] : Saône et Loire
Votre Camping-Car : Font-Vendome Mondéa
Tranche d'Age : 35 à 55 ans
Localisation : Bourgogne

Re: Failles critiques Meltdown et Spectre

Message par hva » ven. 19 janv. 2018 19:05

Merci Pierre.
Un peu d'hébreu pour beaucoup ce mécanisme informatique, la plupart d'entre nous sont bien dépassés, nos cerveaux ne se mettent plus à jour, plus assez de place sur le disque dur de notre cervelle :-)
Merci tout de même pour la mise en garde, et je ne changerai bien évidemment pas mon vieux PC équipé AMD pour ça.
Pour les domaines Russes, là aussi j'aimerais bien comprendre pourquoi ils sont à la tête de tant de maux, on sait bien qu'ils sont très avancés niveau informatique, que cherchent ils vraiment si c'est le cas ?
Russes ou Ruses ?
C'était si beau que j'ai fermé les yeux

Avatar du membre
Pit
Administrateur
Administrateur
Messages : 3924
Enregistré le : sam. 17 déc. 2011 11:59
Département [Pays] : Isère
Votre Camping-Car : Ducato L4H2 Isère Evasion Ecrins sur mesure
Tranche d'Age : 55 à 75 ans
Localisation : Dans les Alpes ou en voyage

Re: Failles critiques Meltdown et Spectre

Message par Pit » dim. 21 janv. 2018 17:57

Pour faire suite au retour de Mitra :
bien sûr, si le fabricant du PC veut faire une opération de télémaintenance pour flasher le BIOS, il faut l'accepter (mais être sûr que le PC n'aura pas de coupure de courant, donc si portable : batterie chargée et PC branché sur le secteur, c'est mieux). Il y a toujours un moment angoissant car pendant un certain temps rien ne bouge, silence total et écran noir.
Par contre, si c'est toi qui dois lancer l'opération, c'est craignos :
il faut connaître la référence très précise de ton BIOS, aller télécharger le patch qui lui correspond (et faire un contrôle d'intégrité du fichier téléchargé : checksum) et go ...
Le danger c'est de bousiller la carte mère si tu t'es trompé de patch ou s'il y a une erreur / anomalie pendant l'opération (micro-coupure, ...etc...).

Dell, et quelques autres fournisseurs sérieux, met à disposition un patch du BIOS, en tous cas pour certains PC :
Mitra et un de mes amis, qui ont tous les deux un Dell, ont flashé leur BIOS, durée 2 minutes pour Mitra, une quinzaine de minutes (angoissantes devant un écran noir) pour mon ami.
Pour le portable Dell, reconditionné, que j’ai acheté à mon épouse (il date de Juin 2010 et il y a un double boot Linux - Windows dessus):
je l’ai démarré sur Windows, je me suis assuré que toutes les mises à jour du système Windows lui-même avaient été faites, et j’ai téléchargé le programme 'Dell Support' auquel j’ai indiqué le numéro de série du PC : il a reconnu correctement le modèle malgré son ancienneté.
:-)
Je passe une petite heure à explorer le net pour en savoir plus sur les actualités informatiques et autres, pendant ce temps, le programme de Dell a travaillé et il me notifie qu’il y a une mise à jour urgente du BIOS à faire, donc je lance l’installation : après le téléchargement (environ 20 mn), l’écran devient noir et le reste pendant au moins 30 mn, mais le disque dur tourne puis plus rien ne bouge ….. alors que je m'attendais à un redémarrage automatique !
Au bout d’un certain temps d'inactivité apparente, écran noir et rien ne bouge, j'appuie sur le bouton de mise en marche : Ouf l'écran Windows apparait immédiatement;
:grin:
Le programme Dell a mémorisé dans l'historique une mise à jour du système, sans autre précision. Pas moyen de savoir s'il n'a fait que la mise à jour suite à Meltdown et Spectre ou s'il a fait aussi des mises à jour du BIOS qui n'avaient pas été faites par le reconditionneur.
Il me reste à vérifier avec l'outil que j'ai indiqué dans mon premier message si je suis maintenant invulnérable ou pas !
:INð€@→\ii\:

Pour mon PC Sony Vaio :
pas de chance, Sony a largué sa division PC; il est peu probable qu'ils diffusent un patch. A l'instigation de la communauté Sony, j'ai envoyé un mail en anglais à la Directrice de leur département Communication aux USA pour l'informer que sans nouvelles de leur part, je n'achèterai plus aucun de leurs produits (smartphones, TVs, ...) : ça défoule !!

Pour mon ultra portable Toshiba, celui que j'emporte dans le CC (4 ans déjà !) : date de mise à disposition pour mon modèle = to be defined !!
:shock:
Les PC Toshiba plus récents vont être dans le coup d'ici mi Février en principe.

Pour les smartphones :
si les mises à jour sont lancées (Sony est dans le coup, parait-il, pour les Xperia !), il faut que la batterie soit bien chargée pour la mise à jour du noyau Androïd ou IOS, et encore plus si il y a flashage.
Quand on sait tout ce que les gens font avec leur smartphones (virements bancaires, ...), il fait espérer que les patches du système d'exploitation et de la ROM ne vont pas tarder (mais la difficulté c'est le milliard ou plus de smartphones dans le monde).

Bref, une affaire à suivre, sans doute pendant plusieurs semaines / mois.
Je vais attendre pour changer mon vieux Samsung (dont je me sers essentiellement comme téléphone, pas d'opérations bancaires ou de données personnelles autres que mes contacts et la consultation, peu fréquente, de mes emails).

PS pour HVA :
les russes sont rapides pour exploiter les failles et faiblesses, mais pas dit qu'il n'y ait pas des équipes d'autres coins du monde à l’œuvre là-dessus.
Ce qu'ils cherchent : des moyens de faire du fric, directement ou indirectement, avec les données qu'ils auront pu obtenir.
Fourgon Ducato L4H2-->Isère Evasion: vendu,en attente suivant
FFACCC
“A l'école, on m'a demandé ce que je voulais être plus tard. J'ai dit 'heureux'. Vous n''avez pas compris la question, j'ai répondu qu'ils n'avaient pas compris la vie”John Lennon

Avatar du membre
mitra
Participant
Participant
Messages : 159
Enregistré le : jeu. 16 août 2012 15:41
Département [Pays] : Alpes Maritimes
Votre Camping-Car : Master III sur mesure CC Ligériens .
Tranche d'Age : 55 à 75 ans
Localisation : PACA 06

Re: Failles critiques Meltdown et Spectre

Message par mitra » dim. 21 janv. 2018 18:51

Bonsoir,

@Pit,
Contrairement à toi, je n'ai qu'une confiance limitée pour les automatismes, je préfère téléchérger les MAJ et activer la mise en service une par une, en cas de soucis c'est plus simple :grin:

Il est vrai que pour DELL que je pratique depuis plus de 20ans, il n'y a pas de problème, mais je n'ai pas repassé le logiciel de test.

Je suis actuellement sur un PC que j'ai assemblé, avec une carte mère ASUS et là je suis beaucoup plus prudent. Spectre est encore present lors du contrôle.

J'ai un Surface : Spectre est encore present lors du controle, je suppose que microsoft va faire le nécéssaire

et un Asus portable : Spectre est encore présent lors du controle, là ?????

Tout cela sous W10 mais il fonctionnent alors que le DELL ne démarrait plus correctement avant la mise a jour du Bios.
Modifié en dernier par mitra le lun. 22 janv. 2018 20:29, modifié 1 fois.
Cordialement
Camping-cars Ligériens : http://www.campingcars-ligeriens.com/" onclick="window.open(this.href);return false;
____________
JP
__________________________________________________________________
Image Celui qui ne voyage pas ne connaît pas la valeur des hommes." (Proverbe Touareg)

Avatar du membre
hva
Administrateur
Administrateur
Messages : 2995
Enregistré le : mar. 6 déc. 2011 18:21
Département [Pays] : Saône et Loire
Votre Camping-Car : Font-Vendome Mondéa
Tranche d'Age : 35 à 55 ans
Localisation : Bourgogne

Re: Failles critiques Meltdown et Spectre

Message par hva » dim. 21 janv. 2018 19:00

Merci Pit pour toutes ces explications très intéressantes, notamment quant au déroulement des modifs Bios, on aura un peu de stress en moins si on l'effectue.

Perso, je pense que je vais toucher à rien, aucune carte CB enregistrée sur mon PC, et mon smartphone ne me sert que pour, téléphoner, textos MMS, un peu de navigation, je ne suis pas très inquiet :-)
Ceci dit, c'est bon de savoir :®®®:
C'était si beau que j'ai fermé les yeux

Avatar du membre
Pit
Administrateur
Administrateur
Messages : 3924
Enregistré le : sam. 17 déc. 2011 11:59
Département [Pays] : Isère
Votre Camping-Car : Ducato L4H2 Isère Evasion Ecrins sur mesure
Tranche d'Age : 55 à 75 ans
Localisation : Dans les Alpes ou en voyage

Re: Failles critiques Meltdown et Spectre

Message par Pit » lun. 22 janv. 2018 19:26

Re.

J'ai lancé le check Ashampoo® Spectre Meltdown : toujours vulnérable sur Spectre, mais vacciné contre Meltdown !
Donc la mise à jour du BIOS hier, c'était pas pour Spectre qui est la faille la plus compliquée.

Notez que chez Dell, ils disent " Aucune exploitation de ces failles de sécurité n’a été rapportée à ce jour, mais les chercheurs ont démontré que le risque était réel." et ils demandent de faire les mises à jour Windows, Mac OS et Linux plus les maj de l'antivirus, des navigateurs, ...etc... (en particulier si avec moteur de Java Script).

Pour les précautions à prendre en attendant que tout soit à jour, c'est de faire encore plus attention à tous les mails avec des liens ou des fichiers attachés et de ne pas visiter de sites web compromis (dur à savoir = au minimum éviter les sites inconnus, vérifier leur réputation).
Il est aussi recommandé d'avoir un mot de passe robuste, et personnellement je rajoute qu'il ne faut pas utiliser de compte Windows, Mac ou Linux avec les droits Administrateurs pour les opérations quotidiennes.
Réservez le compte Administrateur pour quand vous faites des maj du système ou des appli, ce qui suppose que vous créez un compte avec des droits limités pour vos activités habituelles sur Internet et avec vos applis.

[hr]
Pour ce qui est du BIOS de Dell, visiter cette page chez eux -- fld Vulnérabilités Meltdown et Spectre : il y a un lien 'ordinateurs et clients légers Dell' qui amène à une base de connaissances à propos de l'impact sur ces produits Dell, avec une liste des machines et des dates prévues de disponibilité de la maj (ou pour les chanceux un lien vers le correctif).
Mais la liste n'est pas exhaustive, elle devrait évoluer : à suivre.
A ce jour, je ne trouve pas mon modèle, juste son successeur : ce serait, pour lui, prévu en Février.
On va voir si les vieux modèles ont aussi droit au correctif.
:geek:
Fourgon Ducato L4H2-->Isère Evasion: vendu,en attente suivant
FFACCC
“A l'école, on m'a demandé ce que je voulais être plus tard. J'ai dit 'heureux'. Vous n''avez pas compris la question, j'ai répondu qu'ils n'avaient pas compris la vie”John Lennon

Avatar du membre
mitra
Participant
Participant
Messages : 159
Enregistré le : jeu. 16 août 2012 15:41
Département [Pays] : Alpes Maritimes
Votre Camping-Car : Master III sur mesure CC Ligériens .
Tranche d'Age : 55 à 75 ans
Localisation : PACA 06

Re: Failles critiques Meltdown et Spectre

Message par mitra » mar. 23 janv. 2018 09:39

bonjour,

Pour les passionnés :

https://www.grc.com/inspectre.htm"
Cordialement
Camping-cars Ligériens : http://www.campingcars-ligeriens.com/" onclick="window.open(this.href);return false;
____________
JP
__________________________________________________________________
Image Celui qui ne voyage pas ne connaît pas la valeur des hommes." (Proverbe Touareg)

Avatar du membre
mitra
Participant
Participant
Messages : 159
Enregistré le : jeu. 16 août 2012 15:41
Département [Pays] : Alpes Maritimes
Votre Camping-Car : Master III sur mesure CC Ligériens .
Tranche d'Age : 55 à 75 ans
Localisation : PACA 06

Re: Failles critiques Meltdown et Spectre

Message par mitra » mer. 24 janv. 2018 20:18

Bonsoir

Encore !!

Faille Spectre, Intel change de consignes
heso59 - mardi 23 janvier 2018 - 10:31


Selon Intel, le dernier correctif de la faille Spectre ne doit plus être appliqué, en attendant une mise à jour.

(CCM) — Les informations contradictoires continuent de fuser : les failles Meltdown et Spectre n'ont pas fini de faire parler d'elles. Dernier épisode de la saga : Intel a repéré des problèmes de redémarrage suite à l'installation de son correctif. L'entreprise recommande de ne pas l'appliquer.


Le communiqué d'Intel (lien en anglais) est sans appel : « Nous recommandons aux fabricants, aux fournisseurs de services cloud et aux utilisateurs finaux d’arrêter le déploiement du correctif. » Une telle franchise est assez inhabituelle de la part du géant californien, aussi peu de temps après avoir sorti un correctif... Mais les problèmes identifiés sont suffisamment bloquants pour justifier le rétropédalage d'Intel.

Depuis la mise à jour censée répondre aux problèmes de Spectre, les dysfonctionnements se multiplient, tout comme les plaintes des clients. Les utilisateurs constatent des « redémarrages intempestifs » de machines équipées de processeurs Broadwell, Haswell, Coffee Lake, Kaby Lake, Skylake et Ivy Bridge. Par prudence, Intel demande à ses clients de ne plus appliquer de correctif, mais selon l'entreprise, le problème est identifié et une – nouvelle - mise à jour est en cours de préparation.
Cordialement
Camping-cars Ligériens : http://www.campingcars-ligeriens.com/" onclick="window.open(this.href);return false;
____________
JP
__________________________________________________________________
Image Celui qui ne voyage pas ne connaît pas la valeur des hommes." (Proverbe Touareg)

Avatar du membre
Pit
Administrateur
Administrateur
Messages : 3924
Enregistré le : sam. 17 déc. 2011 11:59
Département [Pays] : Isère
Votre Camping-Car : Ducato L4H2 Isère Evasion Ecrins sur mesure
Tranche d'Age : 55 à 75 ans
Localisation : Dans les Alpes ou en voyage

Re: Failles critiques Meltdown et Spectre

Message par Pit » mer. 24 janv. 2018 21:43

Merci Mitra

J'avais vu l'info sur un site Linux (Ubuntu), ils avaient poussé le patch d'Intel puis sont revenus très vite en arrière, après l'info d'Intel, et dès le 22 Janvier ils ont enlevé la mise à jour de leur dépôt.

A mon avis, il y en a pour plusieurs mois (peut-être années) vu le problème : il faut repenser toute la prédiction de branche et l'exécution spéculative, la vraie solution contre Spectre en tous cas ne peut être que matérielle : il s’agit à la base d’un défaut de conception des processeurs (causée par la recherche de performances plus mieux : toujours plus vite !).

Pour ceux qui veulent en savoir plus, un lien très intéressant et compréhensible -- fld sur le site de mac génération

Les failles ont été détectées avant l'été 2017 par plusieurs chercheurs en sécurité et communiqués à Intel, AMD et ARM qui depuis travaillent dessus, et qui ont ensuite informés les concepteurs des systèmes d'exploitation Windows, Mac OS, Linux et autres de la nécessité de prévoir aussi à leur niveau des palliatifs, puis c'est allé aussi vers les concepteurs des navigateurs Internet (Firefox, Chrome, Safari, ...) quand il a été vu qu'avec un peu de Java Script, un pirate pouvait savoir plein de choses sur notre navigation.

La faille Spectre peut être exploitée sur quasi tous les ordinateurs (et smartphones) mis sur le marché depuis plus de 20 ans !
Cela explique son nom, le spectre va roder un certain temps dans nos ordis.
Et personne n'est capable de savoir si un pirate (ou une agence gouvernementale, NSA US ou autre pays) n'était pas au courant avant les découvreurs et en auraient donc profité (cela ne laisse aucune trace dans le système).
:ðœœ→^@\:
Fourgon Ducato L4H2-->Isère Evasion: vendu,en attente suivant
FFACCC
“A l'école, on m'a demandé ce que je voulais être plus tard. J'ai dit 'heureux'. Vous n''avez pas compris la question, j'ai répondu qu'ils n'avaient pas compris la vie”John Lennon

Retourner vers « Informatique »