faille CPU Intel/KPTI
#1

Bonsoir :-)

Je ne sais pas pour vous mais entre minix qui est partout et maintenant cette faille majeure matérielle qui existe depuis plus de 10 ans... et bien il est peut-être temps de se mettre au trico finalement. Big Grin

Qu'en pensez-vous ?

@+

ps : Et cette fois-ci, l'équipe d'OpenBSD ont été avertie les derniers. Non ? (Voir l'histoire aussi récente de la faille du protocole wifi.)

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#2

à-priori, rien n'est moins sûr !

un certain @torsten affirmait, sur la liste @misc, que sous OpenBSD, ce n'était pas si simple d'exploiter les deux failles 'Meltdown & Spectre', pour cela, il mentionne le fait que les sécurités suivantes sont intégrées dés le démarrage :

Code :
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

tout en rappelant que les problèmatiques d'adresses partagées sont connues depuis... 1994 !

Et, en effet, avec ces sécurités, je ne vois pas en quoi, un simple script JS peut accéder à des informations noyaux et espaces utilisateurs différents du compte sur lequel il fonctionne, et encore moins, des accès auxquels seul "root" peut les considérer - mais n'étant qu'un tout petit IT Techos, cela est certainement normal que je ne le comprenne pas ! Wink

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#3

(05-01-2018, 12:55:55)PengouinBSD a écrit :  à-priori, rien n'est moins sûr !

un certain @torsten affirmait, sur la liste @misc, que sous OpenBSD, ce n'était pas si simple d'exploiter les deux failles 'Meltdown & Spectre', pour cela, il mentionne le fait que les sécurités suivantes sont intégrées dés le démarrage :

Code :
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.unprivileged_read_msgbuf=0
security.bsd.unprivileged_proc_debug=0
kern.randompid=$(jot -r 1 9999)
security.bsd.stack_guard_page=1

tout en rappelant que les problèmatiques d'adresses partagées sont connues depuis... 1994 !

Et, en effet, avec ces sécurités, je ne vois pas en quoi, un simple script JS peut accéder à des informations noyaux et espaces utilisateurs différents du compte sur lequel il fonctionne, et encore moins, des accès auxquels seul "root" peut les considérer - mais n'étant qu'un tout petit IT Techos, cela est certainement normal que je ne le comprenne pas ! Wink

Très intéressant, je cherchais ce genre d'informations justement.
Dis, ça te dis de rédiger un petit article sur notre blog, tu as l'air assez renseigné Wink

À la place du tricot, je me suis mis à la peinture des murs, à priori sans tracker Tongue
Répondre
#4

Le soucis de ces attaques c'est qu'elles sont cross platforme/OS, du coup qu'importe que l'OS soit sécurisé pour lui même, là c'est la gestion des mémoire cache de prédiction de branches qui sont en cause.
Donc OpenBSD peut tout a fait être sensible … ou pas. Le truc c'est qu'il y avait une trop grande confiance dans la gestion mémoire interne au CPU, mais s'ils s'en sont prémunis il est tout a fait possible que Obsd ne soit pas touché

« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry
Répondre
#5

Bonsoir  Smile 

Merci pour vos commentaires. Pour informarion, je surfe actuellement d'un système FreeBSD. De mon dernier "freebsd-update" sur cet OS, je n'ai rien vu passé (a priori) sur la mise à jour du kernel ou une brique logicielle associée. Mais au fait, mon CPU... c'est un vieil Core 2 Duo. Je ne suis donc peut-être pas concerné !  Wink

@thuban : Pour ma part, je suis en train de faire du pixel art avec uniquement deux couleurs (le noir qui n'est pas une couleur je sais et le blanc) en créant à la main une matrice binaire liée à un personnage bien choisi.
Là gohan y passe ! ;-) -> Pour ce faire, Gimp, Xterm et vi sont mes amis.  Big Grin Mais c'est long !

Cela me détend. Tongue

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#6

Y'a un message d'un des développeurs qui affirment qu'OpenBSD est malheureusement faillible...
que KARL ou d'autres mesures de sécurité intégrées n'empêchent en rien la propagation de ces failles.

https://marc.info/?l=openbsd-misc&m=151522749523849&w=2

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#7

Bonsoir Smile 

Merci PengouinBSD pour cette information. Je suis tout de même dépité. Je comprends la situation, à savoir que même l'un des systèmes les plus sécurisés au monde ne peux rien si le matériel sous-jacent qu'il exploite a des failles de sécurité qu'il ne peut contrôler et donc rectifier. Oui comme dirait l'autre : "Tout cela pour ça."* Je suis déçu je crois. Pas par le projet OpenBSD mais tout de même déçu et impuissant pour le coup ! Sad

Allez je retourne au pixel art ! Big Grin

ps : *Enfin je dis cela pour ceux qui ont OpenBSD sur une architecture de type PC. Pour les autres, ...

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#8

@kuniyoshi : je comprends tout à fait ta réaction. Entre ça et cette cochonnerie de Intel ME, c'est une vraie déception vis-à-vis de l'informatique en générale, libre ou pas. Et une désillusion sur ce sentiement qu'on a souvent d'être "plus à l'abri" car nous utilisons des OS libres (GNU/Linux ou BSD).
Quand ça touche ainsi au matériel et qu'on ne peut rien y faire, quel choix reste t'il ? Faire avec ou bien tout arrêter...
Ou encore changer de matériel, j'ai lu que Purism (https://puri.sm/products/) travaillait à désactiver complétement Intel ME de leurs portables. Cela pourrait-il être une solution ?
Répondre
#9

Bonjour Smile 

En fait, j'ai une solution qui vaut ce qu'elle vaut. Depuis quelque temps, j'ai décidé d'être moins sur Internet. La première raison : me désintoxiquer de ma dépendance qui s'est créée durant ces quelques années de ma vie de libriste. Cependant, l'une des conséquences non prévue (mais appréciée !) est que mon travail est devenu plus efficace (notamment dû au fait que je ne suis plus attiré par lire mes e-mails, une réponse sur un forum, à surfer pour rien, ...)

Comment je procède ?

(1) Wifi terminé.
(2) Je n'ai plus qu'une seule machine pour me connecter sur Internet. Elle est en général éteinte désormais.
(3) J'ai une autre machine (ma machine de travail) complètement déconnectée de tous réseaux (sauf Linky d'ERDF -> :-().

Pour (2) : Je n'ai pas de solution quant à la sécurité de ma machine connectée désormais quel que soit l'OS. Je l'utilise moins. C'est déjà cela. Et a priori, je ne compte pas non plus investir dans une nouvelle machine.

Pour (3) : Le compteur Linky, je ne sais pas très bien ce qu'il fait sur mon réseau électrique mais :

- de par sa fonction, il le "sonde" ;
- de par son mode de fonctionnement, il est... connecté et fait remonter des informations chez EDF ! Et, je ne sais pas non plus comment "contrôler" d'éventuelles dérives (actes de piratage si c'est possible) concernant Linky et pouvant ensuite se répercuter sur mon réseau électrique voire ma machine a priori déconnectée. (Et bien oui, je peux me poser cette question de façon légitime car avec cette faille Intel, j'apprends aussi au passage que même éteinte mais  branchée, une machine peut ecnore communiquer !? :-() Il s'agit en fait du même souci évoqué dans ce fil : j'ai face à moi du matériel que je ne peux "surveiller" et "contrôler". Finalement, je ne sais pas très ce qu'il fait mais une chose est certaine, il fait des choses et je perds nécessairement la main sur ma vie numérique. Sad

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#10

Héhé, oui c'est bien vrai : la sécurité (ou son absence) passe avant tout par l'usage que l'on fait du système visé.
Et tu as raison, le wi-fi entraîne souvent un usgae "addictif" : n'importe où on peut avoir accès au réseau et y perdre du temps, prenant ainsi des risques.
Ça fait longtemps que je pose ces questions, déjà lors de mes premiers essai d'openBSD il y a un an mais j'ai trop souvent baissé les bras devant les contraintes que cela impose et en "minimisant" les risques.
Bref, ça donne quand même matière à se méfier et s'éloigner de l'informatique.
Répondre
#11

Un article explicatif intéressant sur les conséquences et les raisons de celles-ci, vulgarisant et en français ! :p

http://binaire.blog.lemonde.fr/2018/01/0...e-docteur/

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#12

Merci pour cette référence, ça éclaire en effet bien la nature et les implications de ces failles. Visiblement on a pas fini d'en entendre parler, d'autres conséquences pourraient être à venir.
Répondre
#13

De ce que j'entrevois autant la faille Meltdown devrait être résolvable dans un laps de temps assez court, autant Spectre ne semble pas prêt à être réellement résolue.
C'est le "apparemment, cela laisse présager d'autres failles plus critiques" qui me laissent (pantois ?) un drôle d'arrière goût...
Mon avis, faut s'attendre à ce qu'elle ne soit pas réellement, Spectre j'entends, résolvable pour la génération de machines informatiques concernées actuelles et passées...
Une future génération ?!

Il est vrai qu'on comprend que ce n'est pas aisé, du moins dans l'immédiat des connaissances, voire compétences à reproduire... mais ce n'est que dans l'immédiat...

Bref, nous avons tous des passoires, stations et serveurs inclus. Ceux qui ont des Sparc, apparemment, ne seraient pas touchés !
(si j'ai bien compris les messages sur la liste @misc...)

PS : Hormis cela, je trouve qu'actuellement, on est dans une phase de découverte de failles de plus en plus critiques, et de plus en plus proche du matériel, bas niveau.
Qu'est-ce que cela va être avec l'IT Quantique !???

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#14

L'article sur linuxfr m'a éclairé mais à la fin, je m'en fout et je retiens qu'il ne faut pas compter sur tout ce tas de boue.

Il me semble que le CPU anticipe et éxécute en avance les instructions qui sont succeptibles de suivre. Ex:

Code :
if (siPasswordOk) {
    dechiffrerDonneesSensibles();
}
else {
    print("Pass Invalide");
}

Le problème est que le résultat de ces instructions est stocké ds la mémoire du CPU et que l'architecture actuelle de ce dernier ne vérifie pas les droits d'accés dans cette mémoire.
Donc si l'instruction suivante demande à lire cette mémoire, en dehors de ce qui la concerne, il peut tomber sur des choses confidentielles.

Il me semble manière de corriger ça c'est d'interdir au CPU d'anticiper les instructions, de ne rien stocker en avance.

En attendant, j'évite d'avoir des programmes manipulant des données sensibles (thunderbird, etc ...) ouvert en même tps qu'un truc soupçonneux (firefox sur un site alakon)
Répondre
#15

Nouvelle concernant le travail en cours sur le microcode pour CPU Intel :
https://undeadly.org/cgi?action=article;...0115073406

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#16

Bonsoir :-)

Merci pour cette information PengouinBSD. Par contre, je ne comprends pas : les développeurs essaient de contourner logiciellement les failles matérielles des CPU (dont notamment ceux d'Intel). C'est cela ?

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#17

La seule chose que j'ai à-peu près bien compris - enfin, je crois - est qu'ils y bossent, et qu'il va falloir être très patient ! Big Grin

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#18

Merci pour le lien.
j'en fais la collection en ce moment (notamment ça https://twitter.com/arekinath/status/951321167708606464 et la liste de diffusion, je voulais faire un article sur le blog obsd4a mais n'ai pas eu le temps de faire une synthèse (inspection incoming...)
Répondre
#19

Bonjour Smile 

Au revoir...

https://skyfallattack.com/

Huh Dodgy Sad

ps : Comme l'a évoqué ci-dessus PengouinBSD, c'était à prévoir !
ps2 : http://beta.hackndo.com/meltdown-spectre/

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#20

Salut.
Le lien ne donne rien chez moi, rien de plus ne s'affiche. Il faut désactiver ublock ?
Répondre
#21

Bonjour Smile 

@thuban : Si tu parles du lien concernant les deux nouvelles failles, pour l'instant il n'y a que ce début de site et rien d'autre. Pour ma part, je n'ai rien touché à ublock et à umatrix.

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#22

Ah ok. J'ai cru comprendre que les informations sont pour l'instant en attente d'être publiées tant que des correctifs ne sont pas disponibles.
Répondre
#23

@thuban : Oui c'est ce que j'ai aussi compris. Enfin, si ils trouvent des correctifs... Sad

Un OS pour les gouverner tous (FreeBSD), un jail pour les trouver (Unbound)
Un filesystem pour les amener tous et dans les ténèbres les lier (ZFS) ;)
Répondre
#24

Quand TdR pestait très sérieusement à l'encontre des CPU Intel Core 2, avertissant de ne pas acheter lesdits processeurs :

https://marc.info/?l=openbsd-misc&m=118296441702631&w=2

C'était déjà en 2007 !!!

----

Une autre page, en anglais, informant des problèmes CPU, autant Intel qu'autres : https://danluu.com/cpu-bugs/

GPG:Fingerprint ed25519 : 072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E
GPG:Fingerprint rsa4096 : 4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733
Répondre
#25

Pfff, je n'ose même plus utiliser mon pc à ce rythme :/
Répondre


Sujets apparemment similaires…
Sujet / Auteur Réponses Affichages Dernier message

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)