MAJ 04/01 : d'autres informations sur la faille de sécurité sont à retrouver iciUne faille importante de sécurité a été découverte sur les processeurs Intel. Non pas sur ceux de la dernière génération, mais sur ceux produits depuis près de 10 ans ! Elle devra a tout prix être comblée pour garantir la sécurité des données, mais cela pourrait avoir un prix que le constructeur va payer cher ...
Ne te plein pas trop, car certains risque eux de le sentir.
Malgré que je pense que le patch de MS évitera cette prête de performances. Cela reste que mon avis.
Vus leurs situation, cela m'étonnerai même pas qu'il se pause pas plus la question, afin de faire croire que leur CPU est plus sûr et vendre plus.
C'est de bonne guerre, vous me direz.
Au même temps, les créateurs de logiciel, comme Apple, Microsoft ou Linux, vivent principalement grâce a cette architecture.
Donc il joue tous le jeux, c'est normal, car financièrement ils sont liés. Même si en interne, certainement qu'ils notes les coûts afin de régler leurs compte.
Après la tempête -virtuelle-, voici la realité :
"...La faille de sécurité découverte dans les processeurs du constructeur américain, et qui concernait également les puces AMD et ARM, ne devrait finalement avoir qu'une portée limitée..."
https://www.challenges.fr/high-tech/la-faille-des-processeurs-intel-ne-sera-pas-la-catastrophe-annoncee_558099
Et dans d'autres dépêches...
Certain devrait lire et comprendre le livre ci-dessous avant de se lancer dans certaines explications foireuses
Mais surtout, pour comprendre l'informatique, les processeur, le fonctionnement d'un OS, la mémoire virtuelle, ...
Quant aux serveurs, à ce que je lis, le pire serait pour ceux avec proc AMD parce que l'on ne pourrait rien y faire ! Et ça effectivement, cela serait terrible pour nous tous !
(extrait)
"You should not experience noticeable performance impact with this update. We’ve worked to optimize the CPU and disk I/O path and are not seeing noticeable performance impact after the fix has been applied. A small set of customers may experience some networking performance impact. This can be addressed by turning on Azure Accelerated Networking (Windows, Linux), which is a free capability available to all Azure customers.
This Azure infrastructure update addresses the disclosed vulnerability at the hypervisor level and does not require an update to your Windows or Linux VM images. However, as always, you should continue to apply security best practices for your VM images."
--
Vous ne devriez pas rencontrer d'impact notable sur les performances avec cette mise à jour. Nous avons travaillé pour optimiser le processeur et le chemin d'E / S du disque et ne constatons pas d'impact notable sur les performances après l'application du correctif. Un petit groupe de clients peut avoir un impact sur les performances de mise en réseau. Cela peut être résolu en activant Azure Accelerated Networking (Windows, Linux), qui est une fonctionnalité gratuite disponible pour tous les clients Azure.
Cette mise à jour de l'infrastructure Azure corrige la vulnérabilité révélée au niveau de l'hyperviseur et ne nécessite pas de mise à jour de vos images de machine virtuelle Windows ou Linux. Toutefois, comme toujours, vous devez continuer à appliquer les meilleures pratiques de sécurité pour vos images de machine virtuelle.
Ce qui est intéressant ici c'est que déjà pour les VM un simple patch de l'hyperviseur suffit et que seul certain aspects spécifique de l'utilisation d'une VM pourra être affecté.
Enfin comme toujours, on vérifiera ça après au cas où...
Edit: après vérification, les cas évoqué ne concerne que la communication intra Azure (entre VM donc), car normalement elle passe par un switch virtuel, l'activation de AAN permet d'attaquer le switch physique sans passer par le switch virtuel. https://docs.microsoft.com/en-us/azure/virtual-network/create-vm-accelerated-networking-powershell)
Y’a peut-être moyen de faire jouer la garantie, Microsoft remplace mon i5 par un i7 et on est quittes
Ceci dit, et comme nous en avions discuté sur un autre thread du forum, le risque majeur n'est pas tant pour les utilisateurs particuliers (bien que cela concerne des millions de machines) mais bien pour les serveurs pro qui concentrent des peta octets de données....
Une bourde de cette taille est en capacité de mettre à mal la confiance en l'économie numérique, qui tire la croissance mondiale...
Ce que je vois avant tout dans ces communiqués, c'est surtout la prudence des termes employés....
J'avais peur que les utilisateurs apple se la remmènent une fois de plus avec leur "chez nous, y'a pas de virus, les filles sont belles,et les processeurs pas bugués"
qui peut se traduire par : "Intel croit que ces vulnérabilités n'ont pas le potentiel de corrompre, de modifier ou de supprimer des données."
Du côté d'ARM, l'on nous explique :
"La déclaration d'Intel est délibérément vague, mais elle fournit quelques détails supplémentaires.
Tout d'abord, cette faille n'a pas d'impact uniquement sur les puces Intel, comme cela a été rapporté dans de nombreux endroits.
'Les rapports récents selon lesquels ces exploits sont causés par un 'bug' ou une 'faille' et sont spécifiques aux produits Intel sont incorrects', note la note Intel. 'De nombreux types d'appareils informatiques - avec de nombreux processeurs et systèmes d'exploitation différents fournisseurs - sont sensibles à ces exploits.'
Deuxièmement, Intel travaille avec ses concurrents de processeur sur des solutions qui aideront tous leurs clients.
'Intel s'engage à la sécurité des produits et des clients et travaille en étroite collaboration avec de nombreuses autres sociétés technologiques, notamment AMD, ARM Holdings et plusieurs fournisseurs de systèmes d'exploitation, pour développer une approche sectorielle rapide et constructive' notes de déclaration.
Et troisième, et peut-être le plus important, les rapports sur les baisses de performance de '30%' après la correction sont également erronés.
'Contrairement à certains rapports, les impacts sur les performances dépendent de la charge de travail et, pour l'utilisateur moyen, ne devraient pas être significatifs et seront atténués au fil du temps.'
Nous devrions en savoir plus la semaine prochaine lorsque Windows et autres systèmes d'exploitation sont patchés."
Les sources utiles :
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
https://twitter.com/rhhackett/status/948654425824022530
https://www.theverge.com/2018/1/3/16846784/microsoft-processor-bug-windows-10-fix
Après avoir relu pas mal de messages et comme nous l'avons déjà rappelé sur le thread ...
l'outil SA-00086 detection tool vaut pour les failles autours de SPS, ITEE et IME .....
Le problème est bien plus large et je vous renvoie volontiers aux tweets de @nicoleperlroth
Il y a deux problèmes majeurs de sécurité sur tous les processeurs :
- Chez Intel, Meltdown : qui pourrait affecter toutes les mémoires virtuelles des processus utilisateurs liés aux procos et qui peux être patché par ASAP et finalement entrainer cette baisse de performance en cloisonnant l'utilisation de la mémoire.
- chez tous les autres ,AMD inclus, Spectre, avec une problématique identique MAIS non patchable ...
Pour résumé, et en vulgarisant, le partage de mémoire entre les processus utilisateurs et le processeur qui ont permis les gains de vitesses de ces dernières années ont entrainé ces risques de sécurité majeurs !
Une attaque de cette vulnérabilité sur des processeurs serveurs cloud comme Amazon/Microsoft/Google pourrait être DRAMATIQUE... tous les identifiants, mots de passes, numéros de CB ...etc... pourraient être pris en quelques minutes...
la solution Intel est radicale mais demeure la plus efficiente... j'espère juste pour les autres serveurs non patchable.... qu'il y ait des solutions ...
Merci Intel pour cette belle blague... Je vais de ce pas faire quelques tests de performance pour vérifier moi même leur futur correctif...
L'année 2018 commence bien...
Source : https://www.thurrott.com/hardware/149469/intel-says-recently-reported-security-flaw-overblown
L'on en saura de toute façon plus la semaine prochaine avec la disponibilité du patch pour Windows et une réponse plus en détail d'Intel à ce propos.
non = rien ne change ou presque (il doit quand même y avoir des choses à vérifier je pense)
Si j’ai bien compris il n’est pas question d’une mise à jour firmware (qui s’appliquerait uniquement aux appareils vulnérables) mais à une modification des noyaux des OS, donc qui changerait la gestion de la relation mémoire / cpu pour tous. Après c’est tout à fait probable que j’ai rien compris
L'Ultrabook est un mot rentré dans les mœurs, AMD s'était risqué à venir concurrencer Intel avec leurs "Ultrathin", ils avaient bidé comme jamais. Bon c'était à l'époque où ils étaient au fond du trou, c'est vrai
#TrollEco+
https://www.macg.co/os-x/2018/01/apple-deja-corrige-la-faille-intel-dans-high-sierra-100946
wmic cpu > C:/dossier_utilisateur/Bureau/cpu.txt
(il vaut mieux renvoyer le résultat dans un fichier texte sinon c'est quasiment illisible)
Dans la colonne revision, tu as quoi ?
Pour le mien j'ai ça :
ProcessorId : BFEBFBFF000306C3
Revision : 15363
UpgradeMethod : 36
C'est la 7eme génération de processeur Intel, en fin de vie et remplacée par Coffee Lake. Et cette dernière n'est normalement pas impactée de ce que j'ai cru comprendre.
pour ceux qui ont peur pour leurs surfaces, voici le message officiel de Microsoft sur cette vulnérabilité :
"Microsoft is aware of the Intel Management Engine vulnerability (Intel-SA-00086). The Intel vulnerability detection tool currently lists Microsoft Surface devices as vulnerable to this security advisory.
Microsoft has investigated the issue and found the following:
Remote exploit of this vulnerability requires Intel Active Management Technology (AMT). Current Surface devices do not allow remote connectivity to the ME because our devices do not run AMT.
Local exploit of this vulnerability requires Direct Connect Interface (DCI) access via USB, which is not provided on Surface devices.
Because of this, we believe exploits using this vulnerability are significantly reduced on Surface devices. We care deeply about ensuring our devices are reliable and secure and are working with Intel to generate fixes for current devices, which we expect to release in the near future."
Edit : petite traduction pour les anglophobes :
Microsoft a connaissance de la vulnérabilité Intel Management Engine (Intel-SA-00086). L'outil de détection des vulnérabilités Intel répertorie actuellement les périphériques Microsoft Surface comme vulnérables à cet avis de sécurité.
Microsoft a étudié le problème et trouvé ce qui suit:
L'exploitation à distance de cette vulnérabilité nécessite Intel Active Management Technology (AMT). Les appareils Surface actuels n'autorisent pas la connectivité à distance au ME car nos appareils n'exécutent pas AMT.
L'exploitation locale de cette vulnérabilité nécessite un accès DCI (Direct Connect Interface) via USB, qui n'est pas fourni sur les périphériques Surface.
Pour cette raison, nous pensons que les attaques utilisant cette vulnérabilité sont considérablement réduites sur les périphériques Surface. Nous prenons soin de nous assurer que nos appareils sont fiables et sécurisés et nous travaillons avec Intel pour générer des correctifs pour les appareils actuels, que nous prévoyons de lancer dans un proche avenir.
https://www.intel.fr/content/www/fr/fr/support/articles/000025619/software.html
..
Ça incitera au contraire à changer pour du nouveau matériel. Et vu la réputation que continue de se traîner AMD, peu de chance que ça fasse tomber Intel de sa place de leader.
Model: Surface Pro 3
Processor Name: Intel(R) Core(TM) i5-4300U CPU @ 1.90GHz
OS Version: Microsoft Windows 10 Professionnel
Engine: Intel(R) Management Engine
Version: 9.5.30.1808
SVN: 1
Status: This system is not vulnerable.
Donc tous les processeurs de la dernière décennie ne sont pas impactés, mais c'est clair qu'Intel va prendre cher avec cet aveu !
Vulnerable. Quelle poisse.
La SP4 est en 6ème gen et la "new SP" en 7ème.
Une légère hausse tout au plus .... alors qu'en gros :
- ils reconnaissent juste que leur architecture proco est moisie,
- leur comm sur les gains de rapidité de leur produit est à l'eau,
- ils vont s'attirer les foudres des constructeurs ....
- et flouer tous les consommateurs....
Quel beau monde dans lequel on vit
OS Version: Microsoft Windows 10 Professionnel
Status: This system is vulnerable.
Meh. Pourquoi.
Meme CPU, meme OS, Meme Intel Management Engine.
Comme le sous entend pro, là il s'agit d'un patch qui sera généralisé pour contrer tous les problèmes de failles critiques connues et surtout .... à venir ...... le problème est l'architecture même de ces processeurs .....
En fait, plutôt que de devoir corriger chaque faille critique (ils en sont à la 6ème majeure il me semble), ils ont opté pour modifier considérablement le fonctionnement de leurs processeurs....
Visiblement Intel a décidé de ne plus se prendre la tête .... on compartimente la mémoire pour tout le monde et basta...
on en a parlé ici si cela intéresse quelqu'un
il est dit "5 jusqu'à 30%". Pour ma part, pas de panique j'attends de voir si ça sera effectivement le cas en réel. pas sûr que tout le monde ait ces 30 % de moins (ça me paraît énorme)
Processor Name: Intel(R) Core(TM) i5-4570 CPU @ 3.20GHz
OS Version: Microsoft Windows 10 Professionnel
Engine: Intel(R) Management Engine
Version: 9.0.30.1482
SVN: 1
Status: This system is not vulnerable.
Oufff !
RAS sur mon 2500k
Merci l'équipe marketing. Meme quand tu fait de la merde, t'arrive a tourner ca pour faire plus de ventes.
En gros les patchs vont servir à séparer la mémoire virtuelle utilisée par les processus utilisateurs de celle du noyau ... ce qui générait des failles critiques de sécurité....
j'espère que les Xéon ne seront pas touchés.... vu qu'ils n'étaient pas touchés par les dernières failles ... en tout cas.... ça sent bon la class action....
Merci qui ? Merci Jacky Intel !
C'est digne d'un 1er avril ce genre de news tellement c'est gros. Hélas...
Même si j'ai un i7-4790K puis j'aime pas AMD :/
A ben si moi je veux bien que tu nous en dises un peu plus :-)