Différences entre les versions de « Spectre et Meltdown - Décryptualité du 14 janvier 2018 »

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 147 : Ligne 147 :
 
==08’ 08==
 
==08’ 08==
  
<b>Luc : </b>Comment ce machin a émergé ?
+
 
 +
<b>Luc : </b>Comment ce machin a émergé ? Ça a l’air d’être un peu la grosse panique. C’est quoi l’histoire derrière ?
 +
 
 +
<b>Nico : </b>L’histoire est un peu compliquée de cette faille. En fait, on s’est aperçu, c’était décembre, il y a eu un patch de Linux, de Linus Torvalds, donc le vrai concepteur de Linux.
 +
 
 +
<b>Luc : </b>Qui a la réputation d’être un peu une sorte de brute, de patron.
 +
 
 +
<b>Nico : </b>C’est ça. Un gros gourou qui aime bien insulter tous les gens et leur dire qu’ils font de la merde. D’habitude ce n’est pas quelqu’un qui se laisse faire.
 +
 
 +
<b>Manu : </b>C’est brutal !
 +
 
 +
<b>Nico : </b>Et là on a vu, en pleine livraison du carnet de Linux, en fait il y avait une nouvelle version qui était en train de se préparer, ils étaient en plein dedans et là on a vu un énorme patch, donc une énorme fonctionnalité qui revoit l’intégralité de toute la gestion mémoire de vos machines.
 +
 
 +
<b>Luc : </b>Ça veut dire un truc qui touche à vraiment à quelque chose d’essentiel.
 +
 
 +
<b>Nico : </b>Ça touche à des choses assez essentielles. Il y a la problématique de performances qu’on annonce, déjà 25 % de performances en moins sur vos machines. On se dit comment ça se fait que Torvalds n’a pas gueulé, qu’il a laissé passer un truc comme ça. En fait, en analysant le code, on a vu que c’était marqué que les processeurs n’étaient plus considérés comme sûrs ; qu’il fallait patcher certains trucs qui n’étaient pas cool. Donc les gens, la communauté a commencé à enquêter dessus. On s’est rendu qu’il y avait une faille qui étaient connus depuis à priori depuis assez longtemps ; certains parlent de début 2017, mais ça serait peut-être été ou rentrée 2017, qui était sous ce qu’on appelle embargo, donc personne n’avait le droit d’en parler parce que c’était tellement monstrueux qu’il fallait coordonner tout le monde.
 +
 
 +
<b>Luc : </b>Et pour boucher les trous avant d’en parler !
 +
 
 +
<b>Nico : </b>Pour boucher les trous avant de publier tout ça. Du coup la communauté a commencé à fouiller. Elle s’est rendu que les papiers avaient été publiés, etc.
 +
 
 +
<b>Manu : </b>Par erreur, si je comprends bien !
 +
 
 +
<b>Nico : </b>Par erreur. Les scientifiques ont publié trop tôt ou mal. On ne sait pas trop ce qui s’est passé.
 +
 
 +
<b>Luc : </b>ils ont créé des sites web, c’est ça non ?
 +
 
 +
<b>Nico : </b>Ils ont créé des sites web où ils affichaient déjà le nom des failles, les logos, les PDF des attaques et autres.
 +
 
 +
<b>Luc : </b>Ils n’avaient pas communiqué sur le site web, mais le site web était déjà en place.
 +
 
 +
<b>Nico : </b>Il existait.
 +
 
 +
<b>Luc : </b>Et du coup il y a des gens qui ont fini par le trouver.
 +
 
 +
<b>Nico : </b>Et du coup Intel, Amazon et tout ce monde-là a dû anticiper pour dire voilà ce qui s’est passé et arrêter les spéculations quoi !
 +
 
 +
<b>Manu : </b>On peut rajouter, ça a été publié pour le coup, enfin ça s’est connu quand ?
 +
 
 +
<b>Nico : </b>Le gros est arrivé le 8 janvier, je crois, quelque chose comme ça.
 +
 
 +
<b>Manu : </b>Et le 25 novembre c’était quoi ?
 +
 
 +
<b>Nico : </b>Le 25 novembre c’étaient les premières communications, en fait, en interne, entre Intel, Amazon et tous les gros du secteur pour essayer de se coordonner et, en particulier aussi, le PDG d’Intel qui a vendu toutes ses actions ce jour-là.
 +
 
 +
<b>Manu : </b>Coïncidence !
 +
 
 +
<b>Luc : </b>Coïncidence, oui parce qu’il avait prévu…
 +
 
 +
<b>Nico : </b>De s’acheter un yacht, je crois.
 +
 
 +
<b>Manu : </b>Donc là il a vraiment vendu toutes ses actions, c’est ça ?
 +
 
 +
<b>Nico : </b>Il a vendu l’intégralité de ce qu’il pouvait vendre. En tant que PDG d’Intel il n’a pas le choix, il doit en garder un certain nombre, mais tout ce qu’il a pu vendre il l’a vendu.
 +
 
 +
<b>Manu : </b>Ça donne super confiance !
 +
 
 +
<b>Luc : </b>Évidemment il nie, il dit que c’est une coïncidence. Mais on imagine le patron de ce truc-là qui se retrouve probablement face à la plus grosse faille de l’histoire de l’informatique et le mec se dit « tiens, j’ai une urgence. J’avais quand même prévu de vendre mes actions ! » En tout cas moi ce que je note, à cause de ce truc qui a été révélé trop tôt, ça veut dire que toutes les corrections qui sont possibles ont été faites dans l’urgence et en mode panique. Déjà on est face à un truc très problématique d’un point de vue sécurité, mais, en plus de ça, on colmate les fuites en mode panique !
 +
 
 +
<b>Nico : </b>Il y en a même qui n’étaient pas du tout prêts. Par exemple FreeBSD n’était pas du tout dans la bouche de ce truc-là.
 +
 
 +
<b>Luc : </b>Personne ne les avait prévenus.
 +
 
 +
<b>Nico : </b>Personne ne les avait prévenus donc ils n’ont pas de patch. Et après, les patchs ont été effectivement pas super bien testés ou autres, donc Microsoft, Apple, ont déjà patché deux, trois, quatre fois en disant « mais ça ne marche pas si bien ! »
 +
 
 +
<b>Manu : </b>À chaque fois il y a des effets secondaires.
 +
 
 +
<b>Nico : </b>Il y a des effets secondaires. Il y a des problèmes de performance, effectivement. Certains parlent entre 5 et 10 % ; il y en a d’autres entre 15, 20 %, 30 %. Si vous utilisez des bases de données, c’est presque l’apocalypse et, du coup, ils réfléchissent encore, effectivement, à comment patcher sans perte de performance. Comment est-ce qu’on fait ?
 +
 
 +
<b>Luc : </b>L’idée, en gros, c’est de limiter ces fonctions avancées et foireuses par du code en disant « on va s’interdire de faire telle et telle chose. »
 +
 
 +
<b>Nico : </b>C’est ça. Ou en protégeant. Par exemple sur Linux, en fait, ils ont séparé mieux la mémoire pour que, même en cas d’exploitation de la faille, c’est-à-dire qu’on ne patche pas la faille directement, mais on empêche une exploitation efficace derrière.
 +
 
 +
<b>Manu : </b>Ils disent qu’ils mitigent le problème.
 +
 
 +
<b>Nico : </b>Ils mitigent, voilà !
 +
 
 +
<b>Manu : </b>Parce qu’ils ne pourront pas le corriger, tel qu’on voit les choses aujourd’hui ce n’est pas correctible.
 +
 
 +
<b>Nico : </b>Ce n’est pas corrigible.
 +
 
 +
<b>Manu : </b>Corrigeable ?
 +
 
 +
<b>Nico : </b>Corrigeable, ou corrigible.
 +
 
 +
<b>Manu : </b>On va chercher !
 +
 
 +
<b>Nico : </b>On trouvera ! On a des patchs. C’est effectivement la mitigation, c’est-à-dire qu’on ne sait pas complètement corriger le problème, mais on va essayer de corriger les effets de bord trop nuisibles. Enfin la vraie correction passera par une refonte complète de nos processeurs modernes et peut-être, justement, en faisant aussi une croix aussi sur les performances en disant « l’anticipation on ne sait pas la gérer proprement. Donc on va avoir des processeurs peut-être moins performants, mais ui n’auront pas de failles comme ça. »
 +
 
 +
<b>Manu : </b>On peut peut-être recommander d’installer un Firefox récent parce qu’ils ont commencé, eux aussi, à mettre des protections qui font une partie du boulot. Et donc en installant le dernier Firefox on va peut-être éviter de se faire attaquer par du code JavaScript sur Internet.
 +
 
 +
<b>Nico : </b>Mettez à jour vos machines, surtout. Effectivement, il y a peut-être des pertes de performance mais le problème est trop énorme pour qu’on ne mette pas à jour nos machines. Le problème existe aussi sur certains Android et là c’est problématique s’il n’y a pas de mise à jour existante. Voyez aussi si vous avez des serveurs ou si vous utilisez du cloud.
 +
 
 +
<b>Manu : </b>Des serveurs partagés surtout !
 +
 
 +
<b>Nico : </b>Partagés surtout !
 +
 
 +
<b>Manu : </b>Parce que si ce sont juste des serveurs tout seuls il n’y a pas des problèmes.
 +
 
 +
<b>Nico : </b>Si ce sont des serveurs avec vous tout seul dessus, il y a moins de risques, mais en tout cas, si vous utilisez du cloud, vérifiez que votre prestataire a bien fait les mises à jour et <em>rebooté</em> les machines, etc.
 +
 
 +
<b>Manu : </b>Moi je suis bien embêté avec ça !
 +
 
 +
<b>Nico : </b>Il y a Gandi, online, OVH, Amazon, enfin tous ceux-là ont commencé déjà à faire le boulot.
 +
 
 +
<b>Luc : </b>Est-ce qu’il y a des virus connus, pour l’instant, qui exploitent ça ?
 +
 
 +
<b>Nico : </b>Pour l’instant il n’y a pas de virus connu. Les <em>exploits</em> sont disponibles, donc le code source est disponible pour exploiter ces bugs-là. Les morceaux de code en JavaScript, en particulier, et autres.
 +
 
 +
<b>Manu : </b>Ça fait peur ça !
 +
 
 +
<b>Nico : </b>Mais on n’a pas encore d’exploitation connue de ça. La NSA aussi a été contactée et a dit : « Non, non on n’était pas au courant. »
 +
 
 +
<b>Manu : </b>Et on a super confiance !
 +
 
 +
<b>Luc : </b>Potentiellement il y en a d’autres, en plus. On a trouvé celui-là mais, potentiellement, il y a d’autres bugs de matériel de ce type-là ?
 +
 
 +
<b>Nico : </b>C’est surtout que le bug est énorme. Le principe fondamental d’exécution anticipée fait qu’on peut potentiellement détourner de plein de manières différentes, et que là c’est juste un <em>exploit</em> particulier qui est assez agressif et assez efficace. Mais effectivement, je pense que les chercheurs vont s’en donner à cœur joie pour faire mumuse avec tous ces trucs-là.
 +
 
 +
<b>Manu : </b>On peut peut-être arrêter là-dessus. Je pense que, de toutes façons, c’est un sujet qui va revenir.
 +
 
 +
<b>Luc : </b>De toutes manières tu es blême, donc je pense qu’il faut qu’on s’arrête. Je commence à craindre pour ta santé. Nicolas merci beaucoup pour tout ce cours. On se retrouve la semaine prochaine.
 +
 
 +
<b>Manu : </b>À la semaine prochaine !
 +
 
 +
<b>Nico : </b>Bonne semaine à tous.

Version du 15 janvier 2018 à 14:02


Titre : Décryptualité du 14 janvier 2018

Intervenants : Luc - Nico - Manu

Lieu : Studio d'enregistrement April

Date : janvier 2018

Durée : 14 min

Écouter ou téléchargerle podcast

Licence de la transcription : Verbatim

Statut : Transcrit MO

Transcription

Luc : Décryptualité.

Nicolas : Le podcast qui décrypte l’actualité des libertés numériques.

Luc : Semaine 2, année 2018. Salut Manu.

Manu : Salut Nico.

Nico : Salut Luc.

Luc : Eh bien le retour de Nicolas, mais pas de Mag qui est en balade. Est-ce que tu peux nous donner la revue de presse, s’il te plaît ?

Manu : Alors on va aller vite, mais il y a six articles sympas. Six sujets principaux.

Luc : EconomieMatin, « Une année 2018 sous le signe de l’ouverture pour l’informatique d’entreprise », un article de Thomas Di Giacomo.

Manu : Un article très intéressant qui reparle un petit peu de prédiction, classique dans notre période et qui met en avant le côté ouverture, justement, mais l’ouverture notamment du logiciel libre, du code open source, des choses pas mal.

Luc : ZDNet France, « Barcelone éjecte Microsoft au profit de Linux et de l’Open Source », un article de la rédaction.

Manu : Super nouvelle. Barcelone, grosse ville. Ils sont en plein bouleversement politique. Eh bien, dans tous ces bouleversements, ils se proposent de passer au logiciel libre de manière majeure, un peu comme Munich et on espère qu’ils ne vont pas faire comme Munich !

Luc : On se dit que Microsoft va avoir du mal à mettre son siège dans toutes les villes européennes, ça va être compliqué. PhonAndroid, « Android : comment ne plus être pisté par Google ? », un article de Robin Pomian Bonnemaison.

Manu : Très intéressant, parce que Android c’est du logiciel libre, pur et dur, c’est dans beaucoup de poches dans le monde entier, mais il y a des problèmes qui vont avec, notamment il y a des entreprises qui rajoutent du logiciel, donc Google, forcément, et tout ça c’est embêtant. Il y a des gens qui s’y intéressent de plus en plus dont la communauté Android. Comment faire pour ne pas être tracés par toutes ces entreprises. Il y a des pistes de travail. Allez jeter un œil sur votre Android.

Luc : Sujet intéressant. FIGARO, « LinTO, une enceinte connectée française et open source », un article de Lucie Ronfaut.

Manu : C’est un sujet compliqué, on en a parlé déjà plusieurs fois. Il y a de gens qui achètent des enceintes intelligentes pour mettre chez eux. Eh bien ces petits objets, ces petits assistants électroniques, vous écoutent en permanence et, en plus, c’est du logiciel propriétaire. Eh bien là, il y a une boîte française, associée à Linagora, qui se propose de faire la même chose en Libre mais ça va continuer à vous écouter !

Luc : On m’en a offert une pour Noël et quand je l’ai branchée sur mon téléphone, juste pour passer de la musique, elle m’a dit : « Est-ce que je peux te piquer ton carnet d’adresses et je ne sais plus trop quoi d’autre. » C’est une enceinte ; c’est juste censé passer de la musique. Donc ça veut dire qu’elle va le renvoyer quelque part sur Internet, je ne sais pas comment elle se connecte. Je ne sais pas ! Je ne sais pas !

Manu : Là c’est supposé être fait en Libre, c’est-à-dire que même les plans seront libres. Donc on peut imaginer une communauté qui s’emparerait de l’outil et qui en ferait quelque chose d’intéressant. Je pense qu’il y a des choses à creuser, donc il y a de l’espoir. Il y a quelque chose d’intéressant.

Luc : Métro, « Nadine Boulianne, la concierge du premier fab lab dans le Bas-Saint-Laurent », un article Chloé Freslon. Ça c’est un truc au Québec ?

Manu : Exactement, tu as bien compris le truc. Et concierge, eh bien c’est une façon de présenter la responsable du fablab. C’est assez intéressant, c’est une approche originale, la traiter de concierge c’est marrant. Elle prend son boulot à cœur, elle y travaille de manière assez intéressante. Allez jeter un œil, vraiment les fablabs, c’est quand même super fun !

Luc : Le Temps, « Spectre et Meltdown vous souhaitent une bonne année 2018 ! », un article de Solange Ghernaouti.

Manu : Eh bien on peut aborder le sujet puisque c’est justement le sujet.

Luc : On en a parlé la semaine dernière, on avait promis qu’on attendrait le retour de Nicolas pour en parler parce que c’est quand même lui le spécialiste de la sécurité.

Manu : C’est un bon article, pour le coup, mais on va essayer d’aborder le sujet de manière plus globale. On a un peu de temps.

Luc : Donc le truc c’est Spectre et Meltdown. Donc ce n’est pas une faille majeure. Ce sont deux failles majeures pour le prix d’une !

Manu : Et qui arrivent quasiment à Noël !

Nico : C’est ça. C’est gros buzz, là, sur décembre.

Manu : Je crois même qu’ils en ont parlé dans les journaux télévisés, dans les journaux papier partout dans le monde quoi !

Nico : C’est passé sur France 2 aux 20 heures. Ça fait vraiment le buzz partout parce qu’effectivement c’est assez problématique ce qui s’est passé. En fait, depuis très longtemps, les fabricants ont eu besoin d’accélérer de plus en plus les performances de vos machines, parce que vous n’aimez pas avoir une machine qui passe son temps à rien faire ou à ramer. Ils ont essayé de prendre des raccourcis ou d’optimiser les processeurs le plus possible. En fait ils ont été un peu trop loin et des chercheurs en sécurité ont réussi à démontrer que les choix qu’ils avaient faits permettaient plein d’attaques assez efficaces et qui touchaient du coup tous les CPU modernes, en particulier les Intel, et qui permettaient de récupérer toutes les données de votre machine.

Luc : On dit que c’est la pire faille informatique de l’histoire de l’informatique. Est-ce que tu dis que oui ?

Nico : C’est à peu près ça, parce que le problème, aujourd’hui, le bug est vraiment au niveau du matériel et donc il faudra remplacer tous les CPU existants pour vraiment patcher.

Luc : CPU ce sont les processeurs ?

Nico : Les processeurs, voilà la puce au milieu. Il faudra peut-être dix ans pour qu’on l’extermine et qu’on l’éradique de toutes les machines.

Manu : Il y a deux noms. Ça correspond à deux particularités ? C’est quoi ? Pourquoi ? Il y en a un c’est Spectre et l’autre c’est Meltdown.

Nico : Ce sont des vecteurs d’attaque différents. Spectre s’attaque vraiment aux problématiques du CPU lui-même. Comment les fabricants ont conçu le CPU et Meltdown est plutôt au niveau du logiciel, c’est-à-dire que des optimisations qui ont été faites au niveau du logiciel.

Luc : Quels logiciels ?

Nico : Là ce sont les compilateurs carrément.

Luc : Les compilateurs c’est ?

Nico : Les compilateurs c’est assez bas niveau, c’est ce qui transforme le code écrit en code lisible par la machine et, en fait, il y a des optimisations aussi qui sont faites, en particulier sur les boucles. Quand les machines voient passer une boucle trop souvent, eh bien elles commencent à apprendre comment cette boucle se comporte et, des fois, elles font des mauvais choses.

Luc : Une boucle c’est une série d’instructions qui se répètent plusieurs fois.

Nico : Du coup, des fois elle se plante dans la prédiction de ce que cette boucle va faire et c’est là que l’attaquant va prendre la main et faire plein de choses avec.

Manu : Tu as réussi, toi, à utiliser un petit peu ce truc-là ? Tu as réussi à faire quoi ?

Nico : Moi j’ai réussi, pas moi personnellement, en fait, parce qu’il y a ce qu’on appelle les exploits, des proof of concept qui ont été publiés.

Manu : Des exploitations.

Nico : Des exploitations de la faille. Les chercheurs qui ont trouvé cette faille ont aussi publié des morceaux de code qui permettent de l’exploiter et en fait, en le lançant, on arrive, au choix, à récupérer l’intégralité de la mémoire sur laquelle le code est exécuté.

Luc : La mémoire c’est important parce que, en gros, l’ordinateur passe son temps à copier des informations. Donc quand on accède à la mémoire on accède à tout ce qui se fait sur l’ordinateur.

Nico : Voilà. Tous vos mots de passe, vos bases de données, tous vos fichiers.

Luc : Les nôtres aussi d’ailleurs !

Nico : Potentiellement, tout est récupérable. Donc ça c’est plutôt sur la partie Spectre et Meltdown fait un peu la même chose, un peu moins intrusif, c’est-à-dire qu’on ne peut pas récupérer toute la mémoire de l’ordinateur, par contre on peut récupérer quelques morceaux de processus donc le logiciel qui tourne à côté de celui qui est en train de s’exécuter. La démonstration a été faite qu’on est capables de récupérer des données de votre machine à partir de Firefox ou d’Internet Explorer ou de Chrome en exécutant des morceaux de JavaScript dans votre ???

Luc : JavaScript c’est un langage qui est utilisé notamment pour faire des fonctions avancées dans les sites web.

Nico : Voilà ! Et les deux sont assez catastrophiques parce que du côté de Spectre, en fait, il faut changer le CPU, il faut changer le matériel, et côté de Meltdown, théoriquement il faudrait bloquer tous les JavaScript, donc ça veut dire perdre l’intégralité de tous les sites internet qui existent aujourd’hui.

Luc : Un bug, normalement, c’est un problème de logiciel. Il y a toujours un bug dans le logiciel. Comment il peut y avoir du bug sur du matériel. Mes chaussures ne sont pas buguées, tu vois !

Nico : On ne sait jamais. Le CPU c’est quand même quelque chose de très compliqué. Aujourd’hui on parle de pas loin de trois milliards de transistors, donc de petits composants élémentaires qui sont dans une puce. Vous imaginez bien de déboguer quelque chose de trois milliards de choses qui communiquent.

Luc : Oui, parce qu’ils sont organisés ensemble pour procéder d’une certaine façon.

Nico : Pour procéder d’une certaine manière et puis, surtout, qu’ils ont fait des choix justement d’efficacité pour avoir des CPU de plus en plus rapides, d’avoir des fonctions qui sont de plus en plus complexes. Avant on faisait juste des opérations +, - 1 ; on décale à droite, on décale à gauche. Aujourd’hui on a des opérations qui sont très compliqués.

Luc : La faille vient d’où, en fait ?

Nico : Cette faille-là vient des instructions du processeur qui sont ne sont pas sécurisées et pas fiables à utiliser quand on est dans un mode, ce qu’on appelle le mode prédictif. C’est-à-dire qu’on anticipe ce que le programme va faire pour essayer d’accélérer plutôt que de ne rien faire. On prend de l’avance dans le programme, en fait.

Luc : L’ordinateur, la machine dit : « D’habitude, dans ces circonstances il me demande ça, ça et ça, donc je vais le faire en avance, comme ça s’il me demande, je l’aurais déjà fait. » C’est ça ?

Nico : Voilà. C’est ça.

Luc : Du coup par ce biais-là il y a moyen de… ?

Nico : Quand il se trompe, en fait on n’est pas capable de faire marche arrière. C’est-à-dire que ce qui a déjà été exécuté en anticipation on n’est pas capable de l’annuler complètement. Donc il reste des petits bouts, d’où le spectre, en fait, il y a des petits fantômes qui se baladent. Si on tombe sur un fantôme dans l’exécution normale de ce qui va se passer derrière, eh bien ça peut faire des problèmes.

Manu : On pourrait donner l’image. C’est une sorte de contre-pied « hop, hop, hop, je t’envoie quelque chose, je t’envoie quelque chose et puis, d’un seul coup, je l’envoie ailleurs », mais, par habitude, on va continuer ce qu’on faisait d’habitude sauf que là ça déclenche toute une tripotée de bêtises.

Luc : En fait, si on fait exprès de tromper le processeur alors on récupère beaucoup de données.

Nico : Voilà, c’est ça. Du coup en exploitant ces bugs-là ils ont réussi à comprendre comment les diriger, comment les contrôler. Ils arrivent à mettre le processeur exactement dans l’état qui les arrange et, du coup, à récupérer ce qu’ils ont envie.

08’ 08

Luc : Comment ce machin a émergé ? Ça a l’air d’être un peu la grosse panique. C’est quoi l’histoire derrière ?

Nico : L’histoire est un peu compliquée de cette faille. En fait, on s’est aperçu, c’était décembre, il y a eu un patch de Linux, de Linus Torvalds, donc le vrai concepteur de Linux.

Luc : Qui a la réputation d’être un peu une sorte de brute, de patron.

Nico : C’est ça. Un gros gourou qui aime bien insulter tous les gens et leur dire qu’ils font de la merde. D’habitude ce n’est pas quelqu’un qui se laisse faire.

Manu : C’est brutal !

Nico : Et là on a vu, en pleine livraison du carnet de Linux, en fait il y avait une nouvelle version qui était en train de se préparer, ils étaient en plein dedans et là on a vu un énorme patch, donc une énorme fonctionnalité qui revoit l’intégralité de toute la gestion mémoire de vos machines.

Luc : Ça veut dire un truc qui touche à vraiment à quelque chose d’essentiel.

Nico : Ça touche à des choses assez essentielles. Il y a la problématique de performances qu’on annonce, déjà 25 % de performances en moins sur vos machines. On se dit comment ça se fait que Torvalds n’a pas gueulé, qu’il a laissé passer un truc comme ça. En fait, en analysant le code, on a vu que c’était marqué que les processeurs n’étaient plus considérés comme sûrs ; qu’il fallait patcher certains trucs qui n’étaient pas cool. Donc les gens, la communauté a commencé à enquêter dessus. On s’est rendu qu’il y avait une faille qui étaient connus depuis à priori depuis assez longtemps ; certains parlent de début 2017, mais ça serait peut-être été ou rentrée 2017, qui était sous ce qu’on appelle embargo, donc personne n’avait le droit d’en parler parce que c’était tellement monstrueux qu’il fallait coordonner tout le monde.

Luc : Et pour boucher les trous avant d’en parler !

Nico : Pour boucher les trous avant de publier tout ça. Du coup la communauté a commencé à fouiller. Elle s’est rendu que les papiers avaient été publiés, etc.

Manu : Par erreur, si je comprends bien !

Nico : Par erreur. Les scientifiques ont publié trop tôt ou mal. On ne sait pas trop ce qui s’est passé.

Luc : ils ont créé des sites web, c’est ça non ?

Nico : Ils ont créé des sites web où ils affichaient déjà le nom des failles, les logos, les PDF des attaques et autres.

Luc : Ils n’avaient pas communiqué sur le site web, mais le site web était déjà en place.

Nico : Il existait.

Luc : Et du coup il y a des gens qui ont fini par le trouver.

Nico : Et du coup Intel, Amazon et tout ce monde-là a dû anticiper pour dire voilà ce qui s’est passé et arrêter les spéculations quoi !

Manu : On peut rajouter, ça a été publié pour le coup, enfin ça s’est connu quand ?

Nico : Le gros est arrivé le 8 janvier, je crois, quelque chose comme ça.

Manu : Et le 25 novembre c’était quoi ?

Nico : Le 25 novembre c’étaient les premières communications, en fait, en interne, entre Intel, Amazon et tous les gros du secteur pour essayer de se coordonner et, en particulier aussi, le PDG d’Intel qui a vendu toutes ses actions ce jour-là.

Manu : Coïncidence !

Luc : Coïncidence, oui parce qu’il avait prévu…

Nico : De s’acheter un yacht, je crois.

Manu : Donc là il a vraiment vendu toutes ses actions, c’est ça ?

Nico : Il a vendu l’intégralité de ce qu’il pouvait vendre. En tant que PDG d’Intel il n’a pas le choix, il doit en garder un certain nombre, mais tout ce qu’il a pu vendre il l’a vendu.

Manu : Ça donne super confiance !

Luc : Évidemment il nie, il dit que c’est une coïncidence. Mais on imagine le patron de ce truc-là qui se retrouve probablement face à la plus grosse faille de l’histoire de l’informatique et le mec se dit « tiens, j’ai une urgence. J’avais quand même prévu de vendre mes actions ! » En tout cas moi ce que je note, à cause de ce truc qui a été révélé trop tôt, ça veut dire que toutes les corrections qui sont possibles ont été faites dans l’urgence et en mode panique. Déjà on est face à un truc très problématique d’un point de vue sécurité, mais, en plus de ça, on colmate les fuites en mode panique !

Nico : Il y en a même qui n’étaient pas du tout prêts. Par exemple FreeBSD n’était pas du tout dans la bouche de ce truc-là.

Luc : Personne ne les avait prévenus.

Nico : Personne ne les avait prévenus donc ils n’ont pas de patch. Et après, les patchs ont été effectivement pas super bien testés ou autres, donc Microsoft, Apple, ont déjà patché deux, trois, quatre fois en disant « mais ça ne marche pas si bien ! »

Manu : À chaque fois il y a des effets secondaires.

Nico : Il y a des effets secondaires. Il y a des problèmes de performance, effectivement. Certains parlent entre 5 et 10 % ; il y en a d’autres entre 15, 20 %, 30 %. Si vous utilisez des bases de données, c’est presque l’apocalypse et, du coup, ils réfléchissent encore, effectivement, à comment patcher sans perte de performance. Comment est-ce qu’on fait ?

Luc : L’idée, en gros, c’est de limiter ces fonctions avancées et foireuses par du code en disant « on va s’interdire de faire telle et telle chose. »

Nico : C’est ça. Ou en protégeant. Par exemple sur Linux, en fait, ils ont séparé mieux la mémoire pour que, même en cas d’exploitation de la faille, c’est-à-dire qu’on ne patche pas la faille directement, mais on empêche une exploitation efficace derrière.

Manu : Ils disent qu’ils mitigent le problème.

Nico : Ils mitigent, voilà !

Manu : Parce qu’ils ne pourront pas le corriger, tel qu’on voit les choses aujourd’hui ce n’est pas correctible.

Nico : Ce n’est pas corrigible.

Manu : Corrigeable ?

Nico : Corrigeable, ou corrigible.

Manu : On va chercher !

Nico : On trouvera ! On a des patchs. C’est effectivement la mitigation, c’est-à-dire qu’on ne sait pas complètement corriger le problème, mais on va essayer de corriger les effets de bord trop nuisibles. Enfin la vraie correction passera par une refonte complète de nos processeurs modernes et peut-être, justement, en faisant aussi une croix aussi sur les performances en disant « l’anticipation on ne sait pas la gérer proprement. Donc on va avoir des processeurs peut-être moins performants, mais ui n’auront pas de failles comme ça. »

Manu : On peut peut-être recommander d’installer un Firefox récent parce qu’ils ont commencé, eux aussi, à mettre des protections qui font une partie du boulot. Et donc en installant le dernier Firefox on va peut-être éviter de se faire attaquer par du code JavaScript sur Internet.

Nico : Mettez à jour vos machines, surtout. Effectivement, il y a peut-être des pertes de performance mais le problème est trop énorme pour qu’on ne mette pas à jour nos machines. Le problème existe aussi sur certains Android et là c’est problématique s’il n’y a pas de mise à jour existante. Voyez aussi si vous avez des serveurs ou si vous utilisez du cloud.

Manu : Des serveurs partagés surtout !

Nico : Partagés surtout !

Manu : Parce que si ce sont juste des serveurs tout seuls il n’y a pas des problèmes.

Nico : Si ce sont des serveurs avec vous tout seul dessus, il y a moins de risques, mais en tout cas, si vous utilisez du cloud, vérifiez que votre prestataire a bien fait les mises à jour et rebooté les machines, etc.

Manu : Moi je suis bien embêté avec ça !

Nico : Il y a Gandi, online, OVH, Amazon, enfin tous ceux-là ont commencé déjà à faire le boulot.

Luc : Est-ce qu’il y a des virus connus, pour l’instant, qui exploitent ça ?

Nico : Pour l’instant il n’y a pas de virus connu. Les exploits sont disponibles, donc le code source est disponible pour exploiter ces bugs-là. Les morceaux de code en JavaScript, en particulier, et autres.

Manu : Ça fait peur ça !

Nico : Mais on n’a pas encore d’exploitation connue de ça. La NSA aussi a été contactée et a dit : « Non, non on n’était pas au courant. »

Manu : Et on a super confiance !

Luc : Potentiellement il y en a d’autres, en plus. On a trouvé celui-là mais, potentiellement, il y a d’autres bugs de matériel de ce type-là ?

Nico : C’est surtout que le bug est énorme. Le principe fondamental d’exécution anticipée fait qu’on peut potentiellement détourner de plein de manières différentes, et que là c’est juste un exploit particulier qui est assez agressif et assez efficace. Mais effectivement, je pense que les chercheurs vont s’en donner à cœur joie pour faire mumuse avec tous ces trucs-là.

Manu : On peut peut-être arrêter là-dessus. Je pense que, de toutes façons, c’est un sujet qui va revenir.

Luc : De toutes manières tu es blême, donc je pense qu’il faut qu’on s’arrête. Je commence à craindre pour ta santé. Nicolas merci beaucoup pour tout ce cours. On se retrouve la semaine prochaine.

Manu : À la semaine prochaine !

Nico : Bonne semaine à tous.