8Aug
Les processeurs informatiques ont un énorme défaut de conception, et tout le monde se démène pour le réparer. Un seul des deux trous de sécurité peut être patché, et les patches rendront les PC( et les Mac) avec des puces Intel plus lents. Mise à jour
: Une version antérieure de cet article indiquait que cette faille était spécifique aux puces Intel, mais ce n'est pas toute l'histoire. Il y a en fait deux vulnérabilités majeures ici, maintenant nommées "Meltdown" et "Specter".Meltdown est largement spécifique aux processeurs Intel, et affecte tous les modèles de CPU des dernières décennies. Nous avons ajouté plus d'informations sur ces deux bogues, et la différence entre eux, à l'article ci-dessous.
Que sont Meltdown et Specter?
Specter est un «défaut de conception fondamental» qui existe dans tous les processeurs du marché, y compris ceux d'AMD et d'ARM ainsi que d'Intel. Il n'y a actuellement aucune correction de logiciel, et il faudra probablement une refonte complète du matériel pour les processeurs à travers le conseil d'administration - même si, heureusement, il est assez difficile à exploiter, selon les chercheurs en sécurité.Il est possible de se protéger contre des attaques spectres spécifiques, et les développeurs y travaillent, mais la meilleure solution sera une nouvelle conception matérielle du processeur pour toutes les futures puces.
Meltdown aggrave en fait Specter en rendant le défaut sous-jacent plus facile à exploiter. C'est essentiellement une faille supplémentaire qui affecte tous les processeurs Intel fabriqués au cours des dernières décennies. Il affecte également certains processeurs ARM Cortex-A haut de gamme, mais il n'affecte pas les puces AMD.Meltdown est actuellement corrigé dans les systèmes d'exploitation.
Mais comment ces défauts fonctionnent-ils?
Les programmes qui s'exécutent sur votre ordinateur fonctionnent avec différents niveaux de permissions de sécurité.Le noyau du système d'exploitation - le noyau Windows ou le noyau Linux, par exemple - a le plus haut niveau d'autorisations car il exécute le show. Les programmes de bureau ont moins d'autorisations et le noyau restreint ce qu'ils peuvent faire. Le noyau utilise les fonctionnalités matérielles du processeur pour aider à appliquer certaines de ces restrictions, car il est plus rapide de le faire avec du matériel qu'avec un logiciel.
Le problème ici est avec "l'exécution spéculative".Pour des raisons de performances, les processeurs modernes exécutent automatiquement les instructions qu'ils pensent devoir exécuter et, s'ils ne le font pas, ils peuvent simplement revenir en arrière et rétablir le système dans son état antérieur. Cependant, une faille dans Intel et dans certains processeurs ARM permet aux processus d'exécuter des opérations qu'ils ne pourraient normalement pas exécuter, car l'opération est effectuée avant que le processeur dérange pour vérifier s'il doit avoir l'autorisation de l'exécuter ou non. C'est le bug Meltdown.
Le problème principal avec Meltdown et Spectre réside dans le cache du CPU.Une application peut tenter de lire la mémoire et, si elle lit quelque chose dans le cache, l'opération se terminera plus rapidement. S'il essaie de lire quelque chose qui n'est pas dans le cache, il se terminera plus lentement. L'application peut voir si quelque chose se termine rapidement ou lentement et, tandis que tout le reste pendant l'exécution spéculative est nettoyé et effacé, le temps qu'il a fallu pour effectuer l'opération ne peut pas être caché.Il peut ensuite utiliser cette information pour construire une carte de n'importe quoi dans la mémoire de l'ordinateur, un bit à la fois. La mise en cache accélère les choses, mais ces attaques profitent de cette optimisation et la transforment en une faille de sécurité.
Ainsi, dans le pire des cas, le code JavaScript qui s'exécute dans votre navigateur Web peut lire efficacement la mémoire à laquelle il ne devrait pas avoir accès, comme les informations privées contenues dans d'autres applications. Les fournisseurs de cloud tels que Microsoft Azure ou Amazon Web Services, qui hébergent plusieurs logiciels d'entreprise différents sur des machines virtuelles différentes sur le même matériel, sont particulièrement exposés. Le logiciel d'une personne pourrait, en théorie, espionner des choses dans la machine virtuelle d'une autre compagnie. C'est une rupture dans la séparation entre les applications. Les correctifs pour Meltdown signifient que cette attaque ne sera pas aussi facile à retirer. Malheureusement, la mise en place de ces vérifications supplémentaires signifie que certaines opérations seront plus lentes sur le matériel affecté.
Les développeurs travaillent sur des correctifs logiciels qui rendent les attaques Specter plus difficiles à exécuter. Par exemple, la nouvelle fonctionnalité d'isolation du site de Google Chrome vous protège contre cela, et Mozilla a déjà apporté quelques modifications rapides à Firefox. Microsoft a également apporté quelques modifications afin de protéger Edge et Internet Explorer dans Windows Update, désormais disponible.
Si vous êtes intéressé par les détails de bas niveau sur Meltdown et Spectre, lisez l'explication technique de l'équipe Project Zero de Google, qui a découvert les bugs l'année dernière. Plus d'informations sont également disponibles sur le site MeltdownAttack.com.
Combien mon PC sera-t-il plus lent? Mise à jour
: Le 9 janvier, Microsoft a publié des informations sur les performances du correctif. Selon Microsoft, Windows 10 sur les ordinateurs de l'ère 2016 avec Skylake, Kabylake ou les processeurs Intel plus récents montrent des ralentissements à un chiffre que la plupart des utilisateurs ne devraient pas remarquer. Windows 10 sur les PC de l'ère 2015 avec Haswell ou un ancien processeur peut voir des ralentissements plus importants, et Microsoft "s'attend à ce que certains utilisateurs remarquent une baisse des performances du système".
Windows 7 et 8 utilisateurs ne sont pas aussi chanceux. Microsoft dit qu'ils "s'attendent à ce que la plupart des utilisateurs remarquent une baisse des performances du système" lorsqu'ils utilisent Windows 7 ou 8 sur un PC de l'ère 2015 avec Haswell ou un ancien processeur. Non seulement Windows 7 et 8 utilisent des processeurs plus anciens qui ne peuvent pas exécuter le correctif aussi efficacement, mais "Windows 7 et Windows 8 ont plus de transitions utilisateur-noyau à cause des décisions de conception héritées, comme le rendu des polices dans le noyau"et cela ralentit aussi les choses.
Microsoft prévoit d'effectuer ses propres tests de performance et de publier plus de détails à l'avenir, mais nous ne savons pas exactement quel sera le niveau de correction de Meltdown pour l'utilisation quotidienne des PC.Dave Hansen, un développeur de noyau Linux qui travaille chez Intel, a écrit à l'origine que les changements apportés au noyau Linux affecteront tout. Selon lui, la plupart des charges de travail voient un ralentissement à un seul chiffre, avec un ralentissement d'environ 5% étant typique. Le pire des cas était un ralentissement de 30% sur un test de mise en réseau, il varie donc d'une tâche à l'autre. Ce sont des nombres pour Linux, cependant, ils ne s'appliquent pas nécessairement à Windows. Le correctif ralentit les appels système, de sorte que les tâches comportant de nombreux appels système, telles que la compilation de logiciels et l'exécution de machines virtuelles, ralentiront probablement le plus. Mais chaque morceau de logiciel utilise des appels système. Mise à jour
: Depuis le 5 janvier, TechSpot et Guru3D ont effectué quelques tests de performances pour Windows. Les deux sites ont conclu que les utilisateurs de bureau n'ont pas grand chose à craindre. Certains jeux PC enregistrent un léger ralentissement de 2% avec le patch, ce qui est dans la marge d'erreur, tandis que d'autres semblent fonctionner de manière identique. Le rendu 3D, les logiciels de productivité, les outils de compression de fichiers et les utilitaires de chiffrement ne sont pas affectés. Cependant, les tests de lecture et d'écriture des fichiers montrent des différences notables. La vitesse de lecture rapide d'une grande quantité de petits fichiers a chuté d'environ 23% dans les tests de performances de Techspot, et Guru3D a trouvé quelque chose de similaire. D'un autre côté, Tom's Hardware n'a trouvé qu'une baisse moyenne de performance de 3,21% avec un test de stockage d'applications grand public et a fait valoir que les «benchmarks synthétiques» montrant des baisses de vitesse plus importantes ne représentent pas l'utilisation réelle.
Les ordinateurs équipés d'un processeur Intel Haswell ou d'un processeur plus récent ont une fonction PCID( Process-Context Identifiers) qui aidera le correctif à fonctionner correctement. Les ordinateurs avec des processeurs Intel plus anciens peuvent voir une plus grande diminution de la vitesse. Les tests de performances ci-dessus ont été effectués sur des processeurs Intel modernes avec PCID, de sorte que l'on ne sait pas comment fonctionneront les anciens processeurs Intel.
Intel dit que le ralentissement "ne devrait pas être significatif" pour l'utilisateur moyen de l'ordinateur, et jusqu'à présent cela semble vrai, mais certaines opérations voient un ralentissement. Pour le cloud, Google, Amazon et Microsoft ont tous dit la même chose: pour la plupart des charges de travail, ils n'ont pas eu d'impact significatif sur les performances après le déploiement des correctifs. Microsoft a déclaré qu'un «petit groupe de clients [Microsoft Azure] peut avoir un impact sur les performances de mise en réseau». Ces instructions permettent à certaines charges de travail de voir des ralentissements significatifs. Epic Games a accusé le correctif Meltdown d'avoir causé des problèmes de serveur avec son jeu Fortnite et a affiché un graphique montrant une énorme augmentation de l'utilisation du processeur sur ses serveurs cloud après l'installation du correctif.
Mais une chose est clair: Votre ordinateur ne va certainement pas plus vite avec ce patch. Si vous avez un processeur Intel, il ne peut que ralentir, même si c'est un petit peu.
Que dois-je faire?
Certaines mises à jour pour résoudre le problème Meltdown sont déjà disponibles. Microsoft a publié une mise à jour d'urgence des versions prises en charge de Windows via Windows Update le 3 janvier 2018, mais elle n'est pas encore parvenue à tous les ordinateurs. La mise à jour de Windows qui résout le Meltdown et ajoute quelques protections contre Spectre s'appelle KB4056892.
Apple a déjà corrigé le problème avec macOS 10.13.2, sorti le 6 décembre 2017. Les Chromebooks avec Chrome OS 63, qui a été lancé à la mi-décembre, sont déjà protégés. Des correctifs sont également disponibles pour le noyau Linux.
En outre, vérifiez si votre PC dispose de mises à jour BIOS / UEFI disponibles. Alors que la mise à jour de Windows a corrigé le problème Meltdown, les mises à jour du microcode CPU d'Intel livrées via une mise à jour UEFI ou BIOS sont nécessaires pour activer la protection contre l'une des attaques Spectre. Vous devez également mettre à jour votre navigateur Web, comme d'habitude, car les navigateurs ajoutent également des protections contre Spectre. Mise à jour
: Le 22 janvier, Intel a annoncé que les utilisateurs devraient cesser de déployer les mises à jour actuelles du microprogramme UEFI en raison de «redémarrages plus élevés que prévu et autres comportements imprévisibles du système».Intel dit maintenant que vous devriez attendre un correctif final du firmware UEFI qui a été correctement testé et ne causera pas de problèmes système.
Bien que les performances soient mauvaises, nous vous recommandons fortement d'installer ces correctifs de toute façon. Les développeurs de système d'exploitation ne feraient pas de tels changements massifs à moins que ce soit un très mauvais bug avec des conséquences sérieuses.
Le correctif logiciel en question corrige la faille Meltdown, et certains correctifs logiciels peuvent aider à atténuer la vulnérabilité Specter. Mais Spectre va probablement continuer à affecter tous les processeurs modernes - au moins sous une forme ou une autre - jusqu'à ce qu'un nouveau matériel soit libéré pour le réparer. On ne sait pas comment les fabricants vont gérer cela, mais entre-temps, tout ce que vous pouvez faire est de continuer à utiliser votre ordinateur - et de vous réconforter du fait que Specter est plus difficile à exploiter et plus soucieux du cloud computing que les utilisateurs finaux. PC de bureau.
Crédit d'image: Intel, VLADGRIN / Shutterstock.com.