Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé intel. Afficher tous les messages
Aucun message portant le libellé intel. Afficher tous les messages

lundi 26 avril 2021

Pourquoi Apple ne proposera bientôt plus de carte graphique ?

 

 

Pourquoi Apple ne proposera bientôt plus de carte graphique ?

Cette intégration d'un nombre croissant de fonctions au sein d'une seule puce est un mouvement de fond pour Apple. Le mouvement originel du « tout soudé » n'était qu'un début, avant la phase du « tout en un ». Il y a fort à parier que les gammes iMac et MacBook Pro se passent définitivement de cartes graphiques dédiées.


Si le « petit » M1 se contente de 8 cœurs graphiques, rien n'empêche Apple d'envisager un processeur plus richement doté, apte à propulser la gamme au niveau des cartes dédiées. Ajouter des cœurs supplémentaires à une architecture existante, c'est ainsi qu'Apple est passée de l'A10 à l'A10X ou de l'A12 à l'A12X. Et il n'y a pas beaucoup de retard à rattraper : les Mac M1 ne sont en retrait que de 10 à 30 % sur le MacBook Pro 16" et l'iMac 27" dotés d'une Radeon Pro 5300.

Autrement dit : si les 8 cœurs graphiques du M1 ne sont pas ridicules face aux cartes dédiées qu'Apple colle aujourd'hui dans sa gamme, sans doute une version enrichie pourra-t-elle venir chatouiller la Radeon Pro 5500 XT qui équipe avec ses 22 cœurs l'iMac haut de gamme. Car le rendu graphique est un domaine qui se plie fort bien à ces structures hautement parallèles où la charge de travail est répartie entre de nombreuses unités de calcul.


Là encore, Apple évitera d'enrichir un sous-traitant. Ayant habitué ses clients à des cartes de milieu de gamme ou issues du monde des ordinateurs portables, elle n'a pas besoin de s'attaquer directement aux monstres de Nvidia ou d'AMD et peut tranquillement nous assurer de meilleurs performances que la gamme précédente. Restera la question du gros Mac Pro ? ...... Une coquille vide chauffante avec un gros processeur ?


REF.:

Après l'Apple M1 : ce qui nous attend… et pourquoi Intel aura du mal à suivre

 

 

Après l'Apple M1 : ce qui nous attend… et pourquoi Intel aura du mal à suivre

REF.: Jean-Baptiste Leheup |
Club iGen 👑

Cet article réservé initialement aux membres du Club iGen est exceptionnellement en accès libre à compter d'aujourd'hui. Pour découvrir tous les articles exclusifs du Club iGen et d'autres avantages, abonnez-vous !

Maintenant que le processeur M1 est largement utilisé, il ne fait pas de doute qu'Apple a gagné son pari. Son processeur est aujourd'hui unanimement salué, et pas seulement dans le monde Apple. À part Intel, tout le monde s'accorde sur le fait que le système sur puce M1 est habilement conçu, puissant, économe, et particulièrement bien mis à profit par macOS et ses technologies. Et pourtant, il reste de belles marges de manoeuvre pour des améliorations que nous verrons sans doute apparaître au cours des prochains mois.

Le processeur M1, le plus petit des Apple Silicon

Aujourd'hui, le processeur M1 est au sommet de la gamme Apple Silicon. Il est le caïd de la famille, plus gros et plus fort que ses petits frères A13 et A14 embarqués dans les gammes iPad et iPhone. Et il n'a même pas peur d'aller se bagarrer dans la cour des grands. Mais viendra un temps où l'on se souviendra avec nostalgie de ce petit nouveau.


Car sur le papier, comparé aux processeurs qui équipent les autres ordinateurs, le M1 n'est pas si impressionnant. Pour commencer, il est tout petit. À peine 120 millimètres carrés, soit un ongle de pouce. L'Intel Core i9 de l'iMac est presque deux fois plus gros, et le Xeon du Mac Pro, six fois plus gros. Autrement dit : Apple peut sans difficulté envisager d'étendre son processeur pour y caser plus de cœurs, plus de mémoire cache, et plus de mémoire vive…

En termes de consommation, c'est aussi le petit poucet des processeurs du moment. Un Mac mini à fond la caisse consomme moins de 40 watts, tout en chatouillant l'iMac Pro qui en consomme 370. Apple n'est donc pas limitée par cet aspect. En quelque sorte, la gamme Apple Silicon permet à la marque de repartir d'une feuille presque blanche, sans contrainte particulière.

Il n'y a guère que sur la question de la cadence d'horloge qu'Apple n'a pas lésiné sur les moyens. Son premier processeur est directement calé sur une fréquence de 3,2 GHz, loin d'être ridicule au milieu de ses concurrents. Mais cette fréquence est atteinte avec une finesse de gravure de 5 nanomètres, qui doit offrir une marge que l'on ne connaît pas encore, puisqu'Apple est la première à s'y aventurer. On sait cependant qu'AMD dépasse cette fréquence avec la quasi-totalité de sa gamme Ryzen pourtant gravée en 7 nm. Et Intel, qui n'a peur de rien, parvient à maîtriser son i9 en 14 nm à près de 5 GHz.

Dans la communication d'AMD, on a toujours l'impression que ses processeurs Ryzen Threadripper sont à deux doigts de prendre feu…

Reste la question du coût. Là encore, il faut mettre tout le monde à l'aise : il y a de la marge. Un cadre d'IBM s'est lancé dans une estimation du coût du M1 pour Apple et pense pouvoir affirmer que chaque M1 coûte environ 50 $ à fabriquer. Apple a en quelque sorte internalisé le coût du développement de ce processeur, qui était auparavant facturé par Intel. Si elle doit maintenant payer elle-même les ingénieurs qui mettent au point ses processeurs, elle empoche en contrepartie une partie des copieux bénéfices qu'Intel engrangeait année après année.

M1, ce processeur dont on ne sait presque rien

Ce qui complique l'exercice de divination auquel je me prête aujourd'hui, c'est qu'on en sait relativement assez peu sur les spécifications techniques du processeur M1, malgré le travail d'analyse de l'A14 par Anandtech. Apple ne travaille que pour elle-même, contrairement à Intel, et n'a donc divulgué que les informations strictement nécessaires.

Parmi les éléments manquants, on ignore tout de la dotation en lignes PCIe des processeurs Apple Silicon. Jusqu'à présent, cette donnée n'avait que peu d'importance, que ce soit pour l'iPhone, totalement fermé, comme pour le Mac mini et le MacBook Air, dont les capacités d'extension se résument à quelques ports Thunderbolt. D'autant plus que, rappelons-le, le processeur M1 intègre la partie graphique, qui occupait auparavant plusieurs lignes PCIe (généralement, quatre lignes pour une petite carte graphique, mais jusqu'à vingt-quatre pour chaque carte AMD Radeon Pro Vega II Duo du Mac Pro 2019).


En intégrant la puce graphique à son système sur puce, Apple a sans doute pu réduire le nombre de lignes PCIe gérées par son système. Mais dans le même temps, on a vu grimper les exigences du Thunderbolt, au point que sa version 4 exige que chaque port dispose d'une capacité PCIe de 32 Gbit/s. Apple tente actuellement de noyer le poisson en n'annonçant pas officiellement de compatibilité avec le Thunderbolt 4. Elle ne pourra pas éternellement rester sur cette ligne.

Une partie de la réponse est peut-être dans le PCIe 4.0. Cette nouvelle version qui se démocratise depuis deux ans double le débit de chaque ligne, permettant ainsi d'économiser des ressources. On ne sait pas encore avec certitude si le processeur M1 gère cette nouvelle version de la norme, mais ce serait une solution pour offrir sans difficulté le niveau de connectivité des anciens Mac sans nécessiter autant de lignes physiques. Mais il y a un bémol : le PCIe 4.0 est surtout une version accélérée de la version précédente, avec peu d'optimisations. Ses composants chauffent donc beaucoup plus que ses prédécesseurs, ce qui est un frein à une adoption massive dans les petites configurations M1.

Pourquoi Apple ne proposera bientôt plus de carte graphique

Cette intégration d'un nombre croissant de fonctions au sein d'une seule puce est un mouvement de fond pour Apple. Le mouvement originel du « tout soudé » n'était qu'un début, avant la phase du « tout en un ». Il y a fort à parier que les gammes iMac et MacBook Pro se passent définitivement de cartes graphiques dédiées.


Si le « petit » M1 se contente de 8 cœurs graphiques, rien n'empêche Apple d'envisager un processeur plus richement doté, apte à propulser la gamme au niveau des cartes dédiées. Ajouter des cœurs supplémentaires à une architecture existante, c'est ainsi qu'Apple est passée de l'A10 à l'A10X ou de l'A12 à l'A12X. Et il n'y a pas beaucoup de retard à rattraper : les Mac M1 ne sont en retrait que de 10 à 30 % sur le MacBook Pro 16" et l'iMac 27" dotés d'une Radeon Pro 5300.

Autrement dit : si les 8 cœurs graphiques du M1 ne sont pas ridicules face aux cartes dédiées qu'Apple colle aujourd'hui dans sa gamme, sans doute une version enrichie pourra-t-elle venir chatouiller la Radeon Pro 5500 XT qui équipe avec ses 22 cœurs l'iMac haut de gamme. Car le rendu graphique est un domaine qui se plie fort bien à ces structures hautement parallèles où la charge de travail est répartie entre de nombreuses unités de calcul.


Là encore, Apple évitera d'enrichir un sous-traitant. Ayant habitué ses clients à des cartes de milieu de gamme ou issues du monde des ordinateurs portables, elle n'a pas besoin de s'attaquer directement aux monstres de Nvidia ou d'AMD et peut tranquillement nous assurer de meilleurs performances que la gamme précédente. Restera la question du gros Mac Pro, sur lequel nous reviendrons en fin d'article.

Pourquoi Intel n'applique-t-il pas les mêmes recettes ?

Loin de moi l'idée de tomber dans le sectarisme que l'on prête souvent aux clients d'Apple, mais ce décrochage du monde x86 face au monde ARM est l'une des questions récurrentes des observateurs depuis plusieurs mois. Qu'est-ce qui peut bien empêcher Intel d'appliquer les mêmes recettes à ses propres processeurs pour combler le fossé qui s'est creusé ? On imagine parfois qu'après tout, un processeur est un processeur, tout comme un vélo est un vélo. Il suffirait donc d'appliquer à un processeur x86 les mêmes solutions pour le rendre à la fois beaucoup plus puissant et plus économe.

Sauf que les « recettes miracles » adoptées par Apple pour son M1 sont intimement liées à l'architecture ARM qui le sous-tend. Dans cette architecture, les instructions traitées par le processeur ont une longueur fixe qui facilite leur dispersion entre les différentes unités de traitement. À l'inverse, dans l'architecture x86, les instructions se succèdent à un rythme irrégulier, ce qui complique la tâche du processeur. Intel et AMD ont inventé quelques astuces, comme un système qui tente de deviner où démarrera la prochaine instruction pour l'exécuter sans attendre. Mais plus on y a recours, plus le taux d'erreur augmente.


Tout ce qui pouvait être fait pour pousser l'architecture x86 dans ses derniers retranchements a été fait. Dès les années 1990, les processeurs 486 puis les Pentium ont adopté au plus profond de leurs transistors une structure décomposant les complexes instructions de haut niveau en micro-opérations élémentaires, plus aisées à manipuler, à réordonner et à anticiper. Ce choix technologique a également permis, au début des années 2000, de développer l'Hyper-Threading, où chaque cœur est mis à disposition de deux files d'attente d'instructions : à chaque fois que l'une des deux laisse un « blanc », l'autre file d'attente en profite pour lancer ses propres instructions. Et depuis quelques mois, Intel cherche à associer deux types de cœurs dans ses puces, à la manière de la technique big.LITTLE d'ARM. Ces méthodes ont permis d'optimiser les ressources matérielles en compensant les faiblesses héritées de la conception très linéaire des premières puces d'Intel.

Résultat : depuis quelques années, à défaut de pouvoir encore optimiser la gestion des instructions, on assiste plutôt à une multiplication des cœurs, au prix d'une explosion de la consommation électrique, du dégagement de chaleur et du coût de fabrication. Intel propose un Core i9 disposant de 10 cœurs physiques, qui tutoie les 200 watts à lui tout seul. Chez AMD, le fleuron de la gamme est actuellement le Ryzen Threadripper 3990X, un véritable monstre : un PC équipé de ce processeur à 4 500 $ peut atteindre une consommation de 1 000 watts quand il active ses 64 cœurs. Mais il se montre alors dix fois plus rapide qu'un Mac M1 sous CineBench et cinq fois plus rapide sous GeekBench.


Rien n'empêcherait aujourd'hui Intel de repartir aussi d'une page blanche. Elle en a d'ailleurs eu l'occasion en 1997 en rachetant à DEC sa famille de processeurs StrongARM, rebaptisée XScale. Elle n'a cependant pas trop su quoi en faire, et l'a revendue dix ans plus tard. Faute de succès des processeurs ARM dans le monde PC, Windows ARM n'a pas percé. Et puisque Windows ARM n'a pas percé, personne ne veut investir dans un processeur ARM pour le monde PC. Enfin, Qualcomm montre bien une certaine ambition dans le domaine, mais le fabricant vient juste de s'adjoindre les services d'anciens d'Apple pour tenter de rattraper son retard sur le processeur M1. Il est donc toujours aussi difficile de renoncer à ce qui fait l'essence de l'architecture x86, car tout l'écosystème du PC repose sur ces fondations, à commencer par Windows. C'est le serpent qui se mord la queue — pour le moment.

Verra-t-on un Mac Pro Apple Silicon ?

L'architecture ARM se prête facilement à la multiplication des cœurs, d'autant plus qu'Apple a organisé de longue date son système d'exploitation pour en tirer parti. Si Apple a le moindre doute sur la possibilité de caser toujours plus d'unités de calcul dans une puce, elle pourra s'intéresser à la microarchitecture Neoverse N1 qu'ARM diffuse depuis 2019. Le concepteur californien Ampere Computing en a tiré la puce Altra, dotée de 32 à 80 cœurs physiques (et bientôt 128). Grâce à une gravure à 7 nm, ce paquebot de 80 cœurs cadencés à 3,3 GHz, capable de gérer huit canaux de mémoire vive (contre six pour le Mac Pro actuel) et 128 lignes PCIe (contre 64 pour le processeur Xeon du Mac Pro, soit quatre fois moins de débit compte tenu de la différence de génération) se contente d'une enveloppe thermique (TDP) de 250W, à peine plus que le Xeon, dont les 28 cœurs tournent à 2,5 GHz.


Comme si un seul de ces cerveaux ne suffisait pas, Ampere a prévu la possibilité de les associer deux par deux. Des ordinateurs bi-processeurs, comme Apple a cessé d'en proposer depuis 2012. Pourtant, le jeu en vaut la chandelle : selon les tests, la version 80 cœurs de l'Altra peut se montrer trois à cinq fois plus rapide que le Xeon, pour la moitié de son prix !

En attendant, la question du Mac Pro est une vraie épine dans le pied d'Apple. La marque est consciente que ce modèle est incontournable dans sa gamme, car il lui donne une légitimité auprès d'un public exigeant. Sans Mac Pro, sa gamme ne paraîtrait pas très professionnelle. Or jusqu'à présent, pour fabriquer un Mac Pro, ce n'était pas très compliqué. Il suffisait de faire une grosse boîte et d'y inclure un gros processeur produit par Intel. Apple a bien essayé d'expliquer aux professionnels qu'ils pouvaient se contenter d'un petit cylindre discret et silencieux, mais ça n'a pas marché : elle a dû se résoudre à leur proposer à nouveau un gros machin plein de vide avec une alimentation électrique digne d'une friteuse.


Mais au moins, Apple n'a pas eu à inventer le processeur qui va avec. Pour le plus puissant Mac Pro, le tarif public du Xeon W-3275M à 28 cœurs se situe aux alentours de 7 000 €. Intel en vend des palettes entières, car la plupart d'entre eux terminent dans des fermes de serveurs, où leurs nombreux cœurs font merveille pour servir plusieurs clients ou faire tourner plusieurs machines virtuelles en parallèle. Pour Apple, c'est juste un achat comme un autre, qu'elle rentabilise en vendant la machine au bon prix.

Mais voilà, pour équiper son futur Mac Pro d'un processeur à la hauteur de la gamme Xeon d'Intel, ou de leurs concurrents Threadripper d'AMD, Apple va devoir inventer son propre monstre de puissance. Et comme elle n'a sûrement pas l'intention de le vendre ensuite à ses concurrents, il faudra qu'elle rentabilise toute seule la recherche, le développement et la fabrication de ces processeurs. Elle a peut-être un projet secret consistant à envahir les centres de données, mais en attendant, la cible du Mac Pro ne semble pas suffisante pour rentabiliser l'investissement de base.


Il sera intéressant de voir quels seront les choix d'Apple en la matière. Multiplier les cœurs dédiés à l'intelligence artificielle (comme le Neural Engine) ou les cœurs GPU ne suffira pas à offrir une machine capable de se confronter à la force brute des modèles Intel ou AMD. On n'imagine quand même pas qu'Apple va proposer un nouveau Mac Pro doté d'un processeur x86 : ce serait reconnaître qu'elle ne peut pas concurrencer Intel sur le terrain de la puissance. Même à titre provisoire, ce serait un message négatif, dont Intel s’empresserait de tirer un profit médiatique.

Apple a-t-elle dans ses cartons un super-processeur à plusieurs dizaines de cœurs, peut-être pas rentable, mais capable de servir de vitrine technologique à Apple Silicon ? Un M1X, M1 Pro ou M2 qui serait ensuite adapté au reste de la gamme ? Va-t-elle développer des systèmes multi-processeurs en associant deux, quatre, voire des dizaines de ses petits M1 ? Va-t-elle développer ses propres cartes d'extension pour externaliser la puissance de calcul à la mode GPGPU ?

Et quand Apple aura résolu cette question, il lui en restera une autre : le design. On a entendu dire qu'elle réfléchissait à un Mac Pro de taille réduite. Cela signifierait qu'elle renoncerait à la possibilité d'offrir des emplacements pour des cartes d'extension, qui justifient à eux seuls le volume de l'actuel Mac Pro. Alors, retour au Mac Pro « poubelle » ou maintien d'un Mac Pro « camion » ? L'avenir s'annonce passionnant !

mercredi 15 avril 2020

Intel va diriger un nouveau programme de cybersécurité de la Défense américaine


Intel va diriger un nouveau programme de cybersécurité de la Défense américaine

13 avril 2020 à 15h33 
 
 
 
Libellés
cybersécurité, GARD, Hackers, cyberattaques, cyberespionnage, intel, armée,
 
 
 
 

Intel vient d'être choisi par la DARPA, le département américain de la Défense spécialisé dans les nouvelles technologies, pour diriger son programme de cybersécurité GARD.

Intel aura pour mission d'aider les États-Unis à se prémunir des attaques basées sur l'apprentissage machine.


GARD en réponse aux piratages de l'apprentissage machine

L'apprentissage machine est une méthode visant à améliorer les services d'une intelligence artificielle. C'est un concept utilisé notamment dans la reconnaissance d'objets, où l'IA peut apprendre à force d'exemples et d'essais. Mais bien que ce soit encore assez rare, ces intelligences artificielles peuvent également être manipulées pour réaliser des piratages d'un nouveau genre. Il y a quelques semaines, McAfee a ainsi rendu un rapport affirmant que l'on pouvait tromper facilement une Tesla afin de la faire rouler à 135 km/h sur une route à 50 km/h.

La DARPA veut donc prendre les devants. L'année passée, l'agence a créé un nouveau programme appelé GARD, pour Guaranteeing AI Robustness against Deception. Des contre-mesures existent déjà contre les attaques se focalisant sur les appareils reposant sur l'apprentissage machine. Mais la DARPA espère que GARD lui fournira un système de défense plus développé et apte à répondre à un plus grand nombre d'attaques différentes.


Intel placé à la tête du projet

Dans un communiqué publié jeudi 9 avril, Intel a annoncé que la DARPA lui avait confié la direction du projet, conjointement à l'institut de technologie de Géorgie. Les deux organismes se chargeront des travaux de GARD pendant quatre ans.

Jason Martin, ingénieur principal chez Intel Labs et chercheur principal du projet a déclaré : « Grâce à des recherches innovantes sur les techniques de cohérence, nous collaborerons à une approche visant à améliorer la détection d'objets et à améliorer la capacité de l'IA et du machine learning (ML) à répondre aux attaques ».

Le constructeur ajoute que « dans la première phase de GARD, Intel et Georgia Tech amélioreront les technologies de détection d'objets grâce à la cohérence spatiale, temporelle et sémantique des images fixes et des vidéos ». La DARPA, de son côté a déclaré que GARD pourrait être utilisé dans un certain nombre de contextes. Hava Siegelmann, gestionnaire de programme au bureau d'innovation de l'information de la DARPA compare le projet à un système immunitaire identifiant les attaques de virus pour mieux les comprendre et s'en prémunir par la suite. Elle ajoute : « Nous devons nous assurer que l'apprentissage automatique est sûr et qu'il ne peut pas être trompé ».

Source. : TechCrunch

dimanche 15 mars 2020

Pourquoi le passage des futurs Mac sur ARM pourrait changer la donne



Pourquoi le passage des futurs Mac sur ARM pourrait changer la donne

Technologie : Certaines rumeurs indiquent qu'Apple pourrait bientôt commercialiser un Mac basé sur un chipset ARM. Voilà pourquoi cela pourrait intéresser les aficionados de la marque à la pomme.

Un faisceau de rumeurs diffusées par la presse fait actuellement état d'un projet d'Apple qui pourrait commencer à utiliser des processeurs ARM dans ses Mac à partir du premier semestre 2021. La transition des processeurs n'est pas nouvelle pour Apple. En 1994, le géant américain a fait passer le Mac de sa plateforme originale Motorola série 68000 à des puces PowerPC de l'alliance AIM (Apple-IBM-Motorola). Puis, en 2006, le Mac a de nouveau changé de plateforme, passant de PowerPC à Intel, une situation qui prévaut encore aujourd'hui.
Des rumeurs font état depuis un certain temps d'une adoption des chipsets ARM par les futurs Mac d'Apple. Celles-ci ont encore pris davantage de corps avec l'embauche l'an dernier du concepteur de puces de pointe de ARM, Mike Filippo, qui a également travaillé pour Intel et AMD.
Apple conçoit et fabrique actuellement (via TSMC) ses propres puces basées sur l'ARM pour les iPhone et les iPad, les dernières étant le A13 Bionic 7 nm (iPhone 11, 11 Pro, 11 Pro Max) et le A12X Bionic (iPad Pro 11 pouces, iPad Pro 12,9 pouces de troisième génération). La prochaine génération de puces 5 nm de TSMC devrait être produite en série en 2020. Les puces Apple T-series à base d'ARM sont déjà utilisées dans les Mac.

publicité

Un ensemble applicatif plus large

Du côté des logiciels, Apple s'efforce de faciliter le portage des applications iPad sur MacOS grâce à son projet Catalyst, annoncé l'année dernière lors du WWDC. Actuellement, ce projet propose un nouveau SDK Xcode qui permet de sélectionner une case à cocher "Mac" pour convertir une application iPad existante en une application MacOS native avec des fonctions de bureau et de fenêtrage et des commandes tactiles adaptées à la saisie au clavier et à la souris.
L'objectif final est de prendre en charge les transitions de MacOS à iOS également, en créant des applications "universelles" qui peuvent fonctionner sur les deux systèmes d'exploitation avec un minimum de tracas pour les développeurs et les utilisateurs.
Des fuites font aujourd'hui état d'un « nouvel iPhone 2H20 5G, un nouvel iPad 2H20 équipé de mini LED, et un nouveau Mac 1H21 équipé du processeur de conception propre ». Ce nouveau Mac basé sur la technologie ARM sera probablement un appareil relativement bas de gamme – peut-être un MacBook Air mis à jour – tandis que les Mac haut de gamme de niveau professionnel resteront basés sur Intel pendant un certain temps. Personne ne s'attend à ce qu'un processeur Arm conçu par Apple puisse offrir des performances équivalentes à celles du Xeon W à 28 cœurs du nouveau Mac Pro.
Microsoft, bien sûr, a déjà fait le choix du x86 d'ARM – d'abord avec Windows RT, et maintenant avec Windows 10 ARM. Windows RT a échoué parce qu'il ne pouvait exécuter qu'une sélection limitée d'applications Windows Store natives – ce que Windows 10 basé sur ARM a partiellement corrigé en prenant également en charge les applications de bureau x86 32 bits (mais pas 64 bits) sous émulation.

Source : ZDNet.com

jeudi 31 octobre 2019

ThinkShield de Lenovo, solutions complètes de sécurité de bout en bout qui sécurisent les entreprises



Présentation de ThinkShield de Lenovo, solutions complètes de sécurité de bout en bout qui sécurisent les entreprises

REF.: Septembre 2018, par Marc Jacob


lonovo, Laptop, intel, sécurité, Hackers, vol de donné,
 
 
 
L'année dernière a été la plus importante en matière de violation de données, avec 2,6 milliards d'enregistrements compromis1. Les entreprises ont besoin de dispositifs sécurisés qui protègent les données sensibles et se protègent des menaces en ligne et basées sur l'identité. Lenovo ouvre la voie en matière de sécurité informatique - avec des résultats impressionnants. Selon CVEDetails.com, Lenovo présentait au premier semestre 2018 moins de vulnérabilités et de risques que les principaux concurrents.2 Les consommateurs comme les entreprises peuvent bénéficier de ThinkShield de Lenovo, une approche révolutionnaire pour sécuriser les périphériques tout au long de leur cycle de vie.

ThinkShield de Lenovo sécurise les périphériques tout au long du cycle de vie
- Du développement de BIOS et de microprogrammes sécurisés aux fonctionnalités telles que les écrans de sécurité ThinkPad Privacy Guard et les premiers obturateurs de caméras pour ordinateurs portables du secteur, Lenovo intègre une protection à ses produits.
- La sécurité ne s’arrête pas à la conception: Lenovo dispose d’un contrôle unique sur sa chaîne logistique mondiale, qui définit des normes et des règles de sécurité strictes pour ses installations de fabrication.
- Le partenariat stratégique de Lenovo avec Intel® leur a permis de s’aligner sur la chaîne logistique transparente d’Intel, qui permet aux clients de localiser la source de chaque composant de leur nouveau système.
- Lenovo supervise la sécurité des fournisseurs qui construisent des composants intelligents, en veillant à ce qu'ils se conforment aux rigoureuses directives et aux meilleures pratiques du programme Trusted Supplier. Pour plus de transparence, Lenovo Quality Engineers peut auditer les fournisseurs à tout moment.

ThinkShield de Lenovo protège l’identité et les informations d’identité des utilisateurs
- Membre fondateur de FIDO®, Lenovo propose les premiers et les seuls authentifiants certifiés FIDO®, ainsi que la technologie des empreintes digitales Match-on-Chip, pour offrir aux entreprises un moyen plus sûr et plus sûr de protéger l’identité de leurs employés.
- Un niveau d'intégration sans précédent avec Intel Authenticate (jusqu'à 7 facteurs d'authentification) offre davantage de sécurité et de flexibilité que les fournisseurs proposant moins de méthodes d'authentification.
- La protection Smart USB basée sur le BIOS permet aux professionnels de l’informatique de configurer les ports USB de manière à répondre aux claviers et aux périphériques de pointage, tout en garantissant la sécurité des PC des employés.

ThinkShield de Lenovo protège les utilisateurs en ligne
- Lenovo WiFi Security, en partenariat avec Coronet, détecte les menaces et avertit les utilisateurs dès qu'ils sont sur le point de se connecter à des réseaux sans fil non sécurisés.
- La technologie BUFFERZONE® 3 isole les menaces en ligne avant qu'elles n'infectent l'ensemble de l'entreprise.
- Lenovo Endpoint Management, optimisé par MobileIron®, offre un moyen simple et sécurisé d’unifier la sécurité du cloud et des points de terminaison sur plusieurs périphériques.

ThinkShield de Lenovo protège les données des utilisateurs
- La technologie de persistance Absolute® fournit aux administrateurs informatiques une connexion bidirectionnelle fiable à tous leurs périphériques afin qu'ils puissent sécuriser les points finaux, évaluer les risques, appliquer à distance les mesures de sécurité aux périphériques des employés et réagir aux incidents de sécurité.
- Une fois que les périphériques ont atteint la fin de leur cycle de vie, Lenovo sécurise les données potentiellement sensibles en effaçant les disques et en recyclant les pièces en toute sécurité.
- Lenovo propose un service payant Keep Your Drive qui garantit que les informations sensibles ne quittent jamais les mains des clients.


REF.:

jeudi 15 août 2019

De nouvelles failles d’exécution spéculative découvertes dans les processeurs Intel




De nouvelles failles d’exécution spéculative découvertes dans les processeurs Intel

Sécurité : Des chercheurs ont découvert de nouvelles failles liées aux mécanismes d’exécution spéculative dans les processeurs Intel. Cette nouvelle faille contourne les mesures de protection mises en place suite à la découverte de Meltdown et Spectre.

Les chercheurs à l’origine de Meltdown et Spectre l’avaient expliqué : plus que de simples failles, c’était toute une nouvelle catégorie de vulnérabilité qu’ils avaient découverte. Pas étonnant donc que depuis, les failles reposant sur l’exécution spéculative se multiplient.
Aujourd’hui, c’est au tour des chercheurs de Bitdefender de présenter leurs vulnérabilités à l’occasion d’une conférence donnée à la Black Hat, qui se déroule cette semaine à Las Vegas. La faille a reçu l’identifiant CVE-2019-1125, la vulnérabilité est également baptisée SWAPGSAttack par certains chercheurs du fait de son fonctionnement.
La faille vise en effet SWAPGS, un jeu d’instruction à destination des processeurs x86/x64 et permet à des attaquants d’accéder à des espaces mémoire réservés au kernel, ce qui ouvre la possibilité de fuites de données sensibles telles que des identifiants et clef de chiffrement normalement inaccessible à un simple utilisateur. La faille est décrite comme une variante de Spectre : le rapport publié par Red Hat au sujet de la vulnérabilité offre une description plus précise de son fonctionnement et de la façon dont elle exploite SWAPGS. L’attaque n’est pas exploitable à distance et demande l’accès physique à la machine visée pour être fonctionnelle.

L'exécution spéculative, péché originel d'Intel

Les chercheurs de Bitdefender ont présenté cette vulnérabilité à l’occasion de la Defcon, mais travaillent avec Intel depuis plus d’un an afin de corriger celle-ci. Intel a d’ailleurs communiqué au sujet de cette vulnérabilité, mais précise dans son message que les correctifs pour cette faille interviendront plutôt au niveau logiciel, principalement du côté des concepteurs de systèmes d’exploitation.
Microsoft a publié des correctifs pour cette vulnérabilité le 9 juillet 2019 et les autres concepteurs d’OS sont en train d’emboîter le pas : Google planche sur un correctif pour ChromeOS, et les différentes distributions Linux préparent ou publient des correctifs, bien que la faille de sécurité soit « plus difficile à exploiter » sur Linux selon les chercheurs de BitDefender. AMD a de son côté publié un communiqué indiquant que ses processeurs n’étaient pas affectés par cette faille de sécurité.
Les failles d’exécutions spéculatives affectent durement Intel, qui a largement utilisé cette technologie afin d’améliorer la vitesse de ses processeurs. Ces vulnérabilités restent difficiles à corriger et demandent les efforts conjoints de plusieurs acteurs afin de déterminer les meilleurs correctifs à appliquer. L’application de ces correctifs peut également avoir un impact sur les performances des processeurs, un sujet qui avait fait couler beaucoup d’encre à l’époque de Spectre et Meltdown.
Les chercheurs de BitDefender précisent néanmoins que cette fois-ci, l’application du correctif devrait avoir un impact négligeable sur les performances. Dans son avis, Red Hat précise néanmoins que certaines applications spécifiques, qui ont besoin d’accéder rapidement et fréquemment aux espaces mémoire utilisés par le kernel, pourraient voir leurs performances affectées par ce correcti



mercredi 20 juin 2018

AMD : 13 failles critiques découvertes dans les processeurs Ryzen et EPYC







Vous avez aimé les failles Spectre et Meltdown qui ont été révélées début 2018 et qui touchent, en gros, l'intégralité des processeurs en circulation, qu'ils soient pour ordinateur ou portable et qu'ils soient construits par AMD, Intel ou ARM ? Vous allez adorer les nouvelles failles critiques découvertes par les équipes de l'entreprise israélienne CTS Labs.

Petite particularité de ces nouvelles failles par rapport aux failles Spectre et Meltdown : elles ne concernent que les processeurs du fondeur AMD et, en particulier, les tous derniers, ceux basés sur l'architecture Zen.

Les processeurs AMD contiendraient 13 failles critiques


Alors que les patchs pour Spectre et Meltdown sont progressivement déployés par les fondeurs concernés, cette nouvelle découverte risque de faire encore des remous. Selon les experts de CTS Labs, qui ont dévoilé publiquement leurs découvertes, le 13 mars 2018, les processeurs basés sur l'architecture Zen d'AMD contiennent 13 failles critiques. Tous les processeurs, qu'ils soient destinés à des ordinateurs fixes, des ordinateurs portables ou à des serveurs.

Les chercheurs ont divisé les failles en quatre classes principales : trois failles sont appelées Masterkey et touchent de manière plus ou moins dangereuse l'ensemble des processeurs Ryzen et EPYC ; trois sont appelées Fallout et touchent exclusivement les processeurs EPYC (donc les processeurs dédiés aux serveurs) ; quatre failles sont appelées Ryzenfall et concernent essentiellement les processeurs Ryzen pour ordinateurs fixes ; deux failles appelées Chimera touchent également les ordinateurs fixes ; une dernière faille appelée PSP Privilege escalation concernent tous les processeurs.

ryzen 9


AMD n'a eu que 24 heures pour étudier les documents


CTS Labs confirme avoir pu exploiter ces failles 21 fois en fonction des processeurs ciblés et soupçonne 11 potentielles attaques non confirmées. Reste que l'ensemble des attaques nécessite un accès physique à la machine ciblée, ce qui laisse supposer que ces failles sont moins dangereuses que les failles Spectre et Meltdown dont il est prouvé qu'elles peuvent être utilisées à distance. Seule la faille Masterkey pourrait donner lieu à des attaques à distance.

Outre la découverte de ces failles, la révélation de CTS Labs soulève une nouvelle fois une polémique : l'entreprise israélienne n'aurait donné que 24 heures à AMD pour étudier les documents qui lui ont été fournis avant la publication des résultats des recherches. Un laps de temps extrêmement court qui pourrait en réalité mettre en danger les utilisateurs de processeurs AMD.

Combler une faille de ce type, comme l'ont montré les patchs pour Spectre et Meltdown, prend énormément de temps et ne manque pas de créer des problèmes de compatibilité. AMD n'aurait jamais pu réussir à créer un patch efficace en 24 heures, ce que CTS Labs ne pouvait pas ignorer.

samedi 9 juin 2018

Préparez-vous à une avalanche de nouvelles failles CPU !



Six autres failles matérielles seraient en cours d’analyse chez Intel. Quatre d’entre elles présenteraient un risque de sécurité élevé. Leur publication serait prévue d’ici au mois d’août.

 
 

dimanche 20 mai 2018

Intel : vers la fin des antivirus qui ralentissent nos PC ?


Intel entend utiliser ses processeurs et nouveaux outils pour booster les logiciels de cybersécurité de Microsoft et Cisco. La fin des ordinateurs qui tournent au ralenti à cause des antivirus ?

Intel veut retrouver la confiance des consommateurs et entend faire savoir que ses puces sont sécurisées. Le fondeur a dévoilé ce lundi deux nouvelles fonctionnalités conçues pour améliorer l'efficacité des ordinateurs exécutant des analyses antivirales. Intel a présenté ces initiatives au début de la conférence RSA, l'un des plus grands événements annuels de cybersécurité aux États-Unis.
Le premier, appelé analyse avancée de la mémoire, sera utilisé dans l'« Advanced Threat Protection », une partie de Windows Defender de Microsoft qui recherche les attaques difficiles à détecter lorsqu'elles se produisent sur un système informatique. Le deuxième outil Intel, appelé « Advanced platform telemetry », accélère les programmes de sécurité qui s'exécutent sur la technologie réseau et qui seront utilisés par Cisco.

Des initiatives pour rassurer les consommateurs

L'annonce, qui, selon Intel, fait partie du premier engagement du PDG Brian Krzanich en matière de sécurité, survient au moment où l'entreprise se remet après la découverte de défauts de conception de ses puces. Des défauts qui mettent en danger les ordinateurs, téléphones, les tablettes et les serveurs en Cloud. Ces défauts, révélés pour la première fois en janvier dernier, ont affecté des centaines de millions de puces.
Désormais, Intel entend rendre votre ordinateur plus sûr et multiplie ainsi les initiatives en matière de sécurité pour ses puces. Rick Echevarria, vice-président et directeur général du groupe de logiciels et services de la division sécurité de la plateforme d'Intel, a déclaré lundi dans un communiqué que « le paysage de la cybersécurité évolue constamment avec des menaces émergentes, ce qui signifie que nous devons être vigilants dans la fourniture de solutions qui protègent les clients et leurs données ».
Intel a beaucoup à prouver, et son annonce a pour but de donner confiance dans la sécurité de ses puces.

Des antivirus qui entament moins les performances ?

Windows et Cisco seront les premiers à utiliser les nouvelles fonctions de sécurité d'Intel. Premier aspect bienvenu de ces nouveaux outils, la promesse d'accélérer les ordinateurs. Les utilisateurs se plaignent régulièrement des programmes de cybersécurité, comme les antivirus, source de ralentissent des ordinateurs. Intel a déclaré que l'analyse avancée des logiciels n’utiliserait désormais que 2 % de la puissance de calcul de l'ordinateur. Soit une baisse d'environ 20 %, selon l'entreprise.
Les logiciels de sécurité de Microsoft et Cisco qui bénéficieront de ces améliorations ne fonctionneront pas sur votre PC, du moins dans un premier temps, mais ils seront intégrés dans des machines et serveurs qui stockent et utilisent vos données personnelles.
Concernant les PC grand public, le programme Intel Security Essentials standardise les différentes façons dont les puces Intel assurent déjà la sécurité des systèmes pour les processeurs Core, Xeon et Atom. Aussi, les fabricants de logiciels qui veulent tirer profit de ces nouvelles fonctions de sécurité n'auront pas à changer la façon dont ils conçoivent un programme, ce qui en théorie devrait accélérer le déploiement de ces nouveaux outils pour le consommateur lambda.

REF.:

lundi 5 février 2018

Intel : Nouvelles inquiétudes sur la sécurité des modules AMT d'Intel

Faille dans AMT : nouvelles inquiétudes sur la sécurité des modules Intel

Sécurité : Une nouvelle vulnérabilité affectant les processeurs Intel a été découverte la semaine dernière par les chercheurs de la société F-Secure. Celle-ci affecte plus spécifiquement les modules Active Management Technology et permet à un attaquant de prendre le contrôle de la machine.

Spectre et Meltdown ont attiré beaucoup d’attention sur les processeurs Intel en début de mois. Mais le fondeur ne semble pas encore tiré d’affaire : vendredi, la société F-Secure publiait ainsi un rapport détaillant une nouvelle vulnérabilité présente au sein des processeurs Intel et plus particulièrement au sein des modules AMT embarqués par certains modèles de processeurs.

Les modules AMT d’Intel ont retenu l’attention de nombreux chercheurs en sécurité au cours des dernières années. En effet, ces modules installés par Intel sur certains processeurs constituent un motif d’inquiétude pour certains administrateurs. AMT est un module utilisé pour la prise de contrôle à distance de machines Intel. Celui-ci embarque plusieurs logiciels et outils, tels que des fonctions de connexion au réseau, d’accès à la mémoire de la machine ou des différents équipements branchés, et peut permettre d’accéder à la machine en contournant les mots de passe mis en place au niveau du Bios ou de l’OS, AMT étant accessible au démarrage de la machine.
C’est sur ce principe que se base la vulnérabilité découverte par F-Secure : AMT dispose d’un mot de passe par défaut, qui peut permettre à un attaquant disposant d’un accès physique à la machine d’accéder à AMT et de mettre en place une porte dérobée sur la machine ; il ne s’agit pas d’une faille issue d’un bug, comme c’était le cas pour Meltdown et Spectre, mais d’un problème de configuration du module. Comme l’explique F-Secure, les modules AMT sont généralement laissés avec le mot de passe par défaut « admin » qui est rarement modifié par l’utilisateur.

Intel dans le viseur des chercheurs

« En changeant le mot de passe par défaut, en autorisant l’accès à distance et en configurant l’accès à distance AMT pour ne pas demander l’autorisation de l’utilisateur, un cybercriminel peut compromettre la machine », expliquent les chercheurs de F-Secure. La technique nécessite néanmoins d’avoir un accès physique à la machine, mais une utilisation détournée de l’outil d’Intel peut permettre à un attaquant de mettre en place une porte dérobée sur la machine de la cible. Du fait de son utilisation principale, la prise de contrôle à distance à des fins d’administration, AMT embarque toutes les fonctionnalités logicielles nécessaires pour faire office de porte dérobée sur la machine cible. Une fois la configuration mise en place, l’attaquant pourra profiter de cet accès dérobé afin d’espionner l’activité de l’utilisateur sur la machine à partir d’un ordinateur connecté sur le réseau local ou à distance.
Difficile donc de comparer directement ce problème aux failles Meltdown et Spectre, qui relèvent d’un comportement non désiré. Ici, AMT fonctionne comme prévu par Intel. Le défaut provient d’un souci de configuration et de connaissance de ce module, dont les mots de passe par défaut ne sont pas changés par les constructeurs et administrateurs. Intel ne s’y trompe d’ailleurs pas : interrogés par Zdnet.com le porte-parole d'Intel déclare « Nous remercions la communauté des chercheurs en sécurité d’avoir remis en avant le fait que certains constructeurs n’ont pas configuré leurs systèmes afin de protéger correctement le module AMT. » Le constructeur en profite pour indiquer qu’un guide de configuration est disponible pour ceux qui souhaiteraient s’assurer que le module AMT présent sur leur machine n’est pas accessible pour un attaquant. Meilleure méthode pour parer une éventuelle attaque de ce type : changer le mot de passe par défaut du module AMT. Et garder un œil sur les accès physiques aux machines susceptibles d’être visées.

REF.:

vendredi 2 février 2018

Comment vérifier la santé du processeur de l’ordinateur




Le processeur de l’ordinateur est le coeur de l’ordinateur et donc un composant très important.
Il peut arriver parfois que des problèmes se posent sur ce dernier. Voici comment vérifier la santé de son processeur.

Introduction

Les processeur effectuent les calculs nécessaires aux fonctionnement des logiciels.
Lorsque ce dernier ne fonctionne pas correctement, l’ordinateur peut ne pas démarrer ou provoquer des plantages d’application ou BSOD (écran bleu de la mort) sur Windows.
Pour connaître le type de processeur sur votre ordinateur, suivre la page : 5 méthodes pour connaître la configuration matérielle (CPU, Processeur, mémoire, etc)
Il est assez rare que le composant en lui même tombe en panne. Les problèmes rencontrés sont plutôt des problèmes de refroidissements du composant électronique.
La température du processeur donc un des éléments qu’il faut suivre et vérifier régulièrement.

La température du processeur

Un processeur bien ventilé et qui fonctionne à une vitesse nominative est d’environ 45 à 55 degrés.
Des températures supérieures à plus de 65 degrés, on peut considérer que des problèmes de refroidissement se posent.
La surchauffe nuit aux performances et à la vitesse du processeur et donc de l’ordinateur, à partir d’une certaines températures plus de 80 degrés, vous pouvez rencontrer des plantages d’applications et de Windows.
Pour mesure la température du processeur, suivez noter article dédié : Tutoriel temperature de votre ordinateur

IntelBurn Test

L’application IntelBurn Test est stress pour le processeur afin de vérifier comment se comporte ce dernier à plein régime.
Il faut donc avant bien vérifier la température du processeur dans un fonctionnement normal.
Ensuite, vous pouvez utiliser IntelBurn Test pour tester la température du processeur et la stabilité pendant 10 min.
Notez que siv ous rencontrez des plantages, cela peut aussi être dû à la mémoire RAM : Memtest : vérifier l’état de ses barrettes de mémoire RAM


Intel Processor Diagnostic tool

Intel fournit un utilitaire qui permet de diagnostiquer les processeurs Intel : Intel Processor Diagnostic tool
Il est donc impératif de n’utiliser cette application seulement sur des ordinateurs avec des processeurs Intel.
Pour connaître le type de processeur présent sur votre ordinateur, suivez le guide :  5 méthodes pour connaître la configuration matérielle (CPU, Processeur, mémoire, etc)
Vous pouvez télécharger ce dernier depuis ce lien : Télécharger Intel Processor Diagnostic tool
L’installation n’est pas du tout complexe…
Comment vérifier la santé du processeur de l'ordinateur
Il est possible que l’outil vous propose d’installer des redistributable Visual C++ 2015 ainsi que OpenCL.
Laissez-vous guider afin d’installer tous le packages nécessaires.
Comment vérifier la santé du processeur de l'ordinateur
Une fois l’installation terminée, vous pouvez démarrer Intel Processor Diagnostic tool.
Lors du premier démarrage, il faut accepter les conditions d’utiliation en cliquant sur le bouton Accept Continue.
Comment vérifier la santé du processeur de l'ordinateur
Ce dernier va effectuer une série de test et vous indiquer si ces derniers ont réussi.
Dans le cas où vous avez installé l’outil sur un ordinateur avec un processeur AMD, le test Genuine Intel ne passera pas et l’outil ne poursuivra pas le reste des tests du processeur.
Comment vérifier la santé du processeur de l'ordinateur
Sinon les testes se poursuivent jusqu’à se terminer.
Comment vérifier la santé du processeur de l'ordinateur
Si tout va bien, tous les testes doivent passer en Pass vert, sinon vous aurez un Fail rouge.
Comment vérifier la santé du processeur de l'ordinateur
Il faut donc identifier quel test et donc le problème qui se pose.
Pour vous aider, vous pouvez exporter le rapport pour le donner à un tiers depuis le Menu File puis View Results File
Le rapport de Intel Processor Diagnostic tool s’ouvre alors sur le bloc-note.
Comment vérifier la santé du processeur de l'ordinateur

Autres lien autour de la vérification du matériel de son ordinateur

 REF.:

CPU : Vulnérabilités Meltdown et Spectre visant les processeurs Intel





Deux vulnérabilités nommées Meltdown et Spectre affectent les processeurs Intel depuis 1995.
Ces vulnérabilités peuvent permettre la lecture de données en mémoire et potentiellement voler des informations comme des mots de passe.
Plusieurs applications sont vulnérables dont Windows.
Voici quelques informations autour de ces vulnérabilités Meltdown et Spectre.

Que sont les vulnérabilités Meltdown et Spectre ?

Ce sont des vulnérabilités matérielles importantes sur les processeurs Intel.
Ces bugs de sécurité permettent l’accès à des zones de mémoires utilisées par des applications en cours de fonctionnement. Il ne s’agit pas d’un accès directe à la mémoire RAM mais plutôt d’une déduction du contenu de celle-ci à travers a mémoire en cache sur le processeur. Ainsi un malware pourrait lire des informations stockées par les applications dont des mots de passe.
Ces vulnérabilités tirent partie de la fonction d’exécution spéculative sur les processeur Intel, de ce fait, il s’agit de de vulnérabilités de canal latéral execution speculative.
Cette fonction tente de prédire le prochain calcul du processeur selon les actions effectuées par les applications et d’effectuer le calcul en avance afin d’optimiser les performances.
Pour un aperçu du principe de ces vulnérabilités, lire le paragraphe suivant.
Mozilla confirme que la vulnérabilité peut-être exploitée par des sites internet en utilisant JavaScript.
Nvidia pense, pour le moment, que leurs processeurs ne sont pas concernés par ces bugs de sécurité.
Certains processeurs AMD peuvent être vulnérables à Spectre.

La confusion autour des processeurs AMD s’explique par les déclarations initiales de l’entreprise une semaine auparavant. Celle-ci affirmait que « AMD n'est pas sensible aux trois variantes ». En d'autres termes, certaines puces d'AMD sont vulnérables à deux failles - mais simplement pas les trois.
Selon Papermaster, AMD estime que la menace de Spectre Variante 1 « peut être contenue avec un correctif de système d'exploitation (OS) et nous travaillons avec les fournisseurs de systèmes d'exploitation pour résoudre ce problème. »

Des vulnérabilités importantes et cruciales

Vulnérabilités Meltdown et Spectre visant les processeurs Intel
Meltdown brise l’isolation entre les applications utilisateurs et le système d’exploitation.
Spectre brise l’isolation entre les différentes applications. Un attaquant peut forger un programme qui peut potentiellement lire les données en mémoire des applications en cours de fonctionnement.
Cette dernière vulnérabilité est plus difficile à exploiter mais plus difficile à mitiger.

Ces vulnérabilités Spectre et Meltdown touchent les ordinateurs personnels, mobiles et tout appareil utilisant des processeurs intel.
De ce fait, cette vulnérabilité est importante d’un point de vue sécurité puisqu’elle vise un éventail large de matériel informatique.
Les différents éditeurs se doivent de publier des correctifs concernant ces deux vulnérabilités.
Les numéros des alertes de sécurité : CVE-2017-5753, CVE-2017-5715 (Spectre), et CVE-2017-5754 (Meltdown).
Enfin, un site informatif regroupant toutes les informations a aussi été créé : https://meltdownattack.com/

Comment fonctionnent ces vulnérabilités ?

Voici dans les grandes lignes, le fonctionnement de l’attaque et des vulnérabilités Meltdown et Spectre.

La vulnérabilité Meltdown

L’accès à la mémoire RAM est un peu plus lente que le processeur.
Afin de ne pas être handicapé, les constructeurs de processeur ont créé une mémoire cache sur le processeur qui contient les informations les plus régulières.
Le but est ainsi de ne pas avoir à accéder à la mémoire RAM est ainsi gagner en vitesse.
Le système d’exploitation prévoit de ne pas donner accès à certaines zones de mémoire RAM, l’application A ne peut pas accéder à la zone mémoire de l’application B.
Toutefois, le processeur lui a accès à la zone entière de mémoire et peut filtrer certaines accès par la suite.
La vulnérabilité Meltdown tire partie de ce fonctionnement et de la fonction speculative execution qui a accès à toute la zone mémoire sans aucun filtrage.
Le but ici est de savoir si une information se trouve dans le cache du processeur pour en déduire son contenu.
Imaginons le programme suivant :
  1. Dessinez un texte (ou une publicité ou ce que vous voulez) sur l’écran
  2. On lit et écrit des informations dans le cache mémoire afin que celui-ci soit remplit
  3. On lit la première lettre du mot de passe Wifi qui est en mémoire du système d’exploitation
  4. Si cette première est un « S », on lit le premier pixel en mémoire de notre texte à l’écran
Théoriquement, l’étape 3 devrait nous être interdite par la CPU puisque le programme n’est pas censé avoir accès à la zone mémoire contenant le mot de passe Wifi.
Seulement la fonction spéculative du processeur va elle, exécuter ces étapes 3 et 4 pour stocker les informations dans le cache du processeur.
A partir de là, on peut imaginer un second programme qui va effectuer les opérations suivantes :
  1. On lit le premier pixel de notre texte
  2. On calcule le temps que l’action a prise
Si l’exécution est rapide, on peut en déduire que l’information se trouve dans le cache du processeur et donc que la première lettre du mot de passe Wifi est bien un « S ».
On peut alors répéter l’opération pour en déduire le mot de passe Wifi entier.

La vulnérabilité Spectre

Spectre est assez similaire à Meltdown mais plus difficile à exploiter mais vise tous les processeurs modernes.
Si la vulnérabilité Meltdown permet de récupérer le mot de passe Wifi à travers une publicité ou texte à l’écran… Spectre lui donne la possibilité par exemple de lire des informations d’un onglet du navigateur internet… ce qui peut poser des problèmes dans le cas où vous visitez le site de votre banque.
La protection dans le navigateur internet est implémenté, en quelque sorte, de la manière suivante :
char accessMemory(position)
{
   if(position >= end)
       throw error();
   return memory[position];
}
On s’assure que la publicité ne peut lire au delà de sa fin de zone de mémoire (end) à travers la condition if, si c’est le cas, une erreur est renvoyée.
Encore une fois ici, la fonction speculative du processeur va au delà, et tout comme Meltdown, on peut tenter de s’assurer que l’information est en dans le cache du processeurs en utilisant la condition suivante.
if(accessMemory(100000000)=='B')
 x=readPixel(1);
et donc, tout comme Meltdown, on mesure le temps pour accéder au premier pixel.
Si la réponse est rapide, nous savons qu’il y a un B à la position 100000000.
Cette vulnérabilité permet donc d’outrepasser toutes les protections comme les bac à sables et accéder à des informations interdites.
Enfin, l’attaque peut-être menée en parallèle afin de trouver plus rapidement les informations mémoire.
source : SPECTRE & MELTDOWN: TAPPING INTO THE CPU’S SUBCONSCIOUS THOUGHTS

Les correctifs contre Spectre et Meltdown

Cette vulnérabilité a été trouvée par Google et publiée le 3 Janvier 2018.
Beaucoup d’éditeurs (dont Google) n’ont pas encore publiés de correctifs.

Windows

Microsoft a publié un bulletin de sécurité concernant Windows : KB4073119 et KB4072699 (pour les Windows Serveur).
Les correctifs corrigent le bug Meltdown et une partie des bugs Specture.
Pour ce dernier, une mise à jour CPU-firmware peut-être nécessaire.
Les bulletins de sécurité :

Cas du KB4056894 avec les antivirus et AMD

Microsoft indique aussi que ces correctifs peuvent être incompatible avec certains antivirus et causer des BSOD.
Ces mises à jour ne seront pas proposées sur les Windows où ces antivirus sont installés.
Un bulletin de compatibilité a été publié par Microsoft, toutefois l’éditeur de l’antivirus peut forcer la mise à jour en créant une clé dans le registre de Windows spécifique.
Sur Windows 7, la mise à jour peut provoquer un BSOD STOP 0x000000c4 après la mise à jour KB4056894 au démarrage.

Android

Un bulletin de sécurité lié aux vulnérabilités Meltdown et Spectre a été publié pour les systèmes Android : https://source.android.com/security/bulletin/2018-01-01
Notez que les smartphone Samsung n’utilisent pas de processeur Intel et ne sont donc pas touchées par ces vulnérabilités.

GNU/Linux

La plupart des distributions Linux sont touchées par ces vulnérabilités.
Suivez les mises à jour habituelles de vos distributions.
Quelques bulletins :
Il semblerait que pour le patch d’Ubuntu, des problèmes de démarrage de GNU/Linux ont été signalés par la suite.

Mozilla Firefox

Mozilla indique que la version 57 de Firefox (publié en Novembre) possède des contre-mesures.
On ne sait pas encore quand les correctifs seront disponibles.

Google Chrome

Ces vulnérabilités seront corrigées sur Chrome 64 autour du 23 Janvier.
Il est toutefois possible d’activer des contre-mesure sur Chrome 63.
Pour cela,
  • Ouvrez un nouvel onglet dans l’adresse copier/collez : chrome://flags
  • Dans la liste cherchez « Strict site isolation » puis cliquez sur Activez.

Vmware

Les produits VMWare ne seraient vulnérables qu’à Spectre : https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html
  • ESXi 5.5, 6.0, et 6.5 (il faut installer les patchs sivants : ESXi550-201709101-SG, ESXi600-201711101-SG, ESXi650-201712101-SG; ESXi 5.5)
  • Workstation 12.x (mettre à jour vers 12.5.8)
  • Fusion 8.x (mettre à jour vers 8.5.9)

NVidia

La mise à jour des pilotes des cartes graphiques Nvidia GeForce driver 390.65 corrige la vulnérabilité Spectre.

EDIT – Patchs et baisse des performances

Quelques tweets avaient signalés des baisses de performances après l’applications de patchs.
Voici le résultat des tests effectuées par Microsoft.
  • Sur Windows 10 avec des processeurs récents (PC 2016 à base de Skylake, Kabylake), une petite baisse des performances ont été détectés mais les utilisateurs ne devraient pas s’en rendre compte.
  • Sur Windows 10 avec des processeurs silicons plus anciens (PC de 2015 en Haswell et plus anciens), on note une baisse significative des performances.
  • Sur Windows 8 et Windows 7 (PC de 2015 en Haswell et anciens CPU), les utilisateurs ne devraient se rendre compte de rien.
  • Windows Serveur, sur les applications avec IO intensifs, une baisse des performances devraient être constatée si vous activez l’isolation et mitigation de codes inconnus. Microsoft recommande donc d’évaluer les risques de sécurité et la balance autour des performances.
source:  Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
D’autres benchmark sont disponibles notamment celui-ci sur le jeu BattleField :
Impact de la mise à jour Windows Meltdown sur les performances

EDIT – Vulnerabilités déjà exploitées ?

D’après ce tweet, ces vulnérabilités sont déjà exploitées par un malware qui a permis de récupérer plus de 100k mots de passe de compte en ligne.





REF.: