Intel : une faille de type Spectre de nouveau trouvée, l'hyperthreading à désactiver si besoin

Le par  |  48 commentaire(s) Source : Tom's Hardware
logo-intel

Une nouvelle vulnérabilité a été identifiée dans les processeurs Intel, affectant toutes les générations sauf 8ème et 9ème.

Les processeurs Intel d'ancienne génération ne sont pas à l'abri de MDS (Microarchitectural Data Sampling), une technique d'attaque sur l'exécution spéculative dans la lignée de la faille Spectre qui a demandé des correctifs logiciels (avec un impact plus ou moins fort sur les performances) et matériels sur les nouvelles générations de processeurs.

Intel Core i5 logo proSi les processeurs de 8ème et 9ème génération disposent des protections adéquates pour s'en prémunir, ce n'est pas le cas pour les processeurs plus anciens d'Intel.

MDS permet d'accéder à aux informations (des URL, des mots de passe) de certains buffers du microprocesseur alors qu'ils devraient être protégés par la microarchitecture.

Une solution pour s'en prémunir consiste à vider les buffers à chaque passage d'une application à une autre ou même d'un process Windows à un autre appartenant à un domaine de sécurité inférieur, avec forcément un impact sur les performances et la réactivité des systèmes.

Des modifications logicielles en profondeur dans la microarchitecture du processeur mais aussi au niveau de l'OS et de l'hyperviseur sont nécessaires, mais la désactivation de l'hyperthreading peut constituer une première réponse, avec un impact variable sur les performances des systèmes en fonction de leur charge de travail.

Intel en est donc à évoquer la désactivation de l'hyperthreading dans certains cas, en fonction des besoins en sécurité. La recommandation est faite du bout des lèvres et ne doit pas être pratiquée de façon systématique car elle dépend du niveau de sécurité requis par les activités de ses clients et de la nécessité de maintenir un bon niveau de sécurité au détriment éventuel des performances.

Le site Tom's Hardware note tout de même que Google se sent concerné et annonce déjà la désactivation de l'hyperthreading par défaut dans Chrome OS 74 tandis que la prochaine évolution Chrome OS 75 ajoutera des remèdes complémentaires.

L'un des problèmes restera la mise à disposition des microcodes correctifs sur des microarchitectures vieillissantes, ce qui dépendra des fabricants, avec le risque de laisser la brèche ouverte pour bon nombre de machines.

Complément d'information

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2063137
Désactiver l'hyperthreading ?

Plutôt désactiver Internet pour ma part ...
Le #2063138
Ou alors on parle de l'hyper-threading uniquement pour le navigateur ?

Dans ce cas si, ok pourquoi pas.
Le #2063140
Ouf, j'ai pu passer en 8ieme gen "gratuitement"... et de toute façon j'suis pas d'hyper-threading sur ma bécane principale.

Par contre, ça en fait des failles ces dernières années... Même si ce n'est pas tant que ça, au fond, c'est toujours plus que zéro.

Après on comprend peut être que ça à été corrigé (sans faire exprès) sur les deux dernière gen.
Le #2063146
FRANCKYIV a écrit :

Ou alors on parle de l'hyper-threading uniquement pour le navigateur ?

Dans ce cas si, ok pourquoi pas.


Je pense que oui ...

Par contre pour nos encodages vidéos, il faut le garder, le gain reste très important !
Le #2063149
FRANCKYIV a écrit :

Ou alors on parle de l'hyper-threading uniquement pour le navigateur ?

Dans ce cas si, ok pourquoi pas.


Non c'est l'hyperthreading au niveau du BIOS pour être 100% sur car tout programme peut accéder à la mémoire d'un autre, même si le programme le plus à risque est effectivement le navigateur qui exécute par essence du code distant.

Tiens ça me rappelle un truc:

https://www.ginjfo.com/actualites/composants/processeurs/lhyper-threading-dintel-est-un-danger-selon-le-fondateur-dopenbsd-20180828

Qui n'était autre que l'explication pour ça :

https://www.mail-archive.com/source-changes@openbsd.org/msg99141.html

Les Kernels ont été patchés : https://www.phoronix.com/scan.php?page=news_item&px=MDS-Kernel-Fixes

Et les distribs récentes aussi ou devraient l'être bientôt (comme tu es sous Debian): https://security-tracker.debian.org/tracker/CVE-2019-11091

Phoronix indique dans l'article que des benchs sont en cours, et qu'il faut s'attendre à 10% de perte.

Je commence a croire que le meilleur patch n'est pas de désactiver l'hyperthreading, mais plutôt de passer sur un proc AMD
Sachant qu'en plus c'est plus compétitif en termes de tarifs, et que 8 coeurs physiques font toujours mieux que 4 Hyperthreadés.
Le #2063156
Asus ont toujours pas pondu de microcode via bios update de mon ancien P8Z77-V avec 3770K... Aucune MAj depuis 2013... Doit y en avoir en maudit du matos à risque encore en fonction...
Le #2063157
Justement, j'ai laissé mes Windows faire leur vie, se mettre à jour, etc. Fallait bien se douter qu'ils allaient réactiver tous leurs micro-codes dégueulasses.
Mes VM se sont mises à ramer avec le temps jusqu'à atteindre des perf non acceptables.
Du coup j'ai repassé un coup de inspectre.exe sur le host et les VM pour tout dégager : BAM ! Tout bombarde comme au premier jour. La différence est impressionnante.
Le #2063159
Truffor a écrit :

Justement, j'ai laissé mes Windows faire leur vie, se mettre à jour, etc. Fallait bien se douter qu'ils allaient réactiver tous leurs micro-codes dégueulasses.
Mes VM se sont mises à ramer avec le temps jusqu'à atteindre des perf non acceptables.
Du coup j'ai repassé un coup de inspectre.exe sur le host et les VM pour tout dégager : BAM ! Tout bombarde comme au premier jour. La différence est impressionnante.


Ah ben j'ai justement remarqué que mes VM (VirtualBox) sous Windows 10 (système en dur) étaient beaucoup plus longues que lorsque je les exécute sous Debian (système en dur) ...
Le #2063163
il n'y a pas de recours groupé contre Intel au moins aux États-Unis ? Parce que là, clairement, entre le risque et la baisse des performances, il y a vice caché qui nécessiterait une énorme indemnisation. Vu les bénéfices monstrueux d'Intel, il y aurait de quoi lui retirer une à deux années de bénéfices. Le capitalisme, c'est ça, c'est accepté ses responsabilités.
Le #2063165
Truffor a écrit :

Justement, j'ai laissé mes Windows faire leur vie, se mettre à jour, etc. Fallait bien se douter qu'ils allaient réactiver tous leurs micro-codes dégueulasses.
Mes VM se sont mises à ramer avec le temps jusqu'à atteindre des perf non acceptables.
Du coup j'ai repassé un coup de inspectre.exe sur le host et les VM pour tout dégager : BAM ! Tout bombarde comme au premier jour. La différence est impressionnante.


Du coup tu as désactivé les protections avec Inspectre ?
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme