Meltdown et spectre

Le
Yannix
Bonjour,

Jean-Jacques Quisquater n'y va pas par quatre chemins:

https://www.latribune.fr/opinions/tribunes/meltdown-et-spectre-scandale-technologique-ou-fatalite-763999.html

Citations:

"Pour prendre la mesure du spectacle qui se déroule sous nos yeux, il
faut comprendre la nature de ces failles pour en tirer les leçons car
d'autres vont suivre."

[]

"Il s'agit d'un bug matériel : les spécialistes de sécurité software ont
le beau rôle en expliquant qu'ils ont toujours pris pour acquis que, au
niveau matériel, tout était isolé et sécurisé. Ce n'est pas leur faute,
disent-ils.

Ce faisant, ils nient les attaques corrélées matérielles et logicielles,
dont la combinaison peut mettre à plat deux couches parfaitement
sécurisées en isolation. Enfin, on sait depuis longtemps que
l'optimisation des performances des microprocesseurs a un impact sur la
configuration matérielle. Or, les algorithmes de cryptographie ne sont
pas considérés comme sûrs, si, au niveau du microprocesseur, des
configurations matérielles sont modifiées, comme le font Meltdown et
Spectre.

Il faut plutôt craindre la boîte de Pandore : il y aura d'autre
déconvenues dès lors qu'on sait qu'au niveau microprocesseur se passent
des choses que les programmes au-dessus considéraient comme impossibles.
C'est très mauvais pour l'IoT (l'Internet des objets) qui reposera
amplement sur ces couches matérielles."


Ben moi, je sens l'odeur de pisse dans les bottes des RSI ces derniers
temps, hein ? :o)

A+

X.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre www.aribaut.com
Le #26458897
Le 12/01/2018 à 14:03, Yannix a écrit :
Bonjour,
Jean-Jacques Quisquater n'y va pas par quatre chemins:
https://www.latribune.fr/opinions/tribunes/meltdown-et-spectre-scandale-technologique-ou-fatalite-763999.html
Citations:
"Pour prendre la mesure du spectacle qui se déroule sous nos yeux, il
faut comprendre la nature de ces failles pour en tirer les leçons car
d'autres vont suivre."
[...]
"Il s'agit d'un bug matériel : les spécialistes de sécurité software ont
le beau rôle en expliquant qu'ils ont toujours pris pour acquis que, au
niveau matériel, tout était isolé et sécurisé. Ce n'est pas leur faute,
disent-ils.
Ce faisant, ils nient les attaques corrélées matérielles et logicielles,
dont la combinaison peut mettre à plat deux couches parfaitement
sécurisées... en isolation. Enfin, on sait depuis longtemps que
l'optimisation des performances des microprocesseurs a un impact sur la
configuration matérielle. Or, les algorithmes de cryptographie ne sont
pas considérés comme sûrs, si, au niveau du microprocesseur, des
configurations matérielles sont modifiées, comme le font Meltdown et
Spectre.
Il faut plutôt craindre la boîte de Pandore : il y aura d'autre
déconvenues dès lors qu'on sait qu'au niveau microprocesseur se passent
des choses que les programmes au-dessus considéraient comme impossibles.
C'est très mauvais pour l'IoT (l'Internet des objets) qui reposera
amplement sur ces couches matérielles."
Ben moi, je sens l'odeur de pisse dans les bottes des RSI ces derniers
temps, hein ? :o)

Moi je ne trouve pas ça si inquiétant que cela, si personne n'a exploité
ces failles sur ces 10/15 dernières années, pourquoi s'inquiéter
outre-mesure ?
Ok il faut ne pas laisser la faille maintenant que tout le monde le
sait, mais le fait qu'il y ait des failles qui restent inexploités
longtemps (par méconnaissance ou parce que c'est trop compliqué à
exploiter) c'est rassurant je trouve.
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Yannix
Le #26458904
Le 12/01/2018 à 14:32, Pierre www.aribaut.com a écrit :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a exploité
ces failles sur ces 10/15 dernières années,

Hum, en es-tu bien sûr ? La NSA et ses alter-égos, tu crois qu'ils ont
roupillé depuis 15 ans ?
X.
--
Macron, je veux bien marcher dessus du pied gauche, ça porte bonheur.

Et voilà. J'étais sûr que ça allait déraper...


Forcément, ça glisse.
Jean-Pierre Kuypers
Le #26458905
In article (Dans l'article) Pierre www.aribaut.com wrote (écrivait) :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a exploité
ces failles sur ces 10/15 dernières années, pourquoi s'inquiéter
outre-mesure ?

Quelqu'un a écrit qu'il faut s'inquiéter outre mesure ?...
--
Jean-Pierre Kuypers
Veuillez exploiter les phrases dans leur con-
texte avant de mesurer sciemment.
Pierre www.aribaut.com
Le #26458912
Le 12/01/2018 à 14:36, Yannix a écrit :
Le 12/01/2018 à 14:32, Pierre www.aribaut.com a écrit :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a
exploité ces failles sur ces 10/15 dernières années,

Hum, en es-tu bien sûr ? La NSA et ses alter-égos, tu crois qu'ils ont
roupillé depuis 15 ans ?
X.

On s'est tous fait espionner pendant 15 ans ? V'là la somme
d'informations inutiles qu'ils doivent avoir aujourd'hui à traiter.
Des kilomètres de "lol mdr" sur msn, des tonnes de selfies et photos de
cuisine ou autres à traiter, la misère quoi ;)
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Pierre www.aribaut.com
Le #26458911
Le 12/01/2018 à 15:04, Pierre www.aribaut.com a écrit :
Le 12/01/2018 à 14:36, Yannix a écrit :
Le 12/01/2018 à 14:32, Pierre www.aribaut.com a écrit :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a
exploité ces failles sur ces 10/15 dernières années,

Hum, en es-tu bien sûr ? La NSA et ses alter-égos, tu crois qu'ils ont
roupillé depuis 15 ans ?
X.

On s'est tous fait espionner pendant 15 ans ? V'là la somme
d'informations inutiles qu'ils doivent avoir aujourd'hui à traiter.
Des kilomètres de "lol mdr" sur msn, des tonnes de selfies et photos de
cuisine ou autres à traiter, la misère quoi ;)

Je les plains quand même 15 ans d'espionnage de toute la population à
l'échelle mondiale, je ne sais pas qui peut lire et exploiter tout ça,
combien de "tu fé koa ?" et autres trucs inutiles dans le genre ils se
sont tapé à analyser ? C'est humain ça ou ça pourrit quelque part sur
des serveurs parce qu'on ne sait pas quoi en faire ?
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Jean-Pierre Kuypers
Le #26458915
In article (Dans l'article) Pierre www.aribaut.com wrote (écrivait) :
Je les plains quand même 15 ans d'espionnage de toute la population à
l'échelle mondiale, je ne sais pas qui peut lire et exploiter tout ça...

Chez Google, il n'y a personne qui lit toutes les pages Web et pourtant
on parvient à les indexer...
--
Jean-Pierre Kuypers
Veuillez exploiter les phrases dans leur con-
texte avant de plaindre sciemment.
Yannix
Le #26458921
Le 12/01/2018 à 14:58, Jean-Pierre Kuypers a écrit :
In article (Dans l'article) Pierre www.aribaut.com wrote (écrivait) :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a exploité
ces failles sur ces 10/15 dernières années, pourquoi s'inquiéter
outre-mesure ?

Quelqu'un a écrit qu'il faut s'inquiéter outre mesure ?...

Ben oui. Quisquater, qui est belge, certes, mais pas non plus le premier
venu (et loin de là!!), dit que si la couche matérielle est foireuse,
alors c'est foutu.
Pour exemple, si je crypte avec gnupg un email, la possibilité que ma
clef privée se retrouve en mémoire et soit capturée par un autre
programme en "user land" et exploitant la faille "spectre" est non-nulle !
X.
PS: https://www.youtube.com/watch?v=GiU2zinfotI
--
Macron, je veux bien marcher dessus du pied gauche, ça porte bonheur.

Et voilà. J'étais sûr que ça allait déraper...


Forcément, ça glisse.
Yves
Le #26458929
Le 12/01/2018 à 14:03, Yannix a écrit :
Bonjour,
Jean-Jacques Quisquater n'y va pas par quatre chemins:
https://www.latribune.fr/opinions/tribunes/meltdown-et-spectre-scandale-technologique-ou-fatalite-763999.html
Citations:
"Pour prendre la mesure du spectacle qui se déroule sous nos yeux, il
faut comprendre la nature de ces failles pour en tirer les leçons car
d'autres vont suivre."
[...]
"Il s'agit d'un bug matériel : les spécialistes de sécurité software ont
le beau rôle en expliquant qu'ils ont toujours pris pour acquis que, au
niveau matériel, tout était isolé et sécurisé. Ce n'est pas leur faute,
disent-ils.
Ce faisant, ils nient les attaques corrélées matérielles et logicielles,
dont la combinaison peut mettre à plat deux couches parfaitement
sécurisées... en isolation. Enfin, on sait depuis longtemps que
l'optimisation des performances des microprocesseurs a un impact sur la
configuration matérielle. Or, les algorithmes de cryptographie ne sont
pas considérés comme sûrs, si, au niveau du microprocesseur, des
configurations matérielles sont modifiées, comme le font Meltdown et
Spectre.
Il faut plutôt craindre la boîte de Pandore : il y aura d'autre
déconvenues dès lors qu'on sait qu'au niveau microprocesseur se passent
des choses que les programmes au-dessus considéraient comme impossibles.
C'est très mauvais pour l'IoT (l'Internet des objets) qui reposera
amplement sur ces couches matérielles."
Ben moi, je sens l'odeur de pisse dans les bottes des RSI ces derniers
temps, hein ? :o)
A+
X.


Moi j'ai un processeur avec 10000000000000000 milliards de transistors
Yannix
Le #26458994
Le 12/01/2018 à 16:27, Yves a écrit :
[...]
Moi j'ai un processeur avec 10000000000000000 milliards de transistors

Avec le mode protégé bien protégé ou pas ?
X.
MAIxxxx
Le #26459356
Le 12/01/2018 à 15:07, Pierre www.aribaut.com a écrit :
Le 12/01/2018 à 15:04, Pierre www.aribaut.com a écrit :
Le 12/01/2018 à 14:36, Yannix a écrit :
Le 12/01/2018 à 14:32, Pierre www.aribaut.com a écrit :
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a
exploité ces failles sur ces 10/15 dernières années,

Hum, en es-tu bien sûr ? La NSA et ses alter-égos, tu crois qu'ils
ont roupillé depuis 15 ans ?
X.

On s'est tous fait espionner pendant 15 ans ? V'là la somme
d'informations inutiles qu'ils doivent avoir aujourd'hui à traiter.
Des kilomètres de "lol mdr" sur msn, des tonnes de selfies et photos
de cuisine ou autres à traiter, la misère quoi ;)

Je les plains quand même 15 ans d'espionnage de toute la population à
l'échelle mondiale, je ne sais pas qui peut lire et exploiter tout ça,
combien de "tu fé koa ?" et autres trucs inutiles dans le genre ils se
sont tapé à analyser ? C'est humain ça ou ça pourrit quelque part sur
des serveurs parce qu'on ne sait pas quoi en faire ?

D'autant plus que la stéganographie/stéganophonie peut être totalement
indétectable si elle est noyée dans du bruit.
--
La folie blesse, le génie [du mal] tue
Publicité
Poster une réponse
Anonyme