Meltdown et spectre
Le
Yannix
Bonjour,
Jean-Jacques Quisquater n'y va pas par quatre chemins:
https://www.latribune.fr/opinions/tribunes/meltdown-et-spectre-scandale-technologique-ou-fatalite-763999.html
Citations:
"Pour prendre la mesure du spectacle qui se déroule sous nos yeux, il
faut comprendre la nature de ces failles pour en tirer les leçons car
d'autres vont suivre."
[]
"Il s'agit d'un bug matériel : les spécialistes de sécurité software ont
le beau rôle en expliquant qu'ils ont toujours pris pour acquis que, au
niveau matériel, tout était isolé et sécurisé. Ce n'est pas leur faute,
disent-ils.
Ce faisant, ils nient les attaques corrélées matérielles et logicielles,
dont la combinaison peut mettre à plat deux couches parfaitement
sécurisées en isolation. Enfin, on sait depuis longtemps que
l'optimisation des performances des microprocesseurs a un impact sur la
configuration matérielle. Or, les algorithmes de cryptographie ne sont
pas considérés comme sûrs, si, au niveau du microprocesseur, des
configurations matérielles sont modifiées, comme le font Meltdown et
Spectre.
Il faut plutôt craindre la boîte de Pandore : il y aura d'autre
déconvenues dès lors qu'on sait qu'au niveau microprocesseur se passent
des choses que les programmes au-dessus considéraient comme impossibles.
C'est très mauvais pour l'IoT (l'Internet des objets) qui reposera
amplement sur ces couches matérielles."
Ben moi, je sens l'odeur de pisse dans les bottes des RSI ces derniers
temps, hein ? :o)
A+
X.
Jean-Jacques Quisquater n'y va pas par quatre chemins:
https://www.latribune.fr/opinions/tribunes/meltdown-et-spectre-scandale-technologique-ou-fatalite-763999.html
Citations:
"Pour prendre la mesure du spectacle qui se déroule sous nos yeux, il
faut comprendre la nature de ces failles pour en tirer les leçons car
d'autres vont suivre."
[]
"Il s'agit d'un bug matériel : les spécialistes de sécurité software ont
le beau rôle en expliquant qu'ils ont toujours pris pour acquis que, au
niveau matériel, tout était isolé et sécurisé. Ce n'est pas leur faute,
disent-ils.
Ce faisant, ils nient les attaques corrélées matérielles et logicielles,
dont la combinaison peut mettre à plat deux couches parfaitement
sécurisées en isolation. Enfin, on sait depuis longtemps que
l'optimisation des performances des microprocesseurs a un impact sur la
configuration matérielle. Or, les algorithmes de cryptographie ne sont
pas considérés comme sûrs, si, au niveau du microprocesseur, des
configurations matérielles sont modifiées, comme le font Meltdown et
Spectre.
Il faut plutôt craindre la boîte de Pandore : il y aura d'autre
déconvenues dès lors qu'on sait qu'au niveau microprocesseur se passent
des choses que les programmes au-dessus considéraient comme impossibles.
C'est très mauvais pour l'IoT (l'Internet des objets) qui reposera
amplement sur ces couches matérielles."
Ben moi, je sens l'odeur de pisse dans les bottes des RSI ces derniers
temps, hein ? :o)
A+
X.
Moi je ne trouve pas ça si inquiétant que cela, si personne n'a exploité
ces failles sur ces 10/15 dernières années, pourquoi s'inquiéter
outre-mesure ?
Ok il faut ne pas laisser la faille maintenant que tout le monde le
sait, mais le fait qu'il y ait des failles qui restent inexploités
longtemps (par méconnaissance ou parce que c'est trop compliqué à
exploiter) c'est rassurant je trouve.
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Hum, en es-tu bien sûr ? La NSA et ses alter-égos, tu crois qu'ils ont
roupillé depuis 15 ans ?
X.
--
Forcément, ça glisse.
Quelqu'un a écrit qu'il faut s'inquiéter outre mesure ?...
--
Jean-Pierre Kuypers
Veuillez exploiter les phrases dans leur con-
texte avant de mesurer sciemment.
On s'est tous fait espionner pendant 15 ans ? V'là la somme
d'informations inutiles qu'ils doivent avoir aujourd'hui à traiter.
Des kilomètres de "lol mdr" sur msn, des tonnes de selfies et photos de
cuisine ou autres à traiter, la misère quoi ;)
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Je les plains quand même 15 ans d'espionnage de toute la population à
l'échelle mondiale, je ne sais pas qui peut lire et exploiter tout ça,
combien de "tu fé koa ?" et autres trucs inutiles dans le genre ils se
sont tapé à analyser ? C'est humain ça ou ça pourrit quelque part sur
des serveurs parce qu'on ne sait pas quoi en faire ?
--
http://zetrader.info & http://zetrader.fr
http://aribaut.com - http://zeforums.com
Chez Google, il n'y a personne qui lit toutes les pages Web et pourtant
on parvient à les indexer...
--
Jean-Pierre Kuypers
Veuillez exploiter les phrases dans leur con-
texte avant de plaindre sciemment.
Ben oui. Quisquater, qui est belge, certes, mais pas non plus le premier
venu (et loin de là!!), dit que si la couche matérielle est foireuse,
alors c'est foutu.
Pour exemple, si je crypte avec gnupg un email, la possibilité que ma
clef privée se retrouve en mémoire et soit capturée par un autre
programme en "user land" et exploitant la faille "spectre" est non-nulle !
X.
PS: https://www.youtube.com/watch?v=GiU2zinfotI
--
Forcément, ça glisse.
Moi j'ai un processeur avec 10000000000000000 milliards de transistors
[...]
Avec le mode protégé bien protégé ou pas ?
X.
D'autant plus que la stéganographie/stéganophonie peut être totalement
indétectable si elle est noyée dans du bruit.
--
La folie blesse, le génie [du mal] tue