En direct
Best of
Best of du 17 au 23 octobre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Stéphane Plaza se fait larguer pour un plus jeune; Laeticia Hallyday plaque Pascal; Sia adopte des adultes; Kylian Mbappé récupère l'ex de Neymar; Marlène Schiappa aime les hommes, Britney Spears profite

02.

Ce qui s'est vraiment passé au sein du ministère de l'Education nationale dans les jours ayant précédé la mort de Samuel Paty

03.

L‘épargne des Français va nous sauver de la ruine et financer l’argent magique de la relance : démonstration

04.

« Qu'est-ce que ce pays qui a perdu la tête ? » Clémentine Autain a fait mine d'oublier que c'est Samuel Paty qui avait perdu la sienne

05.

Islamisme : Yannick Jadot demande la fin de "toutes les complaisances" dans les mairies et au gouvernement

06.

Pascal Bruckner : « Le rire et la moquerie peuvent suffire face aux guérilleros de la justice sociale, pas face à la menace islamiste »

07.

Islamisme : pour Alain Juppé, "plus que du séparatisme, c'est un esprit de conquête"

01.

L‘épargne des Français va nous sauver de la ruine et financer l’argent magique de la relance : démonstration

02.

Stéphane Plaza se fait larguer pour un plus jeune; Laeticia Hallyday plaque Pascal; Sia adopte des adultes; Kylian Mbappé récupère l'ex de Neymar; Marlène Schiappa aime les hommes, Britney Spears profite

03.

Coronavirus : L’Etat freine-t-il des médicaments français qui pourraient être efficaces ?

04.

Comment les islamistes ont réussi à noyauter la pensée universitaire sur... l’islamisme

05.

La France maltraite ses profs et devra en payer le prix

06.

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

01.

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

02.

Non, la République ne peut pas protéger les musulmans de l’islam radical et voilà pourquoi

03.

François Hollande : "une partie minoritaire de la gauche a pu manifester une étrange tolérance envers l’islam"

04.

Professeur décapité : "je crains plus le silence des pantoufles que le bruit des bottes"

05.

Islamo-gauchisme : les lendemains ne chantent plus, c'est interdit

06.

Covid-19 : voilà ce que l’Etat n’a toujours pas compris sur son incapacité à enrayer la deuxième vague

ça vient d'être publié
pépites > Politique
Grand nettoyage
Islamisme : Yannick Jadot demande la fin de "toutes les complaisances" dans les mairies et au gouvernement
il y a 14 heures 34 min
rendez-vous > Science
Atlantico Sciences
Une galaxie naine est entrée en collision frontale avec la Voie lactée ; Osiris-Rex : la Nasa inquiète de perdre son précieux chargement prélevé sur l’astéroïde Bennu
il y a 17 heures 5 min
pépites > International
Tensions
Macron a rappelé à Paris l'ambassadeur de France en Turquie après l'insulte d'Erdogan
il y a 19 heures 7 min
décryptage > Economie
Les lignes bougent

Etats-Unis, Chine, Europe : quelle remondialisation ?

il y a 20 heures 42 min
décryptage > Culture
Atlantico Litterati

Hélène Cixous ou l’empire des nuances

il y a 20 heures 51 min
décryptage > Education
Signes de faiblesses et de lucidité

Ce qui s'est vraiment passé au sein du ministère de l'Education nationale dans les jours ayant précédé la mort de Samuel Paty

il y a 21 heures 13 min
décryptage > Société
Bonnes feuilles

Intégration et inégalités : comment la pensée décoloniale s’est propagée au sein des banlieues

il y a 21 heures 30 min
décryptage > Société
Bonnes feuilles

Survivre : la quête de l’espèce humaine face aux multiples menaces

il y a 21 heures 33 min
décryptage > Politique
LFI (La France Islamiste)

« Qu'est-ce que ce pays qui a perdu la tête ? » Clémentine Autain a fait mine d'oublier que c'est Samuel Paty qui avait perdu la sienne

il y a 21 heures 34 min
décryptage > Société
Dangers du siècle

Pascal Bruckner : « Le rire et la moquerie peuvent suffire face aux guérilleros de la justice sociale, pas face à la menace islamiste »

il y a 21 heures 38 min
pépites > Société
Les affaires ont repris
Paris : la délinquance a explosé depuis le déconfinement
il y a 15 heures 1 min
pépites > Politique
Menace qui pèse sur la France
Islamisme : pour Alain Juppé, "plus que du séparatisme, c'est un esprit de conquête"
il y a 18 heures 52 min
décryptage > Politique
Non-débat

Pourquoi l’usage abusif de la honte comme argument politique est en train d’asphyxier notre démocratie

il y a 20 heures 27 min
décryptage > International
Coup diplomatique

Du blé contre la reconnaissance d’Israël par le Soudan

il y a 20 heures 47 min
rendez-vous > Environnement
Atlantico Green
Climatisation à moindre impact : de nouvelles peintures pour bâtiments pourraient permettre de rafraîchir les immeubles
il y a 20 heures 58 min
décryptage > Histoire
Latrines

Des archéologues fouillent les restes de toilettes médiévales afin de mieux comprendre l'impact de notre régime alimentaire sur notre santé

il y a 21 heures 19 min
décryptage > Société
Bonnes feuilles

Les surdoués demandent-ils l’impossible en amour ?

il y a 21 heures 32 min
décryptage > France
Bonnes feuilles

L’absence de débouché politique face à la colère du peuple

il y a 21 heures 34 min
décryptage > Politique
Bonnes feuilles

Emmanuel Macron : de la réforme à la transformation

il y a 21 heures 34 min
décryptage > Société
Etat profond

QAnon contre Antifas : pour de plus en plus de gens, la vérité est ailleurs. Et le problème est qu’ils ont partiellement raison…

il y a 21 heures 38 min
© Reuters
© Reuters
Failles critiques

Spectre et Meltdown : pourquoi les failles de sécurité que l’on vient de détecter dans les micro-processeurs relèvent du jamais-vu en termes de gravité

Publié le 05 janvier 2018
Deux failles critiques ont été découvertes et concernent la plupart des processeurs. Heureusement, des correctifs sont en train d’être déployés.
Gérôme Billois
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Gérôme Billois, expert cyber sécurité au sein du cabinet Wavestone et du Cercle européen de la sécurité et des systèmes d’information, en charge des attaques sur objets connectés pour le panorama de la cybercriminalité du CLUSIF, a notamment travaillé...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Deux failles critiques ont été découvertes et concernent la plupart des processeurs. Heureusement, des correctifs sont en train d’être déployés.

Atlantico : Spectre et Meltdown, deux failles de sécurité concernant les processeurs AMD, ARM et Intel, ont été mises à jour, entre autres, par les chercheurs du Google's projet zero, et permettraient à des logiciels malveillants d'accéder à des informations confidentielles. Quelles sont les principales cibles potentielles ? Quels sont les risques encourus par les utilisateurs failles ? 

Gérome Billois : sCes failles permettent d'accéder par un simple programme, une simple application, à l'ensemble des données contenues dans un ordinateur. Elles permettent finalement d'aller regarder ce qui se passe dans le cœur même du fonctionnement de l'ordinateur et donc d'accéder à toutes les données qu'il manipule mais aussi d'aller voir les données que manipulent d'autres applications. Aujourd'hui, lorsque l'on lance une application, elle a son environnement à elle, et puis on lance une autre application qui a aussi le sien et tout cela est cloisonné. Mais quand une application veut accéder à autre chose, elle nous demande l'autorisation. Si vous lancez twitter et que vous voulez intégrer une photo, l'application vous demande l'autorisation. Et ces failles permettent de complètement d'annuler, de faire tomber toutes ces protections d'isolation. D’où le nom de Meltdown, parce que les protections fondent à l'intérieur du système.

Cela permet donc à des programmes malveillants d'accéder aux secrets les plus critiques qui sont présents sur les ordinateurs par exemple les mots de passe qui permettent d'accéder à tout le reste.

Les cibles potentielles sont multiples parce que ces failles touchent les particuliers, les entreprises et les gouvernements. Ce sont tous les équipements informatiques produits depuis des années qui sont touchés. On peut donc imaginer des scénarios ou des cybercriminels vont créer un programme malveillant qui va voler des mots de passe et l'envoyer par email à des millions de personnes qui se feront avoir rapidement en cliquant simplement sur un lien ou en lançant une pièce jointe. On peut aussi imaginer, de l'autre côté du spectre, des services de renseignement qui vont piéger des PC de politiques ou de grands industriels pour pouvoir avoir accès aux secrets qui sont sur leur machine grâce à cette faille. Tous les acteurs du cyber sont concernés, du plus petit cyber criminel qui essaye de voler des mots de passe jusqu'aux services de renseignement. Il y a malheureusement déjà des exemples de codes d'exploitation qui commencent à circuler et qui vont rendre plus facile, d'ici quelques jours ou quelques semaines, l'utilisation de cette vulnérabilité, qui sera clairement accessible au plus grand nombre des cyber criminels.  

Il s'agit de la plus large faille connue depuis plusieurs années, elle touche vraiment une très grande partie des ordinateurs et des processeurs, ce qui est extrêmement rare et les impacts potentiels sont de l'ordre du jamais vu.

Ces failles pourraient ne pas pouvoir être corrigées, quelles en sont les conséquences, aussi bien pour les utilisateurs que pour les fabricants ? 

La faille repose sur le matériel, c’est-à-dire que c'est le microprocesseur dans l'ordinateur ou le téléphone qui contient le problème. Donc, pour la résoudre réellement, il faudrait changer le matériel, donc le microprocesseur. Et puisque l'on parle d'une faille qui date de 1995, on peut imaginer le nombre d'ordinateurs qu'il faudrait changer. Physiquement, cela est impossible. Donc, il y a une solution, qui est un peu une verrue, un sparadrap, qui consiste à corriger la faille matérielle en modifiant les logiciels. Et les logiciels rendent l'utilisation de cette faille impossible. C'est ce qui est proposé aujourd'hui et c'est ce que les éditeurs sont en train de faire. Le problème est que cela va avoir un impact potentiel sur les performances. Parce qu'il s'agit d'un plâtre sur une jambe de bois, c'est quelque-chose qui va consommer de l'énergie, de la puissance de calcul pour pouvoir être corrigé. ON parle de réductions de performances entre 0 et 30% selon les usages que l'on a. La conséquence est que peut être qu'un certain nombre d'entreprises vont préférer prendre le risque de garder la faille que de perdre de la performance dans les systèmes. Et là, il y a un vrai gros risque. Parce que si l'on veut vraiment résoudre le problème il faut changer le matériel. Il va falloir attendre que les cycles de renouvellement arrivent, ce qui veut dire 2 ans pour les téléphones, et 4 à 5 ans pour les ordinateurs. Et le nouveau matériel sécurisé ne sera pas disponible avant quelques mois.

Quelles sont les possibilités offertes pour faire face et retrouver un niveau de sécurité acceptable pour les données sensibles ? 

Tous les éditeurs sont en train de sortir les correctifs ; Microsoft avec Windows, Google, Apple etc..donc la priorité numéro 1 est d'appliquer les correctifs dès qu'ils seront disponibles. Le petit souci est que tous ne le font pas encore parce que la révélation officielle de cette faille devait avoir lieu le 9 janvier. Suite à des fuites dans la presse dès le 3 janvier, la révélation a été avancée parce tout le monde commençait à voir qu'il allait y avoir un gros problème qui fait qu'un certain nombre d'éditeurs ne sont pas encore prêts. Nous sommes donc dans une zone un peu rouge ou il faut faire attention et en tout cas ou il faut, pour les particuliers, mettre à jour les systèmes, et pour les entreprises aussi. Ce qui est particulier est que cette faille peut se servir du cloud. Certains gros ordinateurs sont partagés entre plusieurs utilisateurs qui sont souvent d'entreprises différentes. Cette faille permet aussi d'aller voir les données des autres utilisateurs qui sont sur les mêmes systèmes du cloud. Le risque est là pour les entreprises ; qu'il existe un maillon faible dans la liste des utilisateurs. C'est pour cela que les gros hébergeurs et fournisseurs de service cloud ont tous annoncé qu'ils étaient en train de nettoyer les correctifs et qu'ils le font vraiment en urgence parce qu'il y a un vrai risque.   

Les commentaires de cet article sont à lire ci-après
Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
edac44
- 06/01/2018 - 10:37
On n'avait pas tous ses "emmerdes" avec le minitel, non ???
Faut-il revenir au DOS ??? et pourquoi pas à l'assembleur X86 pour se réécrire son propre système d'exploitation personnalisé ??? et pourquoi pas produire ses propres puces soi- même ??? à condition de ne pas en sous traiter la fabrication aux "chintocs", hein !...
Pur les courageux, ça commence ici, moi j'ai déjà donné !... ====>
http://mcours.net/cours/pdf/info/Cours_Assembleur_8086.pdf