En direct
Best of
Best of du 12 au 18 octobre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

05.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

06.

Renault en plein chaos post Ghosn

07.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

05.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

04.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

05.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

06.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

ça vient d'être publié
pépite vidéo > Faits divers
Héroique
Etats-Unis : Il désarme un élève armé d'un fusil à pompe en lui faisant un câlin
il y a 8 heures 17 min
décryptage > Culture
Atlanti-Culture

Théâtre : "Sept ans de réflexion" : Une farce (un peu trop lourde) sur l'adultère

il y a 9 heures 28 min
light > Insolite
Dur à avaler
Un chef étoilé mange dans son restaurant : 14 000 euros de redressement de l'Ursaff
il y a 11 heures 42 min
décryptage > Environnement
Découvrons l'écoféminisme

"Ma planète, ma chatte, sauvons les zones humides" !

il y a 13 heures 28 min
décryptage > Economie
Experte

Esther Duflo à Bercy, vite. Mais pas comme ministre

il y a 14 heures 1 min
décryptage > France
Mauvais prisme

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

il y a 14 heures 21 min
décryptage > France
Interdit d'interdire

Pourquoi la France devrait résister à la tentation de répondre par des interdictions à tous les défis qu’elle rencontre

il y a 14 heures 35 min
décryptage > Economie
Manque d’ambition ?

PLF 2020 : l’étonnante stabilité de la ventilation des dépenses publiques françaises à travers le temps

il y a 14 heures 47 min
décryptage > Culture
Culture

"Miroir du temps" d'André Suarès : une occasion précieuse de découvrir une pensée d’une inventivité débridée et salutaire

il y a 1 jour 3 heures
pépite vidéo > International
Ultimatum
Liban : nouvelle journée de mobilisation contre la classe politique et la corruption
il y a 1 jour 4 heures
décryptage > Culture
Atlanti-Culture

"Vania : Une même nuit nous attend tous" : "Oncle Vania" revisité

il y a 9 heures 17 min
décryptage > Culture
Atlanti-Culture

"Le roman de la France- une histoire de la liberté" de Laurent Joffrin : Tome 1, de Vercingétorix à Mirabeau

il y a 9 heures 34 min
décryptage > Education
Tous égaux

Discriminations positive à l’entrée dans les Grandes écoles : l’égalitarisme en mode délire

il y a 13 heures 22 min
décryptage > Economie
Dépenses très privées

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

il y a 13 heures 45 min
décryptage > High-tech
La Minute Tech

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

il y a 14 heures 12 min
décryptage > Justice
L'armée des ombres

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

il y a 14 heures 28 min
décryptage > Atlantico business
Atlantico Business

Brexit : si vous avez aimé les deux premières saisons, vous serez passionné par la troisième

il y a 14 heures 43 min
décryptage > Politique
En même temps

Ce que la médiation Blanquer-Taché dit vraiment de LREM

il y a 14 heures 58 min
"Climate change"
Jane Fonda et Sam Waterston ont été arrêtés lors d'une manifestation pour le climat
il y a 1 jour 4 heures
pépites > Justice
Défense
Rachida Dati dénonce une "instrumentalisation" dans le cadre de l'information judiciaire dans l'affaire Ghosn
il y a 1 jour 5 heures
© Reuters
© Reuters
Failles critiques

Spectre et Meltdown : pourquoi les failles de sécurité que l’on vient de détecter dans les micro-processeurs relèvent du jamais-vu en termes de gravité

Publié le 05 janvier 2018
Deux failles critiques ont été découvertes et concernent la plupart des processeurs. Heureusement, des correctifs sont en train d’être déployés.
Gérôme Billois, expert cyber sécurité au sein du cabinet Wavestone et du Cercle européen de la sécurité et des systèmes d’information, en charge des attaques sur objets connectés pour le panorama de la cybercriminalité du CLUSIF, a notamment travaillé...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Gérôme Billois
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Gérôme Billois, expert cyber sécurité au sein du cabinet Wavestone et du Cercle européen de la sécurité et des systèmes d’information, en charge des attaques sur objets connectés pour le panorama de la cybercriminalité du CLUSIF, a notamment travaillé...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Deux failles critiques ont été découvertes et concernent la plupart des processeurs. Heureusement, des correctifs sont en train d’être déployés.

Atlantico : Spectre et Meltdown, deux failles de sécurité concernant les processeurs AMD, ARM et Intel, ont été mises à jour, entre autres, par les chercheurs du Google's projet zero, et permettraient à des logiciels malveillants d'accéder à des informations confidentielles. Quelles sont les principales cibles potentielles ? Quels sont les risques encourus par les utilisateurs failles ? 

Gérome Billois : sCes failles permettent d'accéder par un simple programme, une simple application, à l'ensemble des données contenues dans un ordinateur. Elles permettent finalement d'aller regarder ce qui se passe dans le cœur même du fonctionnement de l'ordinateur et donc d'accéder à toutes les données qu'il manipule mais aussi d'aller voir les données que manipulent d'autres applications. Aujourd'hui, lorsque l'on lance une application, elle a son environnement à elle, et puis on lance une autre application qui a aussi le sien et tout cela est cloisonné. Mais quand une application veut accéder à autre chose, elle nous demande l'autorisation. Si vous lancez twitter et que vous voulez intégrer une photo, l'application vous demande l'autorisation. Et ces failles permettent de complètement d'annuler, de faire tomber toutes ces protections d'isolation. D’où le nom de Meltdown, parce que les protections fondent à l'intérieur du système.

Cela permet donc à des programmes malveillants d'accéder aux secrets les plus critiques qui sont présents sur les ordinateurs par exemple les mots de passe qui permettent d'accéder à tout le reste.

Les cibles potentielles sont multiples parce que ces failles touchent les particuliers, les entreprises et les gouvernements. Ce sont tous les équipements informatiques produits depuis des années qui sont touchés. On peut donc imaginer des scénarios ou des cybercriminels vont créer un programme malveillant qui va voler des mots de passe et l'envoyer par email à des millions de personnes qui se feront avoir rapidement en cliquant simplement sur un lien ou en lançant une pièce jointe. On peut aussi imaginer, de l'autre côté du spectre, des services de renseignement qui vont piéger des PC de politiques ou de grands industriels pour pouvoir avoir accès aux secrets qui sont sur leur machine grâce à cette faille. Tous les acteurs du cyber sont concernés, du plus petit cyber criminel qui essaye de voler des mots de passe jusqu'aux services de renseignement. Il y a malheureusement déjà des exemples de codes d'exploitation qui commencent à circuler et qui vont rendre plus facile, d'ici quelques jours ou quelques semaines, l'utilisation de cette vulnérabilité, qui sera clairement accessible au plus grand nombre des cyber criminels.  

Il s'agit de la plus large faille connue depuis plusieurs années, elle touche vraiment une très grande partie des ordinateurs et des processeurs, ce qui est extrêmement rare et les impacts potentiels sont de l'ordre du jamais vu.

Ces failles pourraient ne pas pouvoir être corrigées, quelles en sont les conséquences, aussi bien pour les utilisateurs que pour les fabricants ? 

La faille repose sur le matériel, c’est-à-dire que c'est le microprocesseur dans l'ordinateur ou le téléphone qui contient le problème. Donc, pour la résoudre réellement, il faudrait changer le matériel, donc le microprocesseur. Et puisque l'on parle d'une faille qui date de 1995, on peut imaginer le nombre d'ordinateurs qu'il faudrait changer. Physiquement, cela est impossible. Donc, il y a une solution, qui est un peu une verrue, un sparadrap, qui consiste à corriger la faille matérielle en modifiant les logiciels. Et les logiciels rendent l'utilisation de cette faille impossible. C'est ce qui est proposé aujourd'hui et c'est ce que les éditeurs sont en train de faire. Le problème est que cela va avoir un impact potentiel sur les performances. Parce qu'il s'agit d'un plâtre sur une jambe de bois, c'est quelque-chose qui va consommer de l'énergie, de la puissance de calcul pour pouvoir être corrigé. ON parle de réductions de performances entre 0 et 30% selon les usages que l'on a. La conséquence est que peut être qu'un certain nombre d'entreprises vont préférer prendre le risque de garder la faille que de perdre de la performance dans les systèmes. Et là, il y a un vrai gros risque. Parce que si l'on veut vraiment résoudre le problème il faut changer le matériel. Il va falloir attendre que les cycles de renouvellement arrivent, ce qui veut dire 2 ans pour les téléphones, et 4 à 5 ans pour les ordinateurs. Et le nouveau matériel sécurisé ne sera pas disponible avant quelques mois.

Quelles sont les possibilités offertes pour faire face et retrouver un niveau de sécurité acceptable pour les données sensibles ? 

Tous les éditeurs sont en train de sortir les correctifs ; Microsoft avec Windows, Google, Apple etc..donc la priorité numéro 1 est d'appliquer les correctifs dès qu'ils seront disponibles. Le petit souci est que tous ne le font pas encore parce que la révélation officielle de cette faille devait avoir lieu le 9 janvier. Suite à des fuites dans la presse dès le 3 janvier, la révélation a été avancée parce tout le monde commençait à voir qu'il allait y avoir un gros problème qui fait qu'un certain nombre d'éditeurs ne sont pas encore prêts. Nous sommes donc dans une zone un peu rouge ou il faut faire attention et en tout cas ou il faut, pour les particuliers, mettre à jour les systèmes, et pour les entreprises aussi. Ce qui est particulier est que cette faille peut se servir du cloud. Certains gros ordinateurs sont partagés entre plusieurs utilisateurs qui sont souvent d'entreprises différentes. Cette faille permet aussi d'aller voir les données des autres utilisateurs qui sont sur les mêmes systèmes du cloud. Le risque est là pour les entreprises ; qu'il existe un maillon faible dans la liste des utilisateurs. C'est pour cela que les gros hébergeurs et fournisseurs de service cloud ont tous annoncé qu'ils étaient en train de nettoyer les correctifs et qu'ils le font vraiment en urgence parce qu'il y a un vrai risque.   

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

05.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

06.

Renault en plein chaos post Ghosn

07.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

05.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

04.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

05.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

06.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
edac44
- 06/01/2018 - 10:37
On n'avait pas tous ses "emmerdes" avec le minitel, non ???
Faut-il revenir au DOS ??? et pourquoi pas à l'assembleur X86 pour se réécrire son propre système d'exploitation personnalisé ??? et pourquoi pas produire ses propres puces soi- même ??? à condition de ne pas en sous traiter la fabrication aux "chintocs", hein !...
Pur les courageux, ça commence ici, moi j'ai déjà donné !... ====>
http://mcours.net/cours/pdf/info/Cours_Assembleur_8086.pdf