Google détaille trois failles, qui ont leur site dédié : après Intel, ARM confirme être touché

Intel is not alone
Google détaille trois failles, qui ont leur site dédié : après Intel, ARM confirme être touché
Crédits : AKodisinghe/iStock

Une série de correctifs améliore la séparation entre les espaces mémoire du noyau Linux et de l'utilisateur. Elle semble surtout concerner les processeurs Intel et pourrait avoir un impact fort sur les performances. Les autres systèmes seraient également touchés.

Le monde de la sécurité s'interroge depuis quelques jours sur une série de patchs du noyau Linux prévus pour la version 4.15. Une série connue au départ sous le nom de KAISER, mais depuis renommée plus précisément Kernel page-table isolation (KPTI).

Du changement dans vos noyaux en raison d'une faille hardware

KPTI isole complètement l'espace mémoire du noyau de celui de l'utilisateur, plutôt que d'opter pour des adresses aléatoires (KASLR). Le tout est expliqué par LWN (voir ici ou ), la documentation officielle de la fonctionnalité (active par défaut mais optionnelle) étant accessible par là.

L'idée est de proposer une solution à différentes attaques sur l'approche KASLR, notamment celle publiée récemment par des chercheurs de l'université de Graz (Autriche), qui exploite des défaillances côté processeur. De quoi inciter les développeurs du noyau à déclarer tous les processeurs x86 « insecure » pour le moment, tout en laissant la porte ouverte à des exceptions le temps venu.

Outre Linux, des patchs doivent arriver pour les principaux systèmes d'exploitation, tels que Windows comme le rapporte le blog Python sweetness, l'un des premiers à couvrir l'affaire. Intel, qui a participé aux correctifs, semble directement concerné, AMD ayant de son côté indiqué ne pas être touché. 

Plusieurs rumeurs entourent pour le moment ces mises à jour, certains évoquant un embargo en cours sur une faille d'importance (peut être chez Xen). D'autres ont constaté qu'Azure a annoncé une maintenance de ses services pour le 10 janvier, contre le 5 janvier chez AWS, les deux pointant une mise à jour de sécurité.

En fin de matinée, OVH annonçait à travers le compte Twitter de son PDG que le patch allait être déployé dans les heures à venir. Les clients de l'offre mutualisée ne devraient pas rencontrer d'interruption, ceux sur du Public Cloud VPS vont devoir faire avec. De nouvelles images leur seront également proposées.

CPU x86 Insecure

Un impact important côté performance

Tout se passerait donc pour le mieux si cela ne risquait pas d'impacter assez durement les processeurs d'Intel. En effet, selon les premiers relevés, les effets de ce patch pourraient être dramatiques pour les performances du fondeur. 

Des pertes allant jusqu'à 35 % sont constatées par les premiers tests, qui semblent surtout concerner les usages de type serveur, des actions comme la compilation, etc. Selon Phoronix, les jeux ne seraient pas impactés.

On imagine néanmoins que des secteurs entiers risquent d'être touchés : sociétés de services en ligne, hébergeurs et autres fournisseurs de solution « Cloud ». On imagine d'ailleurs que des sociétés comme Shadow, qui reposent massivement sur de la virtualisation sous Linux de systèmes Windows, pourraient voir des effets assez importants dans certaines situations.

De nombreux points restent à éclaircir

Pour le moment, il est assez difficile de se faire une idée de l'impact réel, notamment du fait de l'absence de communication officielle, ce qui semble confirmer la théorie de l'embargo (mais nous sommes également le 3 janvier). Intel n'a ainsi pas encore réagi publiquement pour le moment. On ne sait donc pas si tous ses processeurs sont concernés ou non, et si les patchs en excluront certains, auront des impacts plus ou moins forts, etc.

En cas de confirmation, ce serait une mauvaise nouvelle de plus pour le constructeur qui a déjà fait face à de nombreuses failles dans son Management Engine ces derniers temps. Avec AMD préservé, c'est tout un écosystème qui pourrait être fortement bousculé. Ce, à quelques jours de l'ouverture du CES de Las Vegas...

On s'attend ainsi à ce qu'un vent de panique souffle sur le secteur, même en l'absence d'informations concrètes. De notre côté, nous avons bien entendu interrogé Intel et plusieurs de ses partenaires afin d'en savoir plus et de recueillir leur avis. Dès que nous aurons plus de détails à partager, nous reviendrons sur le sujet avec une analyse plus complète.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

234 commentaires
Avatar de kazord INpactien
Avatar de kazordkazord- 03/01/18 à 09:08:40

Esperons que les CPU Rouge ne soit pas trop impacté par les patchs alors qu'il serait pas touché

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 03/01/18 à 09:12:42

Pour le moment, il est assez difficile de se faire une idée de l'impact réel, notamment du fait de l'absence de communication officielle (...) mais on s'attend ainsi à ce qu'un vent de panique souffle sur le secteur, même en l'absence d'informations concrètes.

Toute la rédaction est mobilisée, priorité au directe, nos envoyés spéciaux sont sur place, les experts seront avec nous sur le plateau...

#BFM-INPACT

Avatar de stratic Abonné
Avatar de straticstratic- 03/01/18 à 09:15:09

Pour l'instant, sous Linux, les processeurs ADM sont malheureusement traités de la même façon, sans distinction (source: Phoronix).

Avatar de David_L Équipe
Avatar de David_LDavid_L- 03/01/18 à 09:15:36

Les envoyés spéciaux sont plutôt en mode "départ pour le CES" malgré un début d'année bien chargé là

Avatar de David_L Équipe
Avatar de David_LDavid_L- 03/01/18 à 09:16:12

Tu sais que c'est marqué dans l'article hein ? (comme le cas d'AMD est détaillé d'ailleurs)

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 03/01/18 à 09:19:30

Annonce Xen demain midi (UTC)https://xenbits.xen.org/xsa/ ce qui est cohérent avec celle d'Amazon. Du boulot en perspective demain.

Avatar de Sans intérêt Abonné
Avatar de Sans intérêtSans intérêt- 03/01/18 à 09:21:22

Des pertes de performances allant jusqu'à 35 % sont constatées par les premiers tests, qui semblent surtout concerner les usages de type serveur, des actions comme la compilation, etc. Selon Phoronix qui a fait de premier tests dans les jeux, de tels scénarios ne seraient pas impactés.

En fait, le problème du bug se trouve dans les appels système (d'exploitation). Or, les jeux vidéo évitent d'appeler le système, sur le fondement populaire que la routine la plus rapide est celle qui n'est pas appelée. C'est le rôle d'API telles que DirectX ou Vulcan que de permettre aux jeux d'accéder directement au hardware sans passer par le système. En conséquence, l'impact du bug KPTI sur les performances des jeux s'avère actuellement imperceptible.

Toutefois, il y a bien des appels système dans les jeux vidéo, qui ne peuvent en faire abstraction, du moins, pas aisément : même limités, tous les accès réseau et fichiers passent par le système d'exploitation. Il en découle que les jeux largement basés sur le streaming et le réseau risquent d'être impactés.

Certes, on peut penser que la bande passante réseau est faible, pour une compatibilité avec les lignes ADSL, notamment. Du coup, l'impact du réseau sera certainement limité. En revanche, les jeux en mondes ouverts, qui s'appuient massivement sur les accès disques, risquent d'être impactés. Pour y remédier, toutefois, on pourra augmenter la RAM de la machine, dans l'espoir que les jeux s'en servent de cache fichiers par eux-mêmes, plutôt que de s'appuyer sur le mécanisme de cache du système d'exploitation. (Notons au passage que le prix de la RAM a explosé, tout le long de 2017.)

Il y a un petit souci dans l'évaluation de l'impact du bug KPTI dans les jeux vidéo : les benchmarks actuels ne mesurent pas les accès disque, ni réseau. Ils se concentrent essentiellement sur la puissance de calcul, celles du CPU et du GPU, qui ne réclament pas ou peu d'appels système de la part des jeux, comme dit précédemment. De nouveaux benchmarks plus représentatifs de l'expérience de jeu sont-ils à concevoir ?

Édité par Sans intérêt le 03/01/2018 à 09:23
Avatar de David_L Équipe
Avatar de David_LDavid_L- 03/01/18 à 09:23:06

Le lien est dans l'article, mais on ne sait pas si les deux sont liés.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 03/01/18 à 09:24:02

Comme dit sur la fin du papier, on manque encore de visibilité, du coup quand on en saura plus il sera temps de vérifier et faire le point. Pour le moment, tout le monde ne va faire que spéculer.

Avatar de Stéphane Bortzmeyer Abonné
Avatar de Stéphane BortzmeyerStéphane Bortzmeyer- 03/01/18 à 09:25:22

C'est cool, de spéculer :-)

Il n'est plus possible de commenter cette actualité.
Page 1 / 24

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact