Stéphane Marty vient de publier une longue vidéo de 30 minutes dans laquelle il passe au crible un compteur Linky G1 fabriqué par Itron. Après plusieurs semaines de retard, propriété industrielle oblige, la vidéo est enfin en ligne :

Un gros gros boulot d’analyse, avec toujours autant de matos qui fait rêver… même si cette publication a eu du mal à sortir :

Un gros bigup à Stéphane pour cette superbe analyse non monétisée et cette transparence.

Source : Blogmotion.fr

Fraude RGPD – Une nouvelle vague de faux courriels aux couleurs du Règlement Général de la Protection des Données tente de convaincre des entreprises de payer une mise en conformité bidon au risque de payer une amende. Une escroquerie qui ne cesses pas. Explication.

Je vous expliquais en juin 2018 la diffusion massive de courriers postaux et mails envoyés aux sociétés européennes. Mission de la missive électronique, jouer sur la méconnaissance (sic!) du Réglement Général de Protection des Données. Des messages solennels, administratifs. Un logo RGPD, des étoiles (rappel de l’Europe), un code barre. Et une phrase qui faisait peur “Mise en conformité – rappel“. Un numéro de dossier et une date limite d’enregistrement. J’avais piégé, au téléphone, l’un de ces escrocs [écouter]. La Commission Informatique et des Libertés (CNIL) avait d’ailleurs diffusé une alerte à ce sujet.

Suite, sans fin

Depuis quelques heures, en cette fin novembre, une vague de courriels vient de toucher des dizaines d’entreprises Françaises. Le courriel est diffusé via l’adresse conformite-rgpd@vml0345.com. Son idée n’est pas de lui répondre, mais d’appeler un numéro de téléphone, le 09.74.59.09.35. Une fois de plus, le courriel se veut inquiétant : “Les entreprises n’ayant pas régularisé leur situation (L’escroc parle du RGPD, ndr) […] sont passibles de sanctions pénales et financiéres.” Et le courriel d’afficher la fameuse amende de 4% du chiffre d’affaire annuel. Une amende en cas de faute grave, et une amende sur le CA mondial. Bref, pas d’inquiétude, une escroquerie qui joue sur la méconnaissance du sujet RGPD (Re Sic!). Le courriel peut finir à la poubelle.

La CNIL explique qu’il faut vérifier l’identité des entreprises démarcheuses. Elles ne sont, en aucun cas, et contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD. La mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Le RGPD réclame un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps.

Source : ZATAZ Fraude RGPD : nouveaux courriels envoyés à des centaines d’entreprises Françaises – ZATAZ

Windows Defender continue de nous surprendre en matière de protection sur Windows 10 en étant recommandé comme « Top Produit » d’après les derniers résultats de AV-Test.

Sur la période de juillet à août 2018, le laboratoire indépendant AV-Test a en effet une nouvelle fois décerné une distinction  » Top Product  » à la solution de sécurité Windows Defender intégrée par défaut à Windows 10. Des résultats qui, contrairement à il y a encore quelques mois, permettent sans doute de pouvoir se passer d’installer une autre suite de sécurité.

Ce sont ainsi dix-huit produits de sécurité qui ont été évalués, et 11 d’entre eux ont obtenu cette distinction dont Windows Defender.

Sur le critère de la protection contre les infections de malwares (virus, vers informatiques, chevaux de Troie) et attaques web, Windows Defender a fait un sans faute face à tous les échantillons présentés en bloquant aussi bien les 0-day que les formes connues de malwares.

Si le score parfait de 18 (avec trois critères notés sur 6 ; protection, performance et utilisation) n’a pas été obtenu, c’est toujours en raison d’un impact observé (ralentissement) lors de l’installation de programmes mais le score de 17,5/18 est tout de même à noter.

Ce score parfait a par contre été atteint par Bitdefender Internet Security 22, Avira Antivirus Pro, Kaspersky Internet Security, McAfee Internet Security et Vipre AdvancedSecurity.

Pour ceux qui souhaitent donc disposer d’une solution de sécurité gratuite et efficace, vous pouvez vous contenter de conserver Windows Defender. Du côté des offres payantes, vous pouvez opter pour une des 5 suites ayant obtenu le score « parfait » (même si certaines suites n’ont pas été testées comme par exemple ESET) sachant que Bitdefender ou Kaspersky sont toujours, et ce depuis des années, parmi les meilleures suites de sécurité du marché.

Source : Windows Defender quasi au niveau d’un Bitdefender ou d’un Kaspersky

source : generation-nt.com

CCleaner est un outil populaire qui est parfois mis en avant à toutes les sauces, parfois même de manière illogique.
Sur les forums, dans les problèmes informatiques, il est parfois balancer à tout va, un peu comme AdwCleaner et ZHPCleaner.

Depuis le rachat par Avast!, pas mal de modifications ont été apportées à CCleaner.
Des publicités pour enregistrer CCleaner ou pour des produits Avast!.
La surveillance du système avait aussi été ajoutée, il y a mal de temps, qui se place au démarrage de Windows et sans grand intérêt.

A partir de la v5.45, CCleaner avec la surveillance du système va collecter des informations de manière anonyme provenant de votre ordinateur.
Le but comme c’est souvent le cas est d’améliorer le produit etc.

La question de savoir si l’on peut se passer de CCleaner peut être posée au vu de la direction prise par l’application.
On peut aussi étendre cette question aux logiciels de nettoyage de Windows où les utilisateurs de Windows ont tendance à en abuser.

Voir cet article très intéressent sur le site de Malekal

Cette 5ème mise à jour majeure de Windows 10 a eu un peu de retard suite à quelques bugs de dernières minutes, cependant elle est maintenant disponible pour tous via Windows Update. Au début surnommé « Spring Creators Update » ou encore connu sous le nom de code « RedStone 4« , c’est maintenant sous son nom officiel que nous l’appellerons :

Windows 10 April 2018 Update

Windows 10 a maintenant passé le cap des 600 millions d’appareils actifs (selon les manifestants Microsoft) ! Le serveur de mise à jour va chauffer,  mais Microsoft a pour habitude de pousser les nouvelles mises à jour par vague, pour mieux contrôler la mise à jour et ajouter des correctifs si nécessaire. Si vous êtes pressé, je donne des solutions pour obtenir plus rapidement la mise à jour un peu plus bas dans l’article.

Windows 10 April 2018 Update : les nouveautés

• Timeline : Très attendu, cette fonction permettra de revenir à un état antérieur de Windows, et ainsi retrouver applications, fichiers ou sites web précédemment ouverts.

• Near Share. Un nouveau dispositif d’échange de fichiers entre terminaux via le protocole réseau de communication sans fil Bluetooth.
• Focus Assist : un mode qui vous permettra de rester « focus » et ainsi ne pas être distrait ou dérangé par aucune autre application. Pas d’email, pas de notification, idéal pendant une présentation par exemple. Vous pouvez passer en mode focus à la demande ou encore planifié des plages horaires.

• Diagnostic Data Viewer app : Microsoft tente de faire attention à la confidentialité de vos données et tente de vous le prouver en ajoutant cette nouvelle application. Si elle n’est pas installée d’office, son lien Microsoft Store est accessible via le menu des Paramètres. Elle vous permettra de visualiser l’ensemble des données de télémétrie que l’OS communique à Microsoft. Ces informations sont recueillies par l’éditeur pour ensuite être utilisées en vue d’optimiser la performance du système d’exploitation. Un bouton a été ajouté en parallèle dans l’application de configuration pour permettre de les effacer.
• eSIM :  Prise en charge des cartes SIM pré-intégrées. Microsoft baptise ce nouveau service « Always Connected« .
• Windows Dictée : Cette nouvelle fonctionnalité devrait vous permettre de dicter à votre ordinateur ce que vous souhaitez écrire. Accessible depuis le raccourcis clavier Win + Hvosu pourrez rapidement commencer à dictée pour que windows 10 ajoute votre texte dans la boite de dialogue ou l’éditeur ou vous vous trouviez.

• Cortana : Cortana dévoile une nouvelle version qui va un peu plus loin dans le service aux utilisateurs. L’IA de Windows 10 permet de gérer les rappels, les listes et les centres d’intérêt avec encore plus d’efficacité. La version anglophone se dote également de fonctions d’aide aux utilisateurs qui découvrent Windows
• Edge : le navigateur web évolue avec cette nouvelle mouture, il reprend pas mal de fonctionnalités qui n’existaient pas encore sous Edge mais qui sont disponibles depuis longtemps sur Chrome ou Firefox par exemple.

• Game Bar : Nouveau look pour la Game Bar, vous pouvez toujours l’activer en pressant les touches Win + G. Elle vous permettra d’enregistrer vos parties ou de streamer votre écran.
• Fluent : L’interface graphique de Windows 10, améliore encore un peu plus son nouveau design. Déjà apparu par petites touches dans les versions précédentes, Fluent continue de se généraliser à plusieurs menus. Développé sous le nom de code « Projet néon« , il modernise l’interface Metro avec une surbrillance et une transparence particulièrement bien senties.Ses effets équipent maintenant des éléments clés de l’OS : le menu démarrer, la barre des tâches ou les fenêtres de Microsoft Edge.Attention, il est désactivé par défaut lorsque le PC portable n’est pas connecté au secteur.

Télécharger l’ISO Windows 10 1803 April Update

Windows 10 April 2018 Update sera déployé par vague par Microsoft. Initialement prévue pour le 10 avril, cette version est sortie officiellement, seulement aujourd’hui, le 30 avril 2018. On peut imaginer qu’il ne pouvait pas attendre plus longtemps, sinon le nom April 2018 n’aurait plus eu aucun sens. Ne soyez donc pas forcément pressé pour passer cette mise à jour qui peut encore réserver son lot de bug.

Cependant, si vous êtes comme moi et que vous aimez tester les nouveautés à vos risques et périls, alors il existe plusieurs moyens pour passer la nouvelle mise à jour de Windows 10.

Télécharger Windows 10 April 2018 Update (Windows 10 – 1803)

Via l’outil Media Creation Tool de Microsoft

Pour télécharger la nouvelle version de Windows 10, vous pouvez passer par l’outil officiel de Microsoft : MediaCreationTool

 Télécharger Microsoft Windows 10 Media Creation Tool

Via Microsoft Update

Forcément, via Microsoft Update, ça peut être un peu plus long, car la mise à jour sera effectuée par vague. Vous pouvez essayer de mettre à jour votre ordinateur en lançant Windows Update et en cliquant sur le bouton « Rechercher des mises à jour ».  La mise à jour « Mise à jour de fonctionnalité vers Windows 10, version 1803 » devrait se télécharger.

Et la suite ?

La suite, c’est avec RedStone 5 en automne prochain. Son développement a déjà débuté  il y a quelques semaines avec la publication des premières builds au travers du programme Windows Insider.

Source : Tech2Tech

Comment savoir si mes informations ont été partagées avec Cambridge Analytica ?

https://m.facebook.com/help/1873665312923476

Free : Ca se confirme, désactiver l’IPV6 permet d’augmenter considérablement le débit vers Netflix

Source : universfreebox.com

Un des vecteurs d’attaque sur la faille Spectre, c’est bien évidemment le navigateur. En effet, un JS malicieux chargé depuis ce dernier pourrait compromettre la sécurité de vos données en exploitant cette vulnérabilité tristement célèbre.

Alors la question du jour c’est : Mon navigateur est-il sensible à une exploitation de la vulnérabilité Spectre ?

Pour le savoir, rendez-vous sur Spectre Check, un outil en ligne mis au point par le lab Xuanwu de Tencent, et cliquez sur le bouton « Click to check ».

Les dernières versions de Chrome Canary, Firefox et Edge semblent patchées mais les autres n’ont pas encore sauté le pas.

Voici la liste complète des navigateurs vulnérables ou non, au moment de la rédaction de cet article :

• Firefox — non vulnérable
• Firefox ESR — non vulnérable
• Internet Explorer 11 — non vulnérable
• Microsoft Edge — non vulnérable
• Pale Moon — non vulnérable
• Waterfox — non vulnérable
• Chromium (latest) — non vulnérable
• Google Chrome Canary — non vulnérable
• Google Chrome Stable — vulnerable
• Opera Stable — vulnerable
• Vivaldi Stable — vulnerable

Concernant les 3 derniers, si vous activez l’option de Strict Site Isolation comme expliquée ici, cela réglera le problème.

À suivre, car des améliorations seront prochainement apportées à cet outil.

source ghack par Korben

Car les dernières actualités informatiques sur les failles MELTDOWN et SPECTRE paniquent beaucoup de monde, voilà un article très structuré et vraiment très intéressent de Pierre (de Minimachines).

Top, c’est parti !

Je n’ai pas parlé de ce grave problème sur Minimachines, comme je n’ai pas parlé auparavant d’autres soucis de ce type. Non pas qu’il ne concerne pas mon sujet de prédilection, puisque toutes les solutions informatiques ou presque du marché sont impactées. Mais par manque de connaissance approfondie du sujet.

Les Logos de Meltdown et de Spectre

Au moment où le problème a été révélé, je n’y comprenais pas grand chose et la meilleure chose à savoir alors sur ce sujet brûlant était sans doute d’attendre. Attendre que tout se décante pour éviter d’écrire n’importe quoi.

Je traite souvent de sujets que je ne maîtrise pas parfaitement. Mais dans la mesure du possible j’essaye de creuser au maximum pour ne pas écrire trop de bêtises. J’ai entendu parler pour la première fois de ma vie de l’impression d’écran OLED il y a quelques semaines mais j’ai rattrapé mon retard en me gavant d’informations et en prenant des notes avant d’écrire sur le sujet. Je n’ai pas de mérite, c’est mon métier.

Des fois, d’ailleurs, je me plante. Il m’est arrivé de comprendre des sujets à l’envers, de faire des erreurs factuelles, de vraiment écrire de travers. Mais je signe tous mes billets, je les assume et je les modifie quand je comprends où est mon erreur. Je m’excuse également quand je me plante et il m’est même arrivé de supprimer des billets totalement infondés parce que vraiment mal compris de ma part.

Mais dans tous les cas, j’engage ma bonne foi pour publier. J’écris ce que je crois et j’essaye de donner un avis argumenté sur un sujet. Quand je manque d’arguments ou de connaissances, quand je vois que la tâche à accomplir pour me mettre au niveau de celui qui comprend assez les choses pour les expliquer à ses contemporains est trop élevée, je m’abstiens.

Mais surtout quand je vois que je manque d’informations, que les chiffres lancés ça et là sont farfelus et que de l’aveu même des sources et pour des raisons évidentes de sécurité nous ne possédons pas l’ensemble des données pour parler d’un sujet de manière experte, alors je me tais. Pas par choix, par obligation. Parler sur un sujet que l’on maîtrise pas c’est possible au café du coin, pas quand on tient un blog.

C’est pour cela que je n’ai ni pas parlé de Meltdown et de Spectre, les deux failles importantes qui touchent la quasi totalité des machines modernes et qui ont été révélées la semaine passée.

« Panique à tous les étages »

J’aurais pu en parler. J’aurais pu agiter des drapeaux en flammes et titrer, comme j’ai pu le lire en France, « Panique générale » ou autres caractères bien gras sur le sujet. Des titres racoleurs et bien tristes pour la profession de journaliste car ils sont dangereux. Ils trahissent surtout une chose : La panique n’était pas du côté des ingénieurs informatiques comme certains voulaient le faire croire. La panique était au sein des rédactions qui avaient peur de passer à côté non pas de leur devoir d’information mais de la manne de clics et de visiteurs qu’un bon titre bien putassier pouvait leur rapporter en terme de publicité.

Pas de panique à bord non, et pour cause, les chercheurs qui ont trouvé la faille travaillaient à la résoudre depuis des mois avant leur divulgation en avance sur le calendrier prévu par The Register la semaine dernière. Si on imagine bien les ingénieurs en charge de la sécurité chez les fabricants et éditeurs plus que légèrement secoués le jour où les vulnérabilités ont été révélées, on est loin d’une panique et d’une urgence mise en scène par certains.

Quand on appelle un plombier parce qu’on a une grosse fuite dans sa salle de bain qui commence à déborder à l’étage du dessous, on est en panique mais le plombier n’est pas plus ému qu’à sa première fuite de chasse d’eau. Il sait qu’il va mouiller sa chemise, il sait quels outils il doit mettre dans sa camionnette et il sait qu’il va passer quelques heures à en baver. Mais il ne panique pas.

Quand un patient arrive aux urgences après un accident de la route, personne n’a paniqué hormis les éventuels témoins de l’accident. Et encore, certains gardent suffisamment la tête froide et pensent à appeler les secours. Pas un pompier n’a paniqué, ils ont fait leur job. Les urgentistes ne paniquent pas, ils auscultent et ils orientent. Les infirmières et les chirurgiens ne se mettent pas à courir comme des fous dans les couloirs en criant « OH LA LA QU’EST CE QU’ON VA FAIRE !? » Ils gardent la tête froide et se mettent au boulot.

Ingénieurs informatique en pleine panique.

Que pensez vous qu’aient fait les ingénieurs spécialisés dans la gestion de ce type de problème dans les entreprises concernées par cette faille quand ils ont été mis au courant de Meltdown et de Spectre, il ya quelques mois ? Ils ont paniqué ? Ils ont abandonné le navire ? La réponse probable est qu’ils ont mis un cachet d’aspirine dans un grand verre d’eau. Mis en marche la machine à café et appelé leur famille pour dire qu’ils rentreraient probablement assez tard voir pas du tout ce soir. Comme le font tous les gens chargés de notre protection, qu’ils soient policiers, sapeurs pompiers, urgentistes, d’astreinte pour le gaz ou l’électricité et que sais-je encore. Ce sont des professionnels et ils ne paniquent pas.

« Mais la panique, elle est à craindre chez les particuliers et les entreprises. »

Cet argument est vrai mais c’est de la faute d’une certaine presse. La panique ne naît chez les gens que parce que des gens la sèment dans des articles putassiers qui sont là pour faire du clic.

En expliquant qu’il faut vraiment avoir peur des conséquences de cette faille avec des articles de fin du monde, comme si c’était la première ou la dernière du genre et que les précédentes avaient toutes été réglées, ce sont ces articles qui créent un vent de panique.

On sait qu’à chaque fois que la presse parle de pénurie – de beurre, de sucre, d’essence ou de quoi que ce soit d’autres – c’est cela qui crée la pénurie. Les gens paniquent effectivement de ne pouvoir remplir les différents gosiers concernés et se précipitent faire leurs emplettes au maximum, vident les rayons et les pompes et créent leur propre infortune.

Quand les gens qui décryptent l’actualité informatique expliquent qu’il faut avoir peur, alors la peur s’instille dans les esprits.

Est-ce que le grand public doit avoir peur de Meltdown ou de Spectre ? L’avenir nous le dira mais, à priori, il y a beaucoup plus de chances qu’un particulier perde ses données suite à un problème matériel sur sa machine plutôt qu’on lui vole un mot de passe avec ces vulnérabilités pour s’en servir ensuite. Est-ce que l’on titre « Panique générale » alors que beaucoup de PME françaises n’ont pas de système de sauvegarde interne ? Non. Parce que ce n’est pas vendeur, c’est rébarbatif et puis, avouons le franchement c’est plus culpabilisant qu’effrayant. Et pourtant le risque est vraiment plus de ce côté.

Pendant que le journalisme du clic balançait de l’essence et des allumettes sur nos petits cerveaux, les ingénieurs en sécurité des plus grands groupes informatiques du monde bossaient à régler le problème. Si bien qu’au moment où les flammes du bûcher de la panique commençaient à consumer les internautes, on pouvait déjà lire les premiers témoignages de professionnels. Ils continuaient à lancer des vagues de mises à jour pour empêcher ces failles de produire le moindre effet.

Et de nombreux articles de chercher a faire croire à la nouveauté de la faille avec des mots choisis pour alimenter le foyer de la peur. Des mots comme « urgence » au sujet d’un patch lancé par untel ou untel est revenu de multiples fois. Comme si comprendre la faille, écrire un contre feu et le déployer se faisait d’un coup de baguette magique en quelques heures. On n’écrit pas du code aussi simplement qu’un mauvais article, cela demande déjà de comprendre comment fonctionne Meltdown et Spectre et non pas de faire un simple copié collé.

Le travail du journaliste est d’informer ses lecteurs. Or, nous venons de vivre un épisode de non information voire de désinformation pure et simple pour faire du clic.

La chronologie en cascade des articles parus ces derniers jours est édifiante. Il suffit de lire comment les premier billets Anglo-saxons ont d’abord mis en cause Intel et uniquement Intel en ne s’intéressant qu’à la partie Meltdown de l’histoire alors que Spectre impactait déjà toutes les architectures concurrentes. En précisant parfois de manière totalement trompeuse que le fondeur était le seul à proposer une technologie sensible et particulière au sein de ses puces. Sous entendant alors qu’il était le seul sujet à ces attaques. On a rapidement retrouvé des copiés collés de ces billets en France avec le même argumentaire mais sans s’intéresser le moins du monde au fond et sans comprendre comment fonctionnent nos processeurs modernes.

Puis, au fur et a mesure que les chercheurs en sécurité, et les marques, ont commencé a indiquer que toutes leurs architectures étaient impactées par Spectre avec les mêmes effets de bord…qu’ARM souffrait aussi de Meltdown sur certaines architectures de SoC. On a ajouté du scandale au premier parti pris de panique. Comme si Intel, ARM ou AMD, comme si Apple ou Qualcomm auraient pu gommer la manière dont étaient architecturés leurs processeurs. Tout le monde est impacté et donc tout le monde fait profil bas. Intel, AMD et ARM s’associent même pour faire un contre feu, conscient, eux, que le moment n’est pas à une guerre fratricide mais bien à un front commun face à l’étendue du problème.

Si tout le monde est dans le même bain, c’est parce que la méthode employée et qui ouvre cette vulnérabilité aujourd’hui était bonne et ne pas l’employer aurait été non seulement une faute technique mais également une faute commerciale vis à vis de la concurrence.

C’est exactement la même réflexion qui a poussé les différents acteurs du monde informatique à implanter dans leurs processeurs la technologie aujourd’hui mise en cause qui a poussé différentes rédactions à écrire n’importe quoi sur Meltdown et Spectre la semaine dernière.

Si les concurrents le font alors, ils faut absolument le faire sinon ils vont rafler tous les internautes. Il faut absolument en parler même si on dit n’importe quoi, même si on explique mal et même si on ne fait que rajouter de l’huile sur le feu. Sous entendu, soit plus bruyant et plus outrancier que le site concurrent. On aura peut être droit à plus de clics.

Difficile de faire le procès de la décision technique, et entre nous tout à fait valide, d’un constructeur quel qu’il soit quand on est soi-même dans la position d’un prêcheur de fausses informations qui n’hésite pas à créer de toutes pièces un vent de peur pour attirer du clic.

Après la peur panique, la peur d’une baisse de performances.

Deuxième étape franchement catastrophique de ce traitement particulier de l’information, l’annonce d’une baisse de performances. Annonce totalement biaisée et là encore uniquement destinée à maximiser le taux de clic.

Faire croire à des utilisateurs que du jour au lendemain, SI ils mettent a jour leurs système d’exploitation, ils allaient subir une baisse de 30% de leurs performances est totalement contre productif.

D’abord, en se penchant un tant soit peu sur les données publiées après l’annonce des vulnérabilités Meltdown et Spectre, on se rend immédiatement compte que ces chiffres ne concernent que les grosses infrastructures réseau. Les salles serveurs et autres parcs exploitant des grosses bases de données. A priori, ce n’est pas le genre de machine présente dans la maison de nos concitoyens qui sont pourtant visés par ces articles grossiers.

Le problème est que la réaction de pas mal de monde a été de conclure immédiatement qu’il n’était pas question de perdre en performances et que, donc, ils n’allaient plus mettre à jour leurs machines et même couper les futures mises à jour de leur système. Vous parlez d’un contre feu et d’un devoir d’information de la part des journalistes osant écrire ces gros titres !

L’effet de ces mises à jour n’a quasiment aucun impact mesurable sur la machine de monsieur tout le monde. D’ailleurs, personne ne s’en est aperçu alors que des patchs pour Meltdown ont déjà été déployés en 2017 pour Windows 10 et MacOS… Vous parlez d’une urgence panique.

De ce fait, après avoir mis le feu aux poudres en faisant peur aux gens, le jeu a été de leur faire comprendre que si ils réagissaient, ils y perdraient au change. Tout cela en louchant assez fort sur les chiffres communiqués pour faire croire que la situation d’une salle serveur pouvait s’appliquer aux machines de l’utilisateur moyen. Il est d’ailleurs souvent arrivé que ces articles fassent le grand écart entre un titre « clicbait » au possible promettant 30% de performances en moins et une explication plus fine relativisant ce problème dans l’article. L’important est d’attirer le visiteur après tout, pas forcément de lui mentir jusqu’au bout.

C’est déontologiquement inacceptable et cela ne s’explique vraiment que par la panique de ne pas saisir la balle au bond. De faire des articles qui vont drainer un maximum de lecteurs avec un minimum d’efforts parce que Meltdown et Spectre sont au top des recherches en ligne.

Il aurait suffit d’un appel vers un ou deux spécialistes pour comprendre la totalité des enjeux du problème, ses conséquences et son impact sur les machines.

Mais indiquer que les performances de la machine de monsieur tout le monde allaient souffrir le Jeudi permettait ensuite de revenir en arrière et de rassurer le Vendredi en écrivant qu’au final non, ouf, le problème ne se poserait pas. Même si depuis le mercredi, on avait les chiffres de l’impact réel et détaillé de ces mises à jour d’un point de vue performances.

Meltdown en action, à gauche ce qui est envoyé depuis le processeur, à droite sa traduction en clair.

Meltdown et spectre, si on essayait de comprendre

Ces vulnérabilités tiennent leur nom et leur logo de Google et de son groupe de travail en sécurité Google Project Zéro , ils ont aussi droit à leur site web . Pour autant, leur découverte a été réalisée par plusieurs chercheurs en sécurité dont certains universitaires (vous savez les universités, ces trucs qui coûtent chers et qui ne servent à rien) et des membres de l’équipe de Google.

Les dénommés Jann Horn, de Google Project Zero, Werner Haas et Thomas Prescher de la société Cyberus Technology ainsi que Daniel Gruss, Moritz Lipp, Stefan Mangard et Michael Schwarz de la Graz University of Technology sont à l’origine de la découverte de Meltdown. Jann Horn et Paul Kocher ont découvert la vulnérabilité Spectre.

Il faut leur tirer un coup de chapeau car ce sont vraiment des chevaliers blancs. Des gens plus mal intentionnés disposant de cette découverte auraient pu aller voir un gouvernement ou une mafia quelconque pour échanger ces informations contre des sommes rondelettes, basculant ainsi la faille  en gouffre dangereux.

Comme souvent dans ce type d’aventure, la vulnérabilité n’est pas révélée à cause de leur usage par de méchants pirates mais par des chercheurs qui ne vous veulent pas du mal mais plutôt du bien. Ils ne cherchent pas à récupérer vos données mais plutôt à faire en sorte que vous soyez protégés. La première chose à faire est donc de leur tirer un coup de chapeau.

Contrairement à nos habitudes, Meltdown et Spectre ne sont pas des vulnérabilités logicielles mais materielles. Cela veut dire que la façon dont ont été conçues les architectures des processeurs de nos machines est mise en cause. On ne peut pas, comme avec une vulnérabilité logicielle, se contenter de modifier du code pour régler le problème. On a un souci matériel et ce matériel est intégré dans nos machines. Il va donc falloir faire avec.

Pour bien comprendre le problème on va parler pizza.

Imaginez vous à la tête d’un camion Pizza, vous avez peu de place pour cuisiner et un seul four. Chaque centimètre compte pour votre business. Vous avez tous les soirs une file de gens qui viennent vous commander des pizzas et compte tenu du temps de cuisson et de la préparation de chacune d’elle, vous devez les servir au mieux sans trop les faire attendre.

Si un groupe débarque dans la file avec une commande de 10 pizzas compliquées, avec une préparation longue et une cuisson lente vous savez que vous allez devoir les gérer d’une manière ou d’une autre sans pour autant arrêter de servir les autres clients. Si ensuite 6 personnes différentes vous demandent des pizzas plus simples et à cuisson rapide, vous n’allez pas faire attendre les 6 suivants tout le temps de cuisson des 10 pizzas les plus longues. Vous allez faire passer les pizzas les plus rapides au fur et à mesure de la cuisson des plus lentes. Histoire de ne pas ralentir trop le service.

Les processeurs modernes fonctionnent de la même façon. Au lieu de faire cuire leurs pizzas dans l’ordre donné par la file d’attente, il leur est permis d’aller piocher plus loin dans le code pour optimiser leur temps de traitement. C’est ce qu’on appelle le Out Of Order. Au lieu de traiter les instructions nécessaires les unes à la suite des autres, on laisse le soin au matériel de prendre de l’avance dans la masse de code à traiter. C’est plus intelligent, plus pratique et surtout plus rapide car certaines tâches sont lourdes et il vaut donc mieux les anticiper. On imagine mal le Pizzaïolo refaire de la pâte dans son camion au milieu du service en expliquant aux clients qu’il va falloir attendre qu’elle repose deux ou trois heures. Tout le monde anticipe donc les tâches les plus lourdes.

Le souci posé par les vulnérabilités révélées sous le nom de Meltdown et de Spectre est lié à cette méthode de traitement particulière. Les processeurs ne vérifient pas les permissions accordées au code qu’ils anticipent. Pas avant leur exécution finale.

Si votre Pizzaiolo trouve une pizza « pirate » anchois-ananas dans la liste des pizzas à réaliser, il va prendre sa pâte, façonner la pizza et disposer les ingrédients avant de la faire cuire. Le souci ne se révélera qu’au moment où il demandera à sa clientèle « pour qui la anchois-ananas ? ». Il s’apercevra alors que personne n’a commandé celle-ci. Comprendra que c’est une erreur de prise de commande ou qu’il a mal lu et que la pizza a été préparée pour rien avant de la jeter à la poubelle sans s’alerter le moins du monde.

Dans le cadre de notre processeur, l’envoi d’une instruction compromettante ne se contenterait pas de mélanger des ingrédients improbables mais permettrait de « lire » les instructions exécutées en parallèle dans le coeur du processeur puis de communiquer celles-ci. C’est comme si la anchois-ananas disait à un pirate quelles autres pizzas étaient présentes dans le four, leurs recettes, leur temps de cuisson, tout ce qu’il se passerait dans le four au moment de sa propre cuisson.

Avec Meltdown ou Spectre, l’écoute des autres instructions permet de lire directement ce qu’il se passe dans le processeur afin de communiquer ce qui est lu vers un autre programme. Et donc de remonter des informations importantes comme des mots de passe, des logins, des images et autres données. Tout cela sans éveiller le moins du monde le moindre programme de protection comme un anti-virus.

Alors que tous les systèmes cherchent à protéger les communications internes du processeur avec le reste du système, ces vulnérabilités trouent toute l’étanchéité maintenue en place par tous les programmeurs sur les systèmes d’exploitations modernes.

Meltown est très grave et Spectre encore plus préoccupant.

Meltdown brise donc cette barrière entre actions exécutées par le processeur et le système d’exploitation. Cette vulnérabilité permet à un programme d’accéder à la mémoire d’un système. Il n’y a donc plus aucun secret sur ce qui est exécuté dans la machine.

Spectre, quant à lui, brise le caisson étanche établi directement entre les différentes applications. Normalement, une application ne peut pas voir comment se comporte une autre application et avec Spectre ce n’est plus le cas. Invisible à tout type de programme de sécurité connu jusqu’alors, la vulnérabilité permettrait à un pirate de tromper les programmes sans les alerter. Le plus vicieux pour Spectre est que les programmes pirates pourraient se comporter de manière parfaitement anodine, voire comme des premiers de la classe en terme de sécurité en respectant tous les protocoles demandés par les éditeurs en terme de protection des données. Ils travaillent sans éveiller les soupçons à un niveau materiel qui n’est pas du tout analysé par les logiciels de sécurité.

En fait, le système fait confiance à ses Pizzaïolos qui ne se rendent absolument pas compte que personne n’aurait l’idée de commander une calzone bourrée uniquement de morceaux de merguez.

Mais alors tout le monde est touché ?

Oui. Par Meltdown, tous les processeurs Intel qui exécutent des instructions Out Of Order depuis des années sont impactés. Mais cette vulnérabilité touche également des architectures Cortex ARM qui emploient ce même processus. N’essayez pas de savoir si vous êtes ou non concerné, vous l’êtes. Même si une seule de vos machine est impactée, vos données sont sensibles à ces failles.

Pour contourner le problème Meltdown, il faut demander aux puces impactées de cesser de travailler de la manière optimisée qu’elles utilisent aujourd’hui. En gros, on ne glisse plus les pizzas qu’une par une dans le four pour éviter qu’une autre pizza puisse savoir ce qu’il s’y passe. Cela ralentit le processus mais surtout lorsqu’il s’agit d’exécuter énormément de petites requêtes les unes à la suite des autres. Ce que font les serveurs qui gèrent de grosses bases de données. Les machines des particuliers ne devraient pas particulièrement sentir de ralentissement. A court terme, Meltdown est plus impactant mais des correctifs finiront par sortir pour la totalité des systèmes : Ceux de Microsoft, d’Apple et tous les dérivés de Linux.

Le plus problématique est donc du côté de Spectre car pour cette vulnérabilité cela touche tout le monde, les puces d’Intel encore une fois, mais également celles d’ARM ou d’AMD. Et donc toutes les machines du marché ou presque : ordinateurs classiques, serveurs, portables mais aussi tablettes ou smartphones en passant par les télés connectées, les TV-Box, les cartes de développement¹ et autres engins du genre.

Le plus grave pour Spectre, c’est qu’il s’agit d’une nouvelle classe d’attaque, quelque chose de totalement inconnu des chercheurs auparavant. Alors que beaucoup de méthodes prouvant l’efficacité de ces attaques ont été publiées, il reste encore un tas d’inconnues sur les armes que la faille peut englober. En d’autres termes, on ne sait pas exactement ce qu’elles sont et quelle sera la totalité des méthodes trouvées par des pirates pour récupérer des informations sur une machine en utilisant Spectre.

Cela amène à un autre problème qui va de pair avec ce manque de vision d’ensemble du phénomène Spectre. Puisque l’on ne sait pas l’étendue des possibilités offertes par la faille aux pirates, on ne sait pas encore exactement comment s’en protéger. Si des mises à jour sortent ces derniers jours, elles ne colmateront probablement pas la totalité des trous révélés à l’avenir par spectre.

Pour être très franc, les chercheurs qui ont mené à bien ces attaques théoriques ne sont pas convaincus que l’on pourra résoudre le problème via des mises à jour et de nouveaux firmwares. Ce sont plus des rustines que des solutions miracles, il n’y a pas de vaccination anti Spectre pour le moment et il est possible qu’il n’y en ait jamais.

Alors que faire ?

Virer le Pizzaïolo semble être la solution la plus basique, si ce dernier n’arrive pas à comprendre qu’on ne glisse pas un supplément chocolat-chantilly par dessus une quatre fromages et qu’il enfourne systématiquement ses pizzas incongrues avant de demander à la cantonade « Pour qui la Régina -Chocolat ? », on se dit qu’il est bon pour trouver un autre boulot. Mais à quoi bon le virer si on doit, pour le remplacer, coller un nouveau Pizzaïolo qui fera exactement les mêmes erreurs. C’est ça le problème posé par Spectre, à terme. Il n’y a pas de processeur moderne capable de contourner cette vulnérabilité. Il va falloir attendre que le parc se renouvelle dans son ensemble aussi bien chez Intel, qu’AMD ou ARM, ce qui peut prendre des dizaines d’années.

Le plus évident est de mettre à jour très régulièrement chaque machine, c’est à dire de demander à cuire les pizzas une à une dans chaque four pour contrer Meltdown et de lister en gras au dessus de la porte quels ingrédients il ne faut pas mélanger ensemble pour Spectre. Afin d’éviter les recettes bizarres. Le problème étant qu’il y aura toujours un petit malin pour proposer une nouvelle recette de pizza non listée par les mises à jour et qu’il faudra sans cesse vérifier quand ces recettes loufoques apparaîtront. On ne peut pas dire aux systèmes de n’exécuter que tel code à la façon d’une liste blanche car cela tuerait toute innovation. Alors il faut recourir à la liste noire des codes à ne pas utiliser. Cette liste noire étant incrémentée après que des pirates se soient servi de ces codes, à la manière d’un anti-virus.

Chez les constructeurs, la problématique va être de proposer une nouvelle génération de puces débarrassée de ces failles. Cela pose de gros soucis car on ne crée pas un nouveau processeur en claquant des doigts. Il faut plusieurs années pour construire une architecture et cela veut dire que les processeurs qui sortiront dans les mois prochains seront impactés, à moins d’être salement retardés pour être modifiés en conséquence. Mais pour certaines gammes de puces, la production de masse a débuté il y a des semaines et des machines sont déjà équipées et sorties d’usine. Il y a fort à parier que la prochaine génération chez Intel, ARM ou AMD soit encore sous le coup de ces failles.

Evidemment ce sera un désastre écologique. Parce que l’industrie a tout fait pour que les machines ne soient pas modifiables et que de nombreux appareils portables ne peuvent pas être mis à jour alors que la technologie existe. Il faudra donc mettre à la benne des millions de machines parfaitement fonctionnelles, de nombreuses entreprises ne pouvant pas se permettre de continuer à prier pour qu’elles ne soient pas impactées à leur insu. Sans compter l’impact en terme de consommation énergétique représenté par l’investissement nécessaire des hébergeurs et autres centres de traitement de données qui vont voir fondre les performances de leurs parcs.

La seule et unique solution est donc de corriger les systèmes en les mettant a jour. Cela sera une course de vitesse permanente entre pirates et développeurs. Utiliser Meltdown étant plus générique, il est probable que l’attention des pirates se porte dessus pendant les mois qui viennent. L’utilisation d’un outil automatisé qui irait compromettre des millions de machines à la manière d’un virus, envoyant en masse des informations vers des serveurs qui auraient pour tâche de trier les résultats pourrait être très payant. Imaginez un système qui analyserait du contenu en masse mais qui ne réagirait qu’à la suite de remontées de chiffres ressemblant à un numéro de carte bleue. A un email et un mot de passe ou à tout ce qui toucherait une monnaie virtuelle comme le Bitcoin. Récupérer des informations serait très rentable et un tel robot logiciel pourrait se monnayer assez cher entre pirates.

Pour Spectre, l’usage de la faille semble plus complexe et donc son utilisation serait forcément plus ciblée. Ecrire une nouvelle recette pour récupérer le mot de passe Facebook d’un inconnu à l’autre bout de la planète n’a aucun sens. Pas plus que de récupérer son code de carte bleue car l’écriture du code serait plus coûteuse que le gain. Par contre, viser une personnalité, une entreprise ou un serveur particulier pourrait valoir la peine. On imagine qu’une recette pirate « dormante » mise en place sur un serveur pourrait se déclencher de manière répétée pour écouter des informations et les transmettre petit à petit pendant des mois. Une telle attaque serait complexe à mettre en place mais pourrait être véritablement payante pour voler, par exemple, des secrets industriels.

La seule issue est donc dans la mise à jour de vos machines. Patchez vos systèmes, fouillez les mises à jour et provoquez les.

Vous pourrez ainsi prendre en compte l’estime des constructeurs dans lesquels vous avez eu confiance. J’ai comme un doute que l’on ne voie pas de mises à jour aussi rapides et aussi systématiques pour les anciens systèmes que pour les nouveaux. Que ce soit logiciel ou materiel, tout ce qui n’a plus de valeur sur le marché sera traité en dernier lieu, si jamais c’est effectivement traité. Je doute que les smartphones de plus de 3 ou 4 ans bénéficient d’une quelconque mise à jour pour Spectre. Aucun fabricant ne paiera des ingénieurs pour mener à bien des correctifs et les envoyer vers les machines les plus anciennes.

Si vous avez un engin qui est mis à jour, Meltdown devrait rapidement ne plus être qu’un mauvais souvenir. Quand à Spectre, il planera toujours comme une épée de Damocles au dessus de votre tête. Mais avec un tout petit peu de chance, cela ne devrait pas vous affecter. Si, par contre, vos équipements ne sont pas mis à jour d’ici quelques semaines, il sera temps de ne plus les utiliser. Du moins de ne plus les connecter au réseau.

Vous n’avez donc pas à paniquer, il s’agit d’un énième épisode de la guerre qui se mène entre les différents protagonistes de ce milieu. Les gentils chercheurs en sécurité d’un côté, les méchants pirates qui veulent récupérer des données de l’autre. Sachant que la menace la plus forte pour vous simple particulier sera celle d’un « pirate » demi-sel qui achètera un script prêt à l’emploi. Un script écrit par un autre qui utilisera une vulnérabilité probablement déjà identifiée et qui laissera mouliner un serveur pour l’utiliser. C’est lui qui pourra éventuellement récupérer des informations vous concernant car vous pourrez peut être vous retrouver dans le grand filet tendu par son robot numérique. Si vous mettez à jour votre machine, il y a de fortes chances que son script ne lui serve à rien.

Une seule conclusion :  Surfez couverts

Source : minimachines.net