{"id":34497,"date":"2018-03-19T07:00:23","date_gmt":"2018-03-19T06:00:23","guid":{"rendered":"http:\/\/e3mag.com\/?p=34497"},"modified":"2022-05-01T09:50:14","modified_gmt":"2022-05-01T07:50:14","slug":"spectre-meltdown-et-hana","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/spectre-meltdown-et-hana\/","title":{"rendered":"Spectre, Meltdown et Hana"},"content":{"rendered":"

Fin 1967, les bases de ce que nous appelons aujourd'hui \"out-of-order execution\" ont \u00e9t\u00e9 pos\u00e9es, vers une parall\u00e9lisation au niveau du processeur principal et donc une meilleure utilisation des capacit\u00e9s disponibles et finalement un meilleur d\u00e9bit de l'ensemble du syst\u00e8me.<\/p>\n

Les failles de s\u00e9curit\u00e9 ne remettent certes pas en cause ces acquis, mais les mesures de protection n\u00e9cessaires limitent dans un premier temps leur utilisation pratique sous certaines conditions, mais surtout, des r\u00e9percussions sur le d\u00e9bit global du syst\u00e8me sont possibles.<\/p>\n

J'aimerais aborder le sujet en quatre \u00e9tapes : premi\u00e8rement, que sont Spectre et Meltdown et qui est concern\u00e9 ? Deuxi\u00e8mement : que pouvons-nous faire ? Troisi\u00e8mement : qu'a fait Suse jusqu'\u00e0 pr\u00e9sent et que pr\u00e9voyons-nous pour les prochains mois ? Et quatri\u00e8mement : pourquoi certains fabricants ne donnent-ils pas de chiffres concrets sur la perte potentielle de performance du syst\u00e8me ?<\/p>\n

1. qui sont les victimes de Spectre et de Meltdown ?<\/h3>\n

L'extension de l'\"ex\u00e9cution hors ordre\" dont il a \u00e9t\u00e9 question plus haut a eu pour cons\u00e9quence que les CPU peuvent aujourd'hui ex\u00e9cuter des parties de programme alternatives avant m\u00eame que l'on sache laquelle des options doit \u00eatre ex\u00e9cut\u00e9e.<\/p>\n

Pendant cette ex\u00e9cution \"sp\u00e9culative\", des failles apparaissent, dans lesquelles les m\u00e9canismes de protection de la m\u00e9moire habituellement pr\u00e9sents entre le noyau du syst\u00e8me d'exploitation et les processus ou entre les processus eux-m\u00eames n'interviennent plus, ce qui peut entra\u00eener des acc\u00e8s non autoris\u00e9s (voir tableau 1).<\/p>\n

Comme le d\u00e9faut se situe au niveau du mat\u00e9riel, le niveau logiciel (c'est-\u00e0-dire le syst\u00e8me d'exploitation et les programmes d'application) ne se rend m\u00eame pas compte de cet acc\u00e8s. Chaque famille actuelle de CPU performantes est concern\u00e9e par une ou plusieurs des erreurs possibles (voir tableau 2).<\/p>\n

\"Tableaux<\/a><\/p>\n

2. que pouvons-nous faire ?<\/h3>\n

La solution la plus \u00e9vidente - le remplacement de toutes les unit\u00e9s centrales - n'est manifestement ni \u00e9conomiquement viable ni pratiquement possible : toutes les unit\u00e9s centrales de serveurs actuelles (y compris celles d'autres architectures et fabricants que ceux mentionn\u00e9s ci-dessus) sont concern\u00e9es.<\/p>\n

Une solution compl\u00e8te des probl\u00e8mes de s\u00e9curit\u00e9 n'est pas possible uniquement dans le logiciel (donc sur la base du syst\u00e8me d'exploitation ou de la couche d'application). Il ne reste donc plus qu'\u00e0 \"colmater\" la br\u00e8che autant que possible - en anglais, on trouvera donc principalement le terme de \"mitigation\" plut\u00f4t que celui de \"fix\" - en combinant des modifications de l'unit\u00e9 centrale elle-m\u00eame (si elle peut \u00eatre modifi\u00e9e par ce que l'on appelle le microcode) et des modifications du syst\u00e8me d'exploitation.<\/p>\n

Ces modifications visent soit \u00e0 emp\u00eacher totalement la \"sp\u00e9culation\" au niveau de l'unit\u00e9 centrale, soit au moins \u00e0 emp\u00eacher un autre processus\/application\/machine virtuelle d'acc\u00e9der \u00e0 des donn\u00e9es \u00e9trang\u00e8res en m\u00e9moire principale (voir tableau 3).<\/p>\n

Dans le tableau 3, on remarque certainement la formulation quelque peu ambigu\u00eb \"et\/ou\". Cette formulation sugg\u00e8re l'un des d\u00e9fis fondamentaux de la communication par les fabricants de logiciels et surtout de syst\u00e8mes d'exploitation comme Suse :<\/p>\n

Pour la variante 2 de Spectre en particulier, il n'est pas possible de trouver une solution simple et univoque, car selon le fabricant de l'unit\u00e9 centrale, le type d'unit\u00e9 centrale et la g\u00e9n\u00e9ration de l'unit\u00e9 centrale, une autre solution doit \u00eatre adopt\u00e9e. Nous y reviendrons dans la section 4.<\/p>\n

\"Tableaux<\/a><\/p>\n

3. qu'a fait Suse et que pr\u00e9voit Suse ?<\/h3>\n

D\u00e9but janvier, Suse a publi\u00e9 un premier ensemble de correctifs pour toutes les versions de Suse Linux Enterprise actuellement prises en charge, y compris bien s\u00fbr Suse Linux Enterprise Server for SAP Applications, qui limite le risque de Spectre (variante 1), pr\u00e9pare le noyau du syst\u00e8me d'exploitation pour les approches d\u00e9crites de Spectre (variante 2) et corrige Meltdown (variante 3) au moins pour l'architecture x86-64.<\/p>\n

Sur la base des commentaires de nos partenaires mat\u00e9riels et de nos clients, nous proposons depuis la mi-f\u00e9vrier, dans une deuxi\u00e8me vague de mises \u00e0 jour du noyau, une approche am\u00e9lior\u00e9e de Spectre (variante 2) pour l'architecture x86-64, appel\u00e9e \"retpolines\", et am\u00e9liorons les performances notamment en surveillant plus finement les acc\u00e8s m\u00e9moire.<\/p>\n

Ce travail d'am\u00e9lioration constante de la s\u00e9curit\u00e9 et d'ajustement plus fin des acc\u00e8s et des restrictions prendra encore des mois, voire des ann\u00e9es selon certains experts en s\u00e9curit\u00e9.<\/p>\n

\"Eckermann<\/a><\/p>\n

4. pas de chiffres concrets ?<\/h3>\n

Chaque application, et m\u00eame l'utilisation sp\u00e9cifique d'une application et les donn\u00e9es correspondantes, contribuent \u00e0 d\u00e9terminer si et comment les correctifs de s\u00e9curit\u00e9 ont un impact (voir tableau 4).<\/p>\n

Il ressort presque naturellement de ce qui pr\u00e9c\u00e8de qu'il n'est pas possible de faire une d\u00e9claration g\u00e9n\u00e9rale sur l'impact des mises \u00e0 jour de s\u00e9curit\u00e9 sur le d\u00e9bit global d'un syst\u00e8me ; en effet, chaque d\u00e9claration n'est valable que pour une combinaison sp\u00e9cifique des quatre facteurs suivants :<\/p>\n

    \n
  1. Type d'application<\/li>\n
  2. Donn\u00e9es sur lesquelles l'application op\u00e8re<\/li>\n
  3. Architecture CPU\/mat\u00e9riel<\/li>\n
  4. le type et la g\u00e9n\u00e9ration de l'unit\u00e9 centrale, y compris la disponibilit\u00e9 des mises \u00e0 jour du microcode, notamment en ce qui concerne la variante 2 de Spectre (voir ci-dessus, section 2).<\/li>\n<\/ol>\n

    Le mieux que l'on puisse dire est que les applications qui effectuent de tr\u00e8s longs calculs dans l'unit\u00e9 centrale sans acc\u00e9der \u00e0 la m\u00e9moire sont les moins touch\u00e9es. J'esp\u00e8re que ces explications permettront de comprendre pourquoi, du point de vue de Suse, il est plus s\u00e9rieux de ne pas publier de chiffres sur l'impact des mises \u00e0 jour de s\u00e9curit\u00e9 actuelles sur les performances, m\u00eame si un tel impact semble in\u00e9vitable en fonction des circonstances.<\/p>\n

    Nous conseillons n\u00e9anmoins \u00e0 tous nos clients d'appliquer le plus rapidement et le plus r\u00e9guli\u00e8rement possible les mises \u00e0 jour du syst\u00e8me d'exploitation et du microcode dans le cadre de leurs processus de gestion du changement, afin de minimiser les risques li\u00e9s \u00e0 cette famille de failles de s\u00e9curit\u00e9 nouvellement d\u00e9couvertes - et pourtant \u00e9tonnamment anciennes.<\/p>\n

    \"https:\/\/e3mag.com\/partners\/suse-linux-gmbh\/\"<\/a><\/p>\n

    \n

    \"Spectre,<\/a><\/p>\n

     <\/p>","protected":false},"excerpt":{"rendered":"

    La famille de failles de s\u00e9curit\u00e9 des processeurs principaux, commun\u00e9ment appel\u00e9e \"Spectre\" et \"Meltdown\", peut \u00eatre consid\u00e9r\u00e9e \u00e0 juste titre comme le tournant le plus grave dans l'\u00e9volution de l'informatique de ces 50 derni\u00e8res ann\u00e9es.<\/p>","protected":false},"author":1423,"featured_media":36810,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,20719],"tags":[],"coauthors":[21831],"class_list":["post-34497","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag-1803","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",400,176,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-768x339.jpg",768,339,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-100x44.jpg",100,44,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-480x212.jpg",480,212,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-640x282.jpg",640,282,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-720x318.jpg",720,318,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-960x423.jpg",960,423,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",1000,441,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",600,265,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308.jpg",600,265,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_786788308-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Die allgemein als \u201eSpectre\u201c und \u201eMeltdown\u201c bekannte Familie von Sicherheitsl\u00fccken in Hauptprozessoren k\u00f6nnen wir mit Fug und Recht als den schwerwiegendsten Einschnitt in der Entwicklung der IT der vergangenen 50 Jahre bezeichnen.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 18-03<\/a>","author_info_v2":{"name":"Matthias G. Eckermann, Suse","url":"https:\/\/e3mag.com\/fr\/author\/matthias-eckermann\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/34497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1423"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=34497"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/34497\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/36810"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=34497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=34497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=34497"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=34497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}