C'est vrai que les processeurs ARM n'ont pas eu de faille...
Tiens ? Ha ben si en fait.
Ah mais j'ai jamais dit le contraire!
Dès l'annonce de la faille Meltdown, on savait que le Cortex-A75 y était aussi vulnérable.
Concernant l'exemple du Cortex-A53, cela m'a paru bizarre car c'était justement un des rares cœur processeur à ne pas sensé être touché par les failles Spectre, car exécutant ses instructions dans l'ordre (In Order). Je n'ai rien trouvé qui puisse expliquer ce résultat, et savoir si il s'agit d'un faux positif ou pas.
Par contre, je suis tombé sur un papier décrivant une faille nommée SisCloak, et qui indiquerait que les Cortex-A53 sont aussi vulnérables à cause, encore une fois, de l'usage d'un mécanisme de spéculation. S'agirait-il de la faille relevé par la commande lscpu?
Toujours est-il que j'ai l'impression qu'il y a beaucoup plus de failles du côté du x86 que du côté de ARM, peut-être à cause d'une couverture sensationnaliste dans le cas du premier, c'est vrai. Il y en a eu beaucoup, la dernière faille que je peux nommer est Zenbleed qui affecte tous les processeurs Zen2 (et donc certains processeurs sortis il n'y a pas si longtemps).
Mais il n'y a pas eu que des failles matérielles! Je me souviens des vulnérabilités qui ont touché le ME d'Intel (apparemment un système MINIX 3 embarqué), et tout le bruit que cela avait fait à l'époque.
Il y a aussi eu récemment, au niveau de l'UEFI cette fois, le bootkit BlackLotus qui, d'après un article que j'avais lu à l'époque, était uniquement possible car des certificats non-signé par Microsoft devait être accepté pour permettre à des distributions GNU/Linux tierces de booter avec Secure Boot. Ça pourrait même être une des motivations de Microsoft pour pousser son co-processeur de sécurité Pluton qui est déjà décrié.
Bref, je me rends surtout compte que je n'ai aucun contrôle sur le matériel d'un futur appareil, ni sur les logiciels qui y sont embarqués et tournent en-dessous de l'OS.
C'est ce constat qui m'a entre autre fait relativisé l'importance d'avoir un système Linux installé sur mes machines (le fameux "à quoi bon"), ce critère devenant moins décisif dans le choix de mes futurs appareils.
Ainsi, mon besoin de rester dans l'écosystème Apple sans subir sa politique commerciale pour ses iPhone a pris plus d'importance, et m'a fait envisager l'acquisition d'un iPad, avant que le présent journal ne fasse plutôt pencher vers un Mac.
Quant aux restrictions par Microsoft, des solutions comme le DMA devraient in fine leur interdire d'interdire l'installation de Linux sur PC.
Honnêtement, je ne sais pas du tout si le DMA couvre le mécanisme de boot et sa sécurisation. Et même si c'était le cas, je ne suis pas sûr qu'avec tout ce que Microsoft a déjà mis en place les autorités européennes vont imposer que n'importe quel système d'exploitation puisse booter sur n'importe quel PC, et à la place juste se contenter d'un engagement de la part de Microsoft à certifier les quelques grandes distributions Linux.
Idéalement, il faudrait que ce soit un organisme indépendant qui gère l'UEFI et les autres mécanismes de boot de manière à ce que, peu importe le système qu'on veuille démarrer, la sécurité des données de l'utilisateur ne soit jamais compromise, et ce en édictant des normes et en proposant un logiciel standard.
Or là, on en prend pas le chemin, et part peut-être imposer coreboot comme standard, on aura toujours le risque d'un système se fermant de plus en plus au nom de la sécurité, et qui prétériterait les petites distributions Linux et d'autres systèmes alternatifs.
[^] # Re: Un récit d'anticipation
Posté par De_passage . En réponse au journal La carte d'identité européenne eIDAS bientôt requise pour utiliser les grandes plateformes?. Évalué à 0.
Ah mais j'ai jamais dit le contraire!
Dès l'annonce de la faille Meltdown, on savait que le Cortex-A75 y était aussi vulnérable.
Concernant l'exemple du Cortex-A53, cela m'a paru bizarre car c'était justement un des rares cœur processeur à ne pas sensé être touché par les failles Spectre, car exécutant ses instructions dans l'ordre (In Order). Je n'ai rien trouvé qui puisse expliquer ce résultat, et savoir si il s'agit d'un faux positif ou pas.
Par contre, je suis tombé sur un papier décrivant une faille nommée SisCloak, et qui indiquerait que les Cortex-A53 sont aussi vulnérables à cause, encore une fois, de l'usage d'un mécanisme de spéculation. S'agirait-il de la faille relevé par la commande lscpu?
Toujours est-il que j'ai l'impression qu'il y a beaucoup plus de failles du côté du x86 que du côté de ARM, peut-être à cause d'une couverture sensationnaliste dans le cas du premier, c'est vrai. Il y en a eu beaucoup, la dernière faille que je peux nommer est Zenbleed qui affecte tous les processeurs Zen2 (et donc certains processeurs sortis il n'y a pas si longtemps).
Mais il n'y a pas eu que des failles matérielles! Je me souviens des vulnérabilités qui ont touché le ME d'Intel (apparemment un système MINIX 3 embarqué), et tout le bruit que cela avait fait à l'époque.
Il y a aussi eu récemment, au niveau de l'UEFI cette fois, le bootkit BlackLotus qui, d'après un article que j'avais lu à l'époque, était uniquement possible car des certificats non-signé par Microsoft devait être accepté pour permettre à des distributions GNU/Linux tierces de booter avec Secure Boot. Ça pourrait même être une des motivations de Microsoft pour pousser son co-processeur de sécurité Pluton qui est déjà décrié.
Bref, je me rends surtout compte que je n'ai aucun contrôle sur le matériel d'un futur appareil, ni sur les logiciels qui y sont embarqués et tournent en-dessous de l'OS.
C'est ce constat qui m'a entre autre fait relativisé l'importance d'avoir un système Linux installé sur mes machines (le fameux "à quoi bon"), ce critère devenant moins décisif dans le choix de mes futurs appareils.
Ainsi, mon besoin de rester dans l'écosystème Apple sans subir sa politique commerciale pour ses iPhone a pris plus d'importance, et m'a fait envisager l'acquisition d'un iPad, avant que le présent journal ne fasse plutôt pencher vers un Mac.
Honnêtement, je ne sais pas du tout si le DMA couvre le mécanisme de boot et sa sécurisation. Et même si c'était le cas, je ne suis pas sûr qu'avec tout ce que Microsoft a déjà mis en place les autorités européennes vont imposer que n'importe quel système d'exploitation puisse booter sur n'importe quel PC, et à la place juste se contenter d'un engagement de la part de Microsoft à certifier les quelques grandes distributions Linux.
Idéalement, il faudrait que ce soit un organisme indépendant qui gère l'UEFI et les autres mécanismes de boot de manière à ce que, peu importe le système qu'on veuille démarrer, la sécurité des données de l'utilisateur ne soit jamais compromise, et ce en édictant des normes et en proposant un logiciel standard.
Or là, on en prend pas le chemin, et part peut-être imposer coreboot comme standard, on aura toujours le risque d'un système se fermant de plus en plus au nom de la sécurité, et qui prétériterait les petites distributions Linux et d'autres systèmes alternatifs.
Mais j'espère vraiment me tromper.