MacBidouille

Intel a officiellement réagi au sujet de la faille de design de ses puces dont nous vous avons parlé hier. Assez clairement, la société tente de minimiser sa responsabilité.
Pour commencer, elle explique que malgré les descriptions faites de ce problème, il ne permet pas de modifier, de supprimer ou de corrompre des données. Pour rappel, on lui reproche simplement de pouvoir les lire.
Ensuite, Intel explique que le problème n'est pas propre à ses produits et travaille avec AMD et ARM pour trouver une solution sur le long terme.
A court terme le microcode de ses processeurs sera modifié pour minimiser l'impact de ce bug. A long terme, cela passera par une modification des circuits processeurs.

De l'autre côté, la faille a été dévoilée. En fait il y a en a deux, baptisées Meltdown et Spectre, qui sont présentes depuis 1995. Le premier ne concerne que les processeurs Intel, c'est celui dont on a parlé avec une possibilité de correctif logiciel mais entrainant une perte de performances (peu sensible pour le grand public).
Spectre est une faille permettant aussi un accès à la mémoire protégée d'autres applications et à leur contenu. Elle touche les puces Intel, AMD et ARM, soit l'essentiel de ce qui a un processeur sauf cas particuliers comme les coeurs ARM destinés à l'internet des objets. Heureusement, Spectre est assez complexe à mettre en oeuvre, surtout à grande échelle. Ce n'est pas plus mal étant donné que l'on ne peut combler ces failles sans une profonde modification du design des puces. Celles déjà commercialisées resteront vulnérables.

Nous vous tiendrons informés d'autres informations pertinentes à ce sujet.

[MàJ] The Guardian (merci Patrick) nous apprend qu'une action en recours collectif a été lancée contre Intel aux Etats-Unis. Les plaignants demandent une compensation pour les conséquences provoquées par la faille.

La seconde étape médiatique du Batterygate a démarré. Les médias généralistes commencent à relater le fait qu'Apple bride volontairement les anciens modèles d'iPhone. Bien entendu la partie dans laquelle la société justifie cette décision pour préserver le fonctionnement des appareils est mise de côté est oubliée, ne laissant que le bridage et la perte de performances au programme.
9to5Mac relate par ailleurs que deux actions en recours collectif ont été lancées aux Etats-Unis dans la foulée des aveux d'Apple. La première accuse Apple de brider volontairement d'anciens modèles tandis que la seconde se focalise sur l'iPhone 7 en particulier.

On n’en a pas fini avec cette histoire et nous pensons qu'elle va coûter très cher à Apple, d'autant plus qu'elle tombe à la période la plus importante pour tous les commerçants.

[MàJ] La Presse nous apprend que deux actions en recours collectif ont également été engagées contre Apple au Canada.

Apple a annoncé avoir battu des nouveaux records de vente sur son App Store. Pour le seul jour de l'an, ce sont 300 millions de dollars qui ont transité via cette plateforme logicielle.
Les revenus des développeurs ont progressé en 2017 de 30% par rapport à 2016, atteignant 26,5 milliards de dollars.

Brian Krzanich, CEO d'Intel, a liquidé le maximum des actions dont il pouvait légalement se séparer.
Officiellement c'est une opération sans aucun lien avec l'actualité. Officieusement, on le soupçonne d'avoir voulu transformer en argent les actions qui avec les failles annoncées pouvaient voir leur cours plonger.
On notera qu'il a vendu les actions après les annonces officielles de ces failles et à un cours proche de l'actuel. Il n'a donc pas bénéficié de ce que l'on appellerait un délit d'initié.
Toutefois ce manque de confiance du CEO à un moment aussi délicat ne va pas donner un signe favorable aux marchés.

Apple est actuellement très réactive et a déjà publié une note au sujet des failles Spectre et Meltdown. En voici une traduction:

A propos des vulnérabilités d'exécution spéculatives dans les processeurs Intel et ARM

Les chercheurs en sécurité ont récemment découvert des problèmes de sécurité connus sous deux noms, Meltdown et Spectre. Ces problèmes s'appliquent à tous les processeurs modernes et affectent presque tous les périphériques informatiques et systèmes d'exploitation. Tous les systèmes Mac et les appareils iOS sont concernés, mais aucune attaque connue n'a d'impact sur les clients pour le moment. Dans la mesure où l'exploitation de la plupart de ces problèmes nécessite le chargement d'une application malveillante sur votre Mac ou votre appareil iOS, nous vous recommandons de télécharger le logiciel uniquement à partir de sources fiables telles que l'App Store. Apple a déjà publié des atténuations dans iOS 11.2, macOS 10.13.2 et tvOS 11.2 pour aider à se défendre contre Meltdown. L'Apple Watch n'est pas affectée par Meltdown. Dans les prochains jours, nous prévoyons de publier des mesures d'atténuation dans Safari pour aider à se défendre contre Spectre. Nous continuons à développer et tester d'autres mesures d'atténuation pour ces problèmes et les publierons dans les prochaines mises à jour d'iOS, macOS, tvOS et watchOS.

Contexte

Les failles Meltdown et Spectre tirent parti d'une fonctionnalité de performance du processeur moderne appelée exécution spéculative. L'exécution spéculative améliore la vitesse en fonctionnant sur plusieurs instructions à la fois, éventuellement dans un ordre différent de celui qui est entré dans la CPU. Pour augmenter les performances, l'UC prédit quel chemin d'une branche est le plus susceptible d'être emprunté, et poursuivra l'exécution spéculative sur ce chemin avant même que la branche ne soit terminée. Si la prédiction était fausse, cette exécution spéculative est annulée d'une manière qui est destinée à être invisible pour le logiciel.

Les techniques d'exploitation Meltdown et Spectre abusent de l'exécution spéculative pour accéder à la mémoire privilégiée - y compris celle du noyau - à partir d'un processus utilisateur moins privilégié tel qu'une application malveillante s'exécutant sur un périphérique.

Meltdown

Meltdown est un nom donné à une technique d'exploitation connue sous le nom de CVE-2017-5754 ou "chargement de cache de données frauduleuses". La technique Meltdown peut permettre à un processus utilisateur de lire la mémoire du noyau. Notre analyse suggère qu'elle a le plus de potentiel à exploiter. Apple a publié des atténuations pour Meltdown dans iOS 11.2, macOS 10.13.2 et tvOS 11.2. watchOS n'a pas besoin d'être traité. Nos tests avec des benchmarks publics ont montré que les changements apportés aux mises à jour de décembre 2017 n'ont entraîné aucune réduction mesurable des performances de macOS et iOS telles que mesurées par le benchmark GeekBench 4 ou des benchmarks de navigation Web courants tels que Speedometer, JetStream et ARES- 6.

Spectre

Spectre est un nom couvrant deux techniques d'exploitation différentes connues sous le nom de CVE-2017-5753 ou «bounds check bypass», et CVE-2017-5715 ou «injection de cible de branche». Ces techniques rendent potentiellement les éléments de la mémoire du noyau disponibles pour les processus utilisateur en profitant d'un délai dans le temps que le processeur peut demander pour vérifier la validité d'un appel d'accès à la mémoire.

L'analyse de ces techniques a révélé que, même si elles sont extrêmement difficiles à exploiter, même lorsqu'elles sont exécutées localement sur un appareil Mac ou iOS, elles peuvent être potentiellement exploitées en JavaScript dans un navigateur Web. Apple va publier une mise à jour pour Safari sur macOS et iOS dans les prochains jours pour atténuer ces techniques d'exploitation. Nos tests actuels indiquent que les prochaines mesures d'atténuation de Safari n'auront aucun impact mesurable sur les tests de compteur de vitesse et d'ARES-6 et un impact de moins de 2,5% sur le benchmark JetStream. Nous continuons à développer et à tester d'autres mesures d'atténuation dans le système d'exploitation pour les techniques Spectre, et les publierons dans les prochaines mises à jour d'iOS, macOS, tvOS et watchOS.

Apple a rarement été aussi pédagogue sur des problèmes de sécurité, probablement le début d'une nouvelle manière de communiquer globalement.

Notez que dans le même temps Intel a annoncé le déploiement de patchs qui devraient régler le problème sur 90% de ses processeurs.