COMPTOIR
register

Composé par ————— —— 12836 vues

La prochaine rustine Windows 10 sera optimisée "failles et performances"

Microsoft, avec Intel, a publié tout un tas de rustipatchs pour éradiquer les failles Spectre et Meltdown sous toutes leurs formes connues. Intel étant plus vulnérable sur ce sujet qu'AMD pour ce qui est des processeurs pré-Core i9000 rectifiés en hardware, ce sujet reste sensible. On a vu que ces correctifs, peu importe leur forme, ont eu un impact sur les performances des puces Intel avec des baisses, même légères. Du coup, Microsoft, via la voix de Mehmet Iyigun qui fait partie de la team Kernel Azure/Windows, la prochaine rustine de la Raymonde sera étudiée pour minimiser ces pertes de performances. Elle devrait arriver durant le premier semestre 2019.

 

Yes, we have enabled retpoline by default in our 19H1 flights along with what we call "import optimization" to further reduce perf impact due to indirect calls in kernel-mode. Combined, these reduce the perf impact of Spectre v2 mitigations to noise-level for most scenarios

 

Cette orientation fut découverte par un twittos Alex Ionescu qui est un spécialiste Windows et expert en sécurité qui s'est rendu compte que sur sa version Windows du premier semestre 2019 en accès très anticipé, c'était le kernel Retpoline qui était actif, et que ses transferts étaient plus rapides sur les blocs de petite taille. Mehmet a donc répondu en certifiant que c'était effectivement un des axes de travail sur la W10 1H2019. Bon beh c'est tout mais c'est bien, il fallait le faire quand même.

 

windows10 logo blague maj

Un poil avant ?

Comptoiroscope • Soulcalibur VI : bridé et débridé

Un peu plus tard ...

Soul Calibur 6 : fastoche pour nos GPU, normal !

Les 22 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Jemporte, le Dimanche 21 Octobre 2018 à 20h53  
par AntiZ le Dimanche 21 Octobre 2018 à 10h47
Les lambdas ne savent pas ce qu'ils font.

L'espionnage industriel existe, et bien plus qu'on ne le croit. C'est plus facile de cibler l'employé chez lui que dans sa boîte
...
En même temps on n'est plus en pointe nulle part.
Même au niveau de la défense nationale. Les Russes on sorti des fusées à 12 têtes nucléaires de 10 MT qui vont nous arriver dessus à Mach 8/10, qu'ils ont basé en terrain occupé pris à l'Ukraine en Crimée, et construisent des abris anti-atomiques à tour de bras, et on se demande pourquoi.
Notre réaction : on a stoppé le commerce avec eux (à notre désavantage). Et on a réduit notre armement à 1 sous-marin en mer (alors qu'on en avait 7 dont 3 en mer) avec de nouveaux missiles dont la plupart des derniers tirs ont été des échecs (du jamais vu historique) montés de têtes nucléaires moins puissantes de 100kt. Et pas l'ombre d'un soupçon d'un plan d'abris anti-atomique chez nous (c'est même considéré construction polluante et taxée). Par contre, gros efforts qui tuent notre économie sur le tout bois (on importe même du bois russe pour remplacer notre béton français) et politique de "stockage carbone", basée sur des calculs truqués, et des hypothèses d'hypothèses de réchauffement climatique dû au CO2...
par Un ragoteur macagneur en Auvergne-Rhône-Alpes, le Dimanche 21 Octobre 2018 à 14h29  
par AntiZ le Dimanche 21 Octobre 2018 à 11h56
Heureusement, peu de ces gens s'intéressent à Linux.
Et pour cause, c'est l'anarchie de la distribution des égos...

A moins que ce soit le nouveau buzzword pour dissimuler son incompétence?
par Un ragoteur macagneur en Auvergne-Rhône-Alpes, le Dimanche 21 Octobre 2018 à 14h25  
par Un ragoteur pragmatique en Île-de-France le Dimanche 21 Octobre 2018 à 10h56
Je croyais m'adresser à une "élite" sur ce forum, mais j'ai soudain quelques doutes en vous lisant...
L'élite du software dans l'hexagone... ça vole pas plus haut qu'une administration publique, le plus gros de secteur stimulant la demande en France devant les banques.

Quant aux aspirations de supplanter les GAFAM...
par AntiZ, le Dimanche 21 Octobre 2018 à 11h56  
par Un ragoteur pragmatique en Île-de-France le Dimanche 21 Octobre 2018 à 10h56
Je croyais m'adresser à une "élite" sur ce forum, mais j'ai soudain quelques doutes en vous lisant...
 
pour quelqu'un qui sait ce qu'il fait


Soit tu as du mal à t'exprimer, soit tu es sur tes grands chevaux, ou les deux

Donc reprenons, combien de personnes savent ce qu'ils font vraiment ?
C'est pas les kikitoudour et autres qui trainent ici en ne jurent que par le marketting (fréquences, "esthétisme", "hurr durr mah FPS", etc) qui sauront ce qu'il faut vraiment faire.

Autant dire d'une que seul une poignée d'entre nous sait réellement s'y prendre, et que tous les autres méritent les mises à jours forcées qu'on doit malheureusement se coltiner aussi.

Heureusement, peu de ces gens s'intéressent à Linux.
par Un ragoteur pragmatique en Île-de-France, le Dimanche 21 Octobre 2018 à 10h56  
par AntiZ le Dimanche 21 Octobre 2018 à 10h47
Les lambdas ne savent pas ce qu'ils font.
Je croyais m'adresser à une "élite" sur ce forum, mais j'ai soudain quelques doutes en vous lisant...
par AntiZ, le Dimanche 21 Octobre 2018 à 10h47  
par Un ragoteur pragmatique en Île-de-France le Dimanche 21 Octobre 2018 à 09h33
Donc, je confirme: pour quelqu'un qui sait ce qu'il fait et ne partage pas sa machine avec des étrangers, ces mitigations sont inutiles.
Les lambdas ne savent pas ce qu'ils font.

L'espionnage industriel existe, et bien plus qu'on ne le croit. C'est plus facile de cibler l'employé chez lui que dans sa boîte. Surtout quand ils en ont rien à foutre de la sécurité en faisant je ne sais quoi pour se faciliter la vie.

A partir de là, c'est loin d'être inutile. Surtout quand une faille quasi-irréparable existera encore pour longtemps. Les idiots kikitoudur vont clairement faciliter l'exploit.
Une faille difficilement exploitable mais très durable vaut clairement plus le coup de l'exploiter qu'une tonne de failles qui tomberont tôt ou tard.

C'est comme le vaccin, plus les gens se protègent, moins c'est rentable de s'y frotter: C'est l'Herd Immunity.
par Un ragoteur pragmatique en Île-de-France, le Dimanche 21 Octobre 2018 à 09h33  
par AntiZ le Samedi 20 Octobre 2018 à 16h10
Même si il faut perdre en performances (et là c'est pas grand chose), la sécurité d'abord.
Spectre et Meltdown nécessitent la construction d'un canal parallèle (side channel) pour inférer (et non lire) la valeur de chaque octet ciblé: ceci se fait uniquement en mesurant le temps de lecture d'un emplacement mémoire (dont on déduit la présence ou non dans une ligne de cache donnée pour inférer la valeur de l'octet cible). Elles sont lentes (quelques dizaines de Ko/s au mieux) car elles requièrent un grand nombre d'essais pour chaque octet inféré (les caches étant perturbés par l'OS et les autres programmes) et impliquent qu'une mesure très précise du temps soit disponible pour autoriser le chronométrage (e.g. les navigateurs web à jour dégradent volontairement ces mesures sous Javascript).

Pour attaquer une machine vulnérable il faut:
- soit pouvoir y faire tourner un programme "vérolé"; introduire un simple virus est plus facile et plus rentable (accès total en lecture *et* écriture à la mémoire, et à pleine vitesse).
- soit faire exécuter un script à un programme vulnérable: par exemple, faire exécuter du JavaScript, Java ou Flash à un navigateur web.

Pour une machine perso avec les navigateur, lecteur PDF, client email, moteurs Java et Flash à jour (et donc non vulnérables), vous ne risquez rien.

Ces attaques sont en revanche très efficaces sur des serveurs de machines virtuelles: si vous avez un accès légal à une des VM, vous pouvez faire tourner votre programme d'attaque dessus pour lire la mémoire du serveur et/ou des autres VM...

Donc, je confirme: pour quelqu'un qui sait ce qu'il fait et ne partage pas sa machine avec des étrangers, ces mitigations sont inutiles.
par AntiZ, le Samedi 20 Octobre 2018 à 16h10  
par Feunoir le Samedi 20 Octobre 2018 à 09h56
ils auraient peut être pu se poser la question "tous les 6 mois c'est pas un poil trop rapide?" ou "pour rester à 6 mois on devrait peut être modifier windows avec un système de brique/module/... pour chaques parties articulé autour d'un petit noyau modifié peu souvent, ils seraient remplaçables à chaud plutôt qu'avec ce système d'installation trop risqué/lourd/impactant/souvent fait"
Concernant l'optimisation, peut être vont ils aussi se pencher sur le nouveau truc de protection trouvé pour lutter contre ces failles ( https://www.engadget.com/2018/10/18/mit-dawg-fights-spectre-attacks/ )
Merci le rythme de 6 mois démentiel venant de Fedora, cette connerie sans nom.

Même en LTS et tous les deux ans ça ne suffit pas, Ubuntu reste toujours instable.

La meilleure solution c'est le "When it's ready" si on veut du vrai stable. Je comprends toujours pas comment les gars ont pu penser autrement pour le software principal d'un PC...

On ne devrait d'ailleurs changer/upgrade l'OS que tous les cinq ans, avec un support de 10 ans au total pour commencer à être un minimum sérieux.
par Un ragoteur pragmatique en Île-de-France le Samedi 20 Octobre 2018 à 12h06
Avec ce genre d'idée, pas étonnant que c'est une des raisons majeures pour lesquelles Microsoft veut imposer les mises à jours.

Même si il faut perdre en performances (et là c'est pas grand chose), la sécurité d'abord.
par davidly, le Samedi 20 Octobre 2018 à 13h25  
par Thomas N. le Samedi 20 Octobre 2018 à 09h03
Paramètres > Confidentialité > Microphone
Vérifie que les applications sont autorisées à accéder à ton micro, chez moi ça s'était mis sur Off suite à une mise à jour.
Vraiment merci ! Ayant l'habitude des vieux Windows, j'avais pas du tout pensé à regarder dans ces paramètres, surtout que c'était pour des applis classiques et non celles du Microsoft Store.
par Un ragoteur pragmatique en Île-de-France, le Samedi 20 Octobre 2018 à 12h06  
par Xorg le Samedi 20 Octobre 2018 à 08h08
Il faut dire que quand Spectre et Meltdown ont été découvertes, il a fallu reboucher rapidement les failles, quitte à y perdre en performance.
Maintenant que les failles sont corrigées, il est normal d'essayer d'optimiser tout ça. C'est le même cas pour Linux, comme par exemple RELPOLINES qui est une nouvelle approche plus performante que Retpolines.
Si vous n'hébergez aucun compte tiers (comptes autre que le vôtre ou ceux de vos proches), et que vous avez mis à jour les logiciels potentiellement vulnérables à des attaques en provenance de l'extérieur (typiquement le navigateur web qui pourrait être vulnérable via JavaScript, mais c'est aussi le cas, par exemple, d'un lecteur de document PDF ou de certains clients email pouvant exécuter des scripts) sur un ordinateur, inutile d'activer toutes ces mitigations coûteuses en performances.

Pour ma part, tous ces contournements sont désactivés sous Linux et je dors sur mes deux oreilles.

Ces mitigations ne concernent véritablement que les serveurs hébergeant des services accessibles par des tiers (non de confiance).
par Xorg, le Samedi 20 Octobre 2018 à 11h59  
par Un ragoteur qui draille en Auvergne-Rhône-Alpes le Samedi 20 Octobre 2018 à 11h36
Donc tu serais prêt à potentiellement rester sans capote pendant 24 mois...
Les versions LTS reçoivent des mises à jour de correction et de sécurité. Donc tu ne restes pas sans protection. Tu ne recevras pas de nouvelles fonctionnalités, c'est tout.
par Un ragoteur qui draille en Auvergne-Rhône-Alpes, le Samedi 20 Octobre 2018 à 11h36  
par Un médecin des ragots en Nouvelle-Aquitaine le Samedi 20 Octobre 2018 à 10h42
Un truc que je trouve un peu débile c'est que Microsoft ne veut pas suivre le modèle de Canonical pour le grand public, c'est à dire une version LTS tout les 2 ans et une version "normale" tout les 6 mois et une version Very Long Time Support pour Windows Entreprise et Windows Server qui utiliseraient une version LTS sur deux (donc nouvelle release tout les 4 ans) mais resterais supportées chacune 10 ans (un peu comme les version Server et LTSB/C actuelles mais plus généralisé pour les entreprises).
Donc tu serais prêt à potentiellement rester sans capote pendant 24 mois...