Faille de sécurité majeure dans les microprocesseurs Intel fabriqués depuis 10 ans

Disons qu'il existe un tout petit nombre de personnes capables de lire ce code source du noyau Linux et de le comprendre, le reste est une histoire de confiance en ces personnes.

Au delà du code source du noyau Linux, il y a autre chose d'encore plus vital que l'OS, c'est ce que l'on appelle communément le BIOS et qui est désormais devenu le UEFI.

Ce petit programme est d'une très grande complexité logique. Sa complexité est l'objet de la théorie des moniteurs (curieusement on ne trouva pas grand chose à ce sujet sur le net, et pourtant...)

Ah si un lien vers cette théorie d'un prof de fac libanais ici : http://www.lb.refer.org/chebaro/page5_6.htm

AndréC a écrit:Disons qu'il existe un tout petit nombre de personnes capables de lire ce code source du noyau Linux et de le comprendre, le reste est une histoire de confiance en ces personnes.

Au delà du code source du noyau Linux, il y a autre chose d'encore plus vital que l'OS, c'est ce que l'on appelle communément le BIOS et qui est désormais devenu le UEFI.

Ce petit programme est d'une très grande complexité logique. Sa complexité est l'objet de la théorie des moniteurs (curieusement on ne trouva pas grand chose à ce sujet sur le net, et pourtant...)

Je trouve un côté rock'n'roll à Linus Torvalds


Et franchement Richard Stallman ne peut être que gentil...


Oui concernant le BIOS je vois bien ce dont il est question. D'ailleurs j'ai l'impression que c'est de plus en plus difficile de le bidouiller sur les PC récents. Par exemple, j'ai du enlever une sécurité (puis la remettre) pour booter un live DVD Debian récemment. Sur mon ancien PC il n'y avait rien de tout cela.

Les ordinateurs récents n'utilisent plus le BIOS qui était relativement simple, mais l'UEFI qui est beaucoup plus puissant. https://doc.ubuntu-fr.org/uefi Pour installer Linux, désormais, il faut le savoir...

AndréC a écrit:Ah si un lien vers cette théorie d'un prof de fac libanais ici : http://www.lb.refer.org/chebaro/page5_6.htm

Euh...

AndréC a écrit:Les ordinateurs récents n'utilisent plus le BIOS qui était relativement simple, mais l'UEFI qui est beaucoup plus puissant. https://doc.ubuntu-fr.org/uefi Pour installer Linux, désormais, il faut le savoir...

Oui c'est le tuto que j'avais regardé ! Effectivement j'écris BIOS par habitude mais c'est bien l'UEFI que j'ai du bidouiller.

J'en ai trouvé d'autres en français ici, guère plus clairs, c'est vraiment compliqué, à la fac, sur 200 étudiants, un seul arrivait à programmer un truc sur les moniteurs sans se tromper.

Edit : le lien vers l'UPMC : http://www-int.impmc.upmc.fr/impmc/Enseignement/ye/informatique/systemes/chap3/321.html

AndréC a écrit:J'en ai trouvé d'autres en français ici, guère plus clairs, c'est vraiment compliqué, à la fac, sur 200 étudiants, un seul arrivait à programmer un truc sur les moniteurs sans se tromper.

Edit : le lien vers l'UPMC : http://www-int.impmc.upmc.fr/impmc/Enseignement/ye/informatique/systemes/chap3/321.html

Cela à l'air génial, mais c'est bien au-delà de mes modestes connaissances. J'en suis venu à m'intéresser à l'informatique en installant, à l'époque, Ubuntu 10.04 LTS, pour me débarasser de Vista.

tient, surprenant, le mien aussi est vulnérable

Bon, il l'a été X années, il le restera un peu je pense, vu que je fais partie de cette partie de la population qui joue sur son PC, je vais perdre 30% de perf sur le proc
Heureusement que ce n'est pas le facteur limitant de mon pc pour le moment ...

AndréC a écrit:

Kilmeny a écrit:Oui, mais je n'aurai pas la date de lancement. Je connais mon processeur. C'est un intel (r) core (tm) 2 quad cpu q8300. Il est concerné ou date d'avant la faille ?

La liste des processeurs concernés est ici sur le site d'Intel :

https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Je cite :

Intel a écrit:Systems using Intel ME Firmware versions 6.x-11.x, servers using SPS Firmware version 4.0, and systems using TXE version 3.0 are impacted. You may find these firmware versions on certain processors from the:

1st, 2nd, 3rd, 4th, 5th, 6th, 7th, and 8th generation Intel® Core™ Processor Families
Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel Atom® C3000 Processor Family
Apollo Lake Intel Atom® Processor E3900 series
Apollo Lake Intel® Pentium® Processors
Intel® Pentium® Processor G Series
Intel® Celeron® G, N, and J series Processors
To determine if the identified vulnerabilities impact your system, download and run the Intel-SA-00086 Detection tool

Merci beaucoup !!

LaMaisonQuiRendFou a écrit:

AndréC a écrit:J'en ai trouvé d'autres en français ici, guère plus clairs, c'est vraiment compliqué, à la fac, sur 200 étudiants, un seul arrivait à programmer un truc sur les moniteurs sans se tromper.

Edit : le lien vers l'UPMC : http://www-int.impmc.upmc.fr/impmc/Enseignement/ye/informatique/systemes/chap3/321.html

Cela à l'air génial, mais c'est bien au-delà de mes modestes connaissances. J'en suis venu à m'intéresser à l'informatique en installant, à l'époque, Ubuntu 10.04 LTS, pour me débarasser de Vista.

La théorie des moniteurs, c'est un truc qui rend fou (comme la maison) ou du moins pas loin.

Le problème est le suivant, le processeur ou microprocesseur d'un ordinateur est utilisé par plusieurs processus (programmes en train d'être exécuté). Le microprocesseur est unique (c'était le cas au début de l'informatique) et doit donc être partagé entre différents processus qui veulent se servir du processeur pour pouvoir être exécuté chacun à leur tour.

Chaque processus est exécuté sur le processeur unique. Le moniteur est lui aussi un processus qui s'exécute comme tous les autres sur le processeur (unique).

Mais comment le moniteur va t-il pouvoir désormais s'exécuter sur processeur puisque un autre s'exécute désormais à sa place ?
Comment le moniteur peut-il savoir que l'autre processus ne s'exécute plus (et que donc il peut prendre sa place) puisque lui-même ne s'exécute plus non plus ?

La théorie des moniteurs répond à ce problème et permet de partager le processeur entre plusieurs processus.

C'est vraiment un problème de fous ...

AndréC a écrit:

LaMaisonQuiRendFou a écrit:

AndréC a écrit:J'en ai trouvé d'autres en français ici, guère plus clairs, c'est vraiment compliqué, à la fac, sur 200 étudiants, un seul arrivait à programmer un truc sur les moniteurs sans se tromper.

Edit : le lien vers l'UPMC : http://www-int.impmc.upmc.fr/impmc/Enseignement/ye/informatique/systemes/chap3/321.html

Cela à l'air génial, mais c'est bien au-delà de mes modestes connaissances. J'en suis venu à m'intéresser à l'informatique en installant, à l'époque, Ubuntu 10.04 LTS, pour me débarasser de Vista.

Les moniteurs, c'est un truc qui rend fou (comme la maison) ou du moins pas loin.

Le problème est le suivant, le processeur ou microprocesseur d'un ordinateur est utilisé par plusieurs processus (programmes en train d'être exécuté). Le microprocesseur est unique (c'était le cas au début de l'informatique) et doit donc être partagé entre différents processus qui veulent se servir du processeur pour pouvoir être exécuté chacun à leur tour.

Chaque processus est exécuté sur le processeur unique. Le moniteur est lui aussi un processus qui s'exécute comme tous les autres sur le processeur (unique).

Mais comment le moniteur va t-il pouvoir désormais s'exécuter sur processeur puisque un autre s'exécute désormais à sa place ?
Comment le moniteur peut-il savoir que l'autre processus ne s'exécute plus (et que donc il peut prendre sa place) puisque lui-même ne s'exécute plus non plus ?

Le moniteur répond à ce problème et permet de partager le processeur entre plusieurs processus.

C'est vraiment un problème de fous ...

Vous expliquez bien !

C'est exactement comme quand on ouvre le gestionnaire des tâches dans Windows et que l'on consulte l'onglet processus ?

LaMaisonQuiRendFou a écrit:
C'est exactement comme quand on ouvre le gestionnaire des tâches dans Windows et que l'on consulte l'onglet processus ?

Les processus sont ceux là en effet, ce sont les programmes en cours d'exécution par définition.

Le gestionnaire des tâches de Windows permet essentiellement de visualiser au travers d'une interface graphique (fenêtre qui affiche et permet des actions via des boutons par exemple) comment sont gérés les différents processus.
Un tel s'exécute, utilise tant de mémoire interne. Il peut stopper un processus (et encore pas toujours ). Il a essentiellement un rôle d'observation. Il ne permet pas de modifier la gestion ou la programmation du moniteur.

AndréC a écrit:

LaMaisonQuiRendFou a écrit:
C'est exactement comme quand on ouvre le gestionnaire des tâches dans Windows et que l'on consulte l'onglet processus ?

Les processus sont ceux là en effet, ce sont les programmes en cours d'exécution par définition.

Le gestionnaire des tâches de Windows permet essentiellement de visualiser au travers d'une interface graphique (fenêtre qui affiche et permet des actions via des boutons par exemple) comment sont gérés les différents processus.
Un tel s'exécute, utilise tant de mémoire interne. Il peut stopper un processus (et encore pas toujours ). Il a essentiellement un rôle d'observation. Il ne permet pas de modifier la gestion ou la programmation du moniteur.

Un expert tel que vous est plutôt Windows, MacOS, Linux (ou autre) ?

Edit : mais j'ai bien compris que votre dada c'était le BIOS/UEFI.

Merci pour l'info !!

et pour une fois, je suis du bon côté de la rive: votre système n'est pas vulnérable!

J'ai lancé l'utilitaire qui me répond "l'interface du moteur de gestion Intel n'est pas installé ou le fabricant n'autorise pas l'accès au ME/TXE du pilote hôte". Qu'est-ce que cela veut dire ?

LaMaisonQuiRendFou a écrit:

Un expert tel que vous est plutôt Windows, MacOS, Linux (ou autre) ?

Edit : mais j'ai bien compris que votre dada c'était le BIOS/UEFI.

Je ne suis pas un expert, loin s'en faut puisque je n'ai jamais réussi à programmer un truc qui fonctionne avec les moniteurs (j'admire beaucoup ceux qui y arrivent, ce sont des dieux). Au départ, je n'étais ni l'un ni l'autre puisque Linux n'existait pas encore. Les ordinateurs perso étaient rares, chers et on utilisait essentiellement le système UNIX des ordinateurs de la fac. Ces derniers étaient rares et il y avait des créneaux horaires dans lesquels on devait s'inscrire pour pouvoir les utiliser.

Donc la majeure partie de notre temps consistait à écrire des programmes sur papier en premier. Lorsque ce programme était terminé, on allait pendant le créneau horaire que nous avions écrire le programme sur un éditeur de texte et ensuite on l'exécutait pour le tester.

Bref, la majeure partie du temps de programmation se faisait sur papier, on utilisait rarement les ordinateurs.

J'ai attendu très longtemps avant d'acheter un ordinateur car je trouvais les ordinateurs perso pas assez puissants pour faire ce que l'on faisait avec les ordis de la fac.

Je trouve intéressant la démarche Linux mais il y a des discours de Linuxiens que je trouve pas cohérents et plutôt de l'ordre de la profession de foi, du mythe que de la réalité. Ainsi, prétendre que l'accès au code source permet à chacun de voir ce qui est fait est un mythe, seul les programmeurs experts (dont je ne fais pas partie le peuvent). La complexité des systèmes est telle qu'il est pratiquement impossible pour une seule personne de comprendre le tout. Seule une équipe de spécialiste peut le faire.

Ensuite le mythe de l'absence de virus sur Linux, les virus ont été créé par les programmeurs eux-même de façon à protéger leur logiciel contre le piratage (au départ, une simple temporisation qui se déclenchent après quelques mois d'utilisation qui va détruire pleins de données sur le disque dur).

Si j'avais pu, j'aurai installé un système UNIX sur mon ordi car c'est avec ce système que j'ai commencé, mais il n'y avait alors que du windows et du Mac, j'ai pris le moins cher : windows.

Kilmeny a écrit:J'ai lancé l'utilitaire qui me répond "l'interface du moteur de gestion Intel n'est pas installé ou le fabricant n'autorise pas l'accès au ME/TXE du pilote hôte". Qu'est-ce que cela veut dire ?

La réponse est donné dans la partie questions-réponses par Intel ici : https://www.intel.fr/content/www/fr/fr/support/articles/000025619/software.html?_ga=2.32150910.1359036708.1515064181-130997411.1514448200#FAQ

Je cite :

Intel a écrit:Q : mon système est signalé comme peut être vulnérable par l’outil de détection Intel-SA-00086. Que dois-je faire ?
R. : statut peut être vulnérable se produit généralement lorsque un des pilotes suivants ne sont pas installé :

Pilote Intel® Management Engine Interface (Intel® MEI)
ou
Pilote de l’Interface Intel® Trusted Execution Engine (Intel® du)
Contactez le fabricant de votre système ou carte mère pour obtenir les pilotes appropriés pour votre système.

Au dessus dans ce même lien, il y a le lien vers les fabricants d'ordi et de carte-mère. Vous devez suivre la procédure indiquée par ces fabricants.

Je ne comprends pas : pourquoi ces pilotes ne seraient-ils pas installés (cela fait des années que je l'ai et si c'était le cas, n'aurais-je pas dû avoir des ennuis avant ?)? Qui est le fabricant de mon système ? Packard Bell ? (c'est la marque de mon ordinateur)

Kilmeny a écrit:Je ne comprends pas : pourquoi ces pilotes ne seraient-ils pas installés (cela fait des années que je l'ai et si c'était le cas, n'aurais-je pas dû avoir des ennuis avant ?)? Qui est le fabricant de mon système ? Packard Bell ? (c'est la marque de mon ordinateur)

Lorsque vous achetez l'ordi il est livré avec des logiciels et des pilotes. Mais ces derniers sont parfois mis à jour par le fabricant et cette mise à jour (contrairement à ce qui se fait sous Windows) n'est pas automatique.

Elle est manuelle et à la charge de l'usager.

Merci mais je n'ai aucune idée de la marche à suivre et j'ignore comment procéder pour le faire.

Quel est votre ordinateur ? Sa carte mère et son processeur ?
L'avez-vous acheté déjà monté chez un constructeur ou l'avez-vous monté vous-même ?

AndréC a écrit:

LaMaisonQuiRendFou a écrit:

Un expert tel que vous est plutôt Windows, MacOS, Linux (ou autre) ?

Edit : mais j'ai bien compris que votre dada c'était le BIOS/UEFI.

Je ne suis pas un expert, loin s'en faut puisque je n'ai jamais réussi à programmer un truc qui fonctionne avec les moniteurs (j'admire beaucoup ceux qui y arrivent, ce sont des dieux). Au départ, je n'étais ni l'un ni l'autre puisque Linux n'existait pas encore. Les ordinateurs perso étaient rares, chers et on utilisait essentiellement le système UNIX des ordinateurs de la fac. Ces derniers étaient rares et il y avait des créneaux horaires dans lesquels on devait s'inscrire pour pouvoir les utiliser.

Donc la majeure partie de notre temps consistait à écrire des programmes sur papier en premier. Lorsque ce programme était terminé, on allait pendant le créneau horaire que nous avions écrire le programme sur un éditeur de texte et ensuite on l'exécutait pour le tester.

Bref, la majeure partie du temps de programmation se faisait sur papier, on utilisait rarement les ordinateurs.

J'ai attendu très longtemps avant d'acheter un ordinateur car je trouvais les ordinateurs perso pas assez puissants pour faire ce que l'on faisait avec les ordis de la fac.

Je trouve intéressant la démarche Linux mais il y a des discours de Linuxiens que je trouve pas cohérents et plutôt de l'ordre de la profession de foi, du mythe que de la réalité. Ainsi, prétendre que l'accès au code source permet à chacun de voir ce qui est fait est un mythe, seul les programmeurs experts (dont je ne fais pas partie le peuvent). La complexité des systèmes est telle qu'il est pratiquement impossible pour une seule personne de comprendre le tout. Seule une équipe de spécialiste peut le faire.

Ensuite le mythe de l'absence de virus sur Linux, les virus ont été créé par les programmeurs eux-même de façon à protéger leur logiciel contre le piratage (au départ, une simple temporisation qui se déclenchent après quelques mois d'utilisation qui va détruire pleins de données sur le disque dur).

Si j'avais pu, j'aurai installé un système UNIX sur mon ordi car c'est avec ce système que j'ai commencé, mais il n'y avait alors que du windows et du Mac, j'ai pris le moins cher : windows.

Je suis d'accord avec vous.

Mais je ne pense pas sérieusement que les "linuxiens" prétendent que tout le monde peut comprendre le code source. Tout le monde y a accès, donc plusieurs équipes de spécialistes peuvent y avoir accès, et pas une seule comme avec des SE propriétaires. Cela permet aussi une innovation ouverte, dont je trouve les résultats intéressants (par exemple Linux Mint, très bonne distribution orientée grand public, est basée sur Ubuntu, qui est elle-même basée du Debian).

Pour les virus c'est vrai également (sous Linux comme sous MacOS), mais personnellement je n'ai jamais eu de soucis avec Linux, rarement avec Windows (mais là j'ai toute la batterie antivirus, etc.).

Si vous venez de UNIX, vous devriez tout de même essayer Linux, cela parait logique.

C'est un Packard Bell Intel (r) Core (tm) 2  Quad CPu Q8300
Pour la carte mère j'ignore où trouver le renseignement. (c'est écrit Nvidia, mais ce doit être la carte graphique, ça, non ?)
Je l'ai acheté tout prêt.

Kilmeny a écrit:C'est un Packard Bell Intel (r) Core (tm) 2  Quad CPu Q8300
Pour la carte mère j'ignore où trouver le renseignement. (c'est écrit Nvidia, mais ce doit être la carte graphique, ça, non ?)
Je l'ai acheté tout prêt.

Si vous êtes sous Windows vous ouvrez la console (tapez "invite de commmandes" dans la barre de recherche en bas à gauche) et faites un copier-coller de ceci :

wmic baseboard get product, manufacturer, version, serialnumber

puis "entrée".

Merci beaucoup ! C'est Packard Bell Imedia S3720