X
Pourquoi un Equality Lounge

News Partenaire

Pourquoi un Equality Lounge

Alex Dayon revient sur les 4 piliers de l’entreprise : la confiance, le succès des clients, l’innovation et l’égalité. Pour cette raison l’Equality Lounge sur le salon Viva Tech ne visait pas à promouvoir les solutions de l’entreprise mais de permettre aux différentes communautés de profiter de cet espace, notamment Paris Code pour effectuer des sessions de formations.


13 failles découvertes dans les processeurs EPYC et Ryzen d’AMD

Au tour d’AMD d’être dans la tourmente. Une bonne douzaine de vulnérabilités ont été mises au jour sur ses puces Ryzen et EPYC. Surtout, l’entreprise à l’origine de cette découverte n’aura attendu que 24h après en avoir informé le fabricant avant de divulguer le résultat de ses recherches. Néanmoins, l’information est à prendre avec précaution tant qu’AMD n’a pas confirmé l’existence de ces failles.

L’affaire Meltdown/Spectre commençait à se tasser quand soudain le monde apprit qu’une nouvelle flopée de vulnérabilités venaient d’être découvertes. Cette fois-ci, ce sont exclusivement les processeurs AMD, Ryen et EPYC qui sont affectés. A l’origine de cette information, CTS-Labs, une startup basée à Tel Aviv encore inconnue, même du fabricant de puces.

Plus que les failles en soi, c’est leur divulgation qui émeut, tant chez nos confrères anglo-saxons que sur Reddit. CTS a effet publié le résultat des ses recherches 24h seulement après en avoir informé AMD. Un délai particulièrement court, quand la durée coutumière entre notifications des vulnérabilités et divulgation au public tourne autour de 90 jours, voire bien plus dans certains cas. Intel avait ainsi eu six mois pour patcher Meltdown et Spectre. Certains voient dans cette hâte de l’entreprise israélienne un coup de com’, dont on peut dire qu’il est relativement réussi.

Pas le temps

Toujours est-il que ces failles semblent bel et bien exister, contrairement aux premières rumeurs qui ont pu circuler. C’est en tout cas ce qu’assure Dan Guido, chercheur en sécurité informatique et directeur de HackSecure. De son côté, AMD explique avoir débuté les investigations quant à ces vulnérabilités, tout en déplorant le trop court délai que CTS lui a accordé. 

C’est donc un lot de 13 vulnérabilités qui ont été découvertes, failles que CTS a regroupé dans quatre catégories. La première, Master Key, touche aussi bien Ryzen qu’EPYC et permet à un attaquant de contourner les mesures de sécurité au démarrage de l’appareil en installant un malware sur le BIOS. Après quoi cette même faille permet d’installer d’autres logiciels malveillants directement sur le processeur. 

Difficiles à exploiter

Chimera et Ryzenfall n’affectent quant à elles que les systèmes embarquant des puces Ryzen. La première repose sur deux vulnérabilités du firmware et du hardware et permet, selon CTS, d’infecter une machine via le trafic réseau transitant par le chipset. La seconde autoriserait l’attaquant à compromettre totalement le processeur, et ainsi d’accéder à des données critiques : clés de chiffrement, mots de passe et autres clés d’authentification.

Fallout, la dernière catégorie de vulnérabilités, permet enfin le même type d’attaques que Ryzenfall, mais cette fois-ci sur les machines embarquant des processeurs EPYC. Mais pour toutes ces failles, selon les chercheurs, il faut disposer de privilèges administrateur sur la machine, ce qui implique qu’elle soit déjà infectée. 


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

Actuellement à la Une...

A votre avis...

Les alternatives à GitHub

Les alternatives à GitHub

Microsoft venant tout juste d’officialiser le rachat de GitHub, certains usagers de la plate-forme seront sans doute tentés de chercher des alternatives. Nous allons voir dans ces lignes quelles plates-formes peuvent la remplacer et...

GitHub by Microsoft

GitHub by Microsoft

Près de 70 millions de projets open source hébergés par Microsoft ! L’acquisition de GitHub a soulevé une levée de boucliers dans les communautés open-source, avec le risque de voir le repository...

RSS
Afficher tous les dossiers

SÉCURITÉ IT : LES ENJEUX POUR 2019 - Quel O.S. pour l'auto numérique ? - GENZ, le serveur du futur - Rencontre avec Mounir Mahjoubi - Préparer l'après RTC - Au coeur d'Hexatrust : IDnomic ou l'identité innovante - Langages informatiques : quoi de neuf ? - Digital Learning Manager, le métier qui monte...

 

LOGICIELS D'ENTREPRISE : UNE TRANSFORMATION PROFONDE - Licences logicielles : éditeurs/entreprises, le clash ! - La 5G sort des labos - Windows Subsystem for Linux - Recherche désespérément ingénieurs système - 3 solutions pour booster le réseau WiFi - Rencontre avec Serge Tisseron : nous devons savoir à tout moment avec qui/quoi nous interagissons...

 

BÂTIR LA MAISON INTELLIGENTE - GitHub by Microsoft + alternatives - FIDO2, l'après mot de passe - Open Street Map alternative à Google Maps ? - Java 10/Java 11 ne loupez pas le train - Marseille, 1er port numérique européen ? - OpenClassrooms : l'e-learning "non élitiste" à la conquête du monde...

 

Afficher tous les derniers numéros

Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


PROTECTION ENDPOINT NEXT-GEN : ÉVOLUTION OU RÉVOLUTION ?, un Livre Blanc SOPHOS.

Après la révolution Next-Gen Firewall de ces dernières années, une nouvelle révolution Next-Gen est cours dans le domaine de la sécurité des systèmes Endpoint. Au-delà du débat pour savoir s’il s’agit d’une révolution ou d’une simple évolution, il est certain qu’une série de nouvelles technologies est en train de rapidement émerger, en apportant une contribution significative à la lutte contre les menaces avancées.


En tant que professionnel de l'informatique, vous en avez sans doute assez d'entendre parler de transformation numérique. Après tout, vous vous occupez déjà d'optimiser la gestion des actifs et de déployer les programmes big data, tout en assurant la protection et la restauration de toutes les données de votre organisation. Or, la transformation numérique peut devenir un projet d'envergure qui ne consiste pas seulement à gérer des données, mais aussi à repenser entièrement le modèle de l'entreprise et/ou à développer une nouvelle stratégie produit innovante, dans les scénarios les plus ambitieux.

  


Atteignez vos objectifs de conformité tout en améliorant votre sécurité avec le PAM (Privileged Access Management = Gestion des accès à privilèges). Un Livre Blanc Wallix.

  


Tous les Livres Blancs
Derniers commentaires
Une représentation visuelle de la crypto-monnaie Bitcoin dans une boutique de Tel-Aviv, le 6 février 2018 en IsraëlLe 31 octobre 2008 naissait le bitcoin, la première monnaie virtuelle décentralisée. Dix ans plus tard, la principale cryptomonnaie nourrit un complexe écosystème mais peine toujours à convaincre dans la sphère économique. [Lire la dépêche...]

Des bitcoins, le 20 novembre 2017 à LondresEn dix ans, le bitcoin a réussi le tour de force de se faire une place dans le monde financier et sur la scène médiatique. Mais comprendre son fonctionnement n'est pas toujours aisé pour les profanes. [Lire la dépêche...]

Facebook a fermé lundi 68 pages et 43 comptes liés à un groupe brésilien qui serait, selon un quotidien de Sao Paulo, lié au favori d'extrême droite à l'élection présidentielle de dimanche, Jair Bolsonaro. [Lire la dépêche...]

Un développeur à créé l'appli SnapCrap, pour photographier les déjections canines dans les rues de San FranciscoSan Francisco, ville de la "tech" et ... des crottes. C'est ce qui a poussé un développeur à créer l'appli SnapCrap, pour photographier les déjections canines et humaines sur la voie publique et demander en temps réel le passage de la voirie. [Lire la dépêche...]

Susan Wojcicki, la PDG de Youtube, le 15 octobre 2018 à San FranciscoYoutube a demandé lundi aux Youtubeurs de s'engager à ses côtés contre le projet européen de réforme du droit d'auteur, qui vise à inciter les géants du net à mieux rétribuer les auteurs de contenus originaux. [Lire la dépêche...]

Elon Musk, patron de Tesla, le 28 septembre 2017 à Adelaide, en AustralieElon Musk, l'emblématique patron de Tesla, affirme que le premier tunnel à grande vitesse sous Los Angeles, destiné à contourner les embouteillages, sera inauguré le 10 décembre. [Lire la dépêche...]

Des centaines de profs ont dénoncé sur Twitter, sous le hashtag ironique #pasdevague, l'absence de réactions de leur hiérarchie face aux violences qu'ils subissentDes centaines de profs ont dénoncé sur Twitter, sous le hashtag ironique #pasdevague, l'absence de réactions de leur hiérarchie face aux violences qu'ils subissent, après l'affaire d'un élève filmé en train de braquer sa professeure avec une arme factice dans un lycée de Créteil. [Lire la dépêche...]

Le ministre allemand des Finances Olaf Scholz plaide pour une imposition minimale partout des bénéfices de multinationales, en visant les géants américains du numériqueLe ministre allemand des Finances Olaf Scholz plaide pour une imposition minimale partout des bénéfices de multinationales, en visant les géants américains du numérique, au moment où Paris veut accélérer le pas pour les taxer en Europe. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

WEB SUMMIT

Le Web Summit réunit plus de 70000 participants et 1200 conférenciers du 5 au 8 novembre 2018 à Lisbonne (Portugal), Altice Arena. Organisé par Connected Intelligence Ltd.

EXPERIENCES

Microsoft Experiences 18, « l'événement de l'intelligence numérique », aura lieu les 6 et 7 novembre 2018 à Paris, palais des congrès de la porte Maillot. Organisé par Microsoft.

MAKER FAIRE

Du 23 au 25 novembre 2018, la Cité des sciences et de l’industrie à Paris accueille pour la deuxième fois la Maker Faire Paris. Organisée par Leroy Merlin.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

CLOUD EXPO EUROPE

Conjointement avec Data Centre World, Cloud Security Expo et Smart IoT Paris, le salon Cloud Expo Europe se tient les 27 et 28 novembre 2018 à Paris, Porte de Versailles. Organisé par CloserStill Media.
RSS
Voir tout l'AgendaIT