du 09 novembre 2018
Date

Choisir une autre édition

GPU NVIDIA : des attaques permettent de suivre l'activité web et tenter de récupérer des mots de passe

Après le douloureux épisode Meltdown/Spectre (et leurs variantes) sur les processeurs, les chercheurs de l'université de Riverside en Californie se sont penchés sur les cartes graphiques NVIDIA.

Ils affirment pouvoir utiliser les GPU « pour espionner les activités Web, voler les mots de passe et entrer dans des applications cloud ». Dans tous les cas, il faut d'abord que l'utilisateur télécharge sur sa machine un logiciel malveillant, qui se chargera ensuite d'espionner le GPU de la machine.

Les chercheurs expliquent que « les GPU sont généralement programmés à l'aide d'API telles que OpenGL. OpenGL est accessible à n’importe quelle application sur un poste de travail avec des privilèges utilisateur ».

La première attaque permet de suivre l'activité sur Internet car « chaque site possède une trace unique en termes d'utilisation de la mémoire sur le GPU ». En surveillant les allocations mémoires ou les « performance counters », l'application espionne peut ainsi identifier les sites visités par fingerprinting.

La seconde attaque permet d'essayer de récupérer des mots de passe. « Chaque fois qu'un utilisateur tape un caractère, la zone de texte du mot de passe est chargée sur le GPU en tant que texture ».

En surveillant les intervalles de temps, il est possible de connaître le nombre de caractères du mot de passe et le délai précis entre chaque pression de touche. Partant de là, il est possible de le retrouver avec des techniques déjà connues.

Enfin, la dernière attaque concerne les applications utilisant des réseaux de neurones. En lançant en parallèle un travail sur le GPU, l'application espionne pourrait récupérer le nombre de neurones d'une couche spécifique d’un réseau profond.

Bien évidemment, les chercheurs ont contacté NVIDIA. Le fabricant leur a répondu qu'une option sera proposée via un patch pour que les applications avec des privilèges utilisateur n'accèdent plus aux « performance counters ». Elle permettra de contourner le problème, mais sans s'attaquer à sa source.

Un brouillon a également été envoyé à AMD et Intel avant la mise en ligne de la version finale afin qu'ils puissent vérifier si leurs GPU sont également touchés. Rien n'est indiqué concernant une éventuelle réponse de leur part.

Par la suite, l'équipe de l'université de Riverside prévoit de s'attaquer au GPU des terminaux Android.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L'équipe qui porte l'OS mobile de Google sur les architectures x86 vient de mettre en ligne une première mouture basée sur Oreo.

Des images 32 bits et 64 bits sont proposées, avec un noyau 4.19.15, le support matériel des puces Intel HD/G45 ou d'OpenGL ES 3.x sur la plupart des GPU.

Toutes les informations sur cette version sont disponibles par ici. Les images peuvent être téléchargées par là ou encore .

Copié dans le presse-papier !

La découverte d'un bug dans l'une des propositions d'améliorations d'Ethereum (EIP) devant être implémentée avec la mise à jour Constantinople vient de retarder à une date ultérieure le déploiement de cette dernière.

Le bug est semblable à l'un de ceux exploités lors de la fameuse attaque de The DAO. En bref, si un contrat contient une fonction faisant appel à un autre contrat, l'attaquant peut être en mesure de faire appel plusieurs fois de suite à cette fonction pendant qu'elle est exécutée, sans préciser qu'un autre appel est déjà en cours. De quoi lui permettre de réclamer plusieurs fois de suite le versement de fonds… et les obtenir.

La fondation Ethereum a estimé qu'il n'était pas possible de colmater cette brèche proprement d'ici l'heure prévue pour le fork, soit à peu près le 17 janvier à 4h du matin heure française. La mise à jour est donc repoussée jusqu'à nouvel ordre. Les plus taquins l'ont déjà rebaptisée Constanti-Nope.

Copié dans le presse-papier !

Après une mise à jour 4.0.3 discrète il y a peu, Free vient de diffuser cette nouvelle mouture qui a cette fois droit à une note de version.

On y apprend que des correctifs ont été mis en place, notamment pour le mode bridge, le VPN ou l'agrégation xDSL/4G. Les utilisateurs rencontraient également des problèmes avec les produits Philips Hue ou Somfy, qui devraient désormais faire partie du passé.

On note surtout que le support du Wi-Fi sur des blocs de 160 MHz (relevé lors de notre analyse du Server de la Freebox Delta) est désormais fonctionnel. Il devrait donc être possible d'atteindre 1 Gb/s en Wi-Fi.

Nous avions aussi rencontré des soucis avec le RAID de HDD de 2 To, Free nous ayant confirmé qu'un problème était à régler de son côté. C'est le cas avec la version 4.0.4 nous a précisé l'équipe hier, ce que nous avons pu confirmer.

Reste que Freebox OS a encore besoin d'évoluer pour permettre de profiter au mieux du nouveau Server, des éléments d'aide étant encore tagués 3.0, quand d'autres éléments ne fonctionnent pas encore ou mal.

Les développeurs semblent cependant avancer vite, et on peut espérer que ces problèmes seront vite oubliés.

Copié dans le presse-papier !

En novembre dernier, le revendeur annonçait Neural TTS (NTTS) ou Neural Text-To-Speech. Basée sur l'intelligence artificielle, elle permet d'avoir « une voix plus naturelle et, en fonction du contexte, permet à Alexa d’adapter également son style de voix ».

Outre-Atlantique, lorsque vous demandez à Alexa quelles sont les dernières nouvelles, l'intelligence artificielle sait désormais « quels mots ou quelles phrases doivent être accentués pour une présentation plus réaliste des informations ».

Des exemples avec différentes voix sont disponibles par ici.

Copié dans le presse-papier !

L'annonce a été faite par le spécialiste Troy Hunt sur son blog. Il explique que plus de 12 000 fichiers pour un poids total de 87 Go étaient accessibles sur MEGA.

Il a identifié près de 2,7 milliards lignes contenant des adresses email et des mots de passe, pour environ 1,1 milliard de combinaisons uniques. Ils proviennent de centaines de fuites de données différentes, certaines remontant à près de 20 ans.

Dans le détail, le chercheur décompte plus de 772 millions d'adresses email uniques et 21 millions de mots de passe différents. Bien évidemment, toutes ses informations ont été intégrées dans le service Have I Been Pwned permettant de savoir si son adresse email ressort dans des fuites de données.

Sachez enfin que Collection #1 est le nom de la fuite donnée par Troy Hunt.