du 09 novembre 2018
Date

Choisir une autre édition

GPU NVIDIA : des attaques permettent de suivre l'activité web et tenter de récupérer des mots de passe

Après le douloureux épisode Meltdown/Spectre (et leurs variantes) sur les processeurs, les chercheurs de l'université de Riverside en Californie se sont penchés sur les cartes graphiques NVIDIA.

Ils affirment pouvoir utiliser les GPU « pour espionner les activités Web, voler les mots de passe et entrer dans des applications cloud ». Dans tous les cas, il faut d'abord que l'utilisateur télécharge sur sa machine un logiciel malveillant, qui se chargera ensuite d'espionner le GPU de la machine.

Les chercheurs expliquent que « les GPU sont généralement programmés à l'aide d'API telles que OpenGL. OpenGL est accessible à n’importe quelle application sur un poste de travail avec des privilèges utilisateur ».

La première attaque permet de suivre l'activité sur Internet car « chaque site possède une trace unique en termes d'utilisation de la mémoire sur le GPU ». En surveillant les allocations mémoires ou les « performance counters », l'application espionne peut ainsi identifier les sites visités par fingerprinting.

La seconde attaque permet d'essayer de récupérer des mots de passe. « Chaque fois qu'un utilisateur tape un caractère, la zone de texte du mot de passe est chargée sur le GPU en tant que texture ».

En surveillant les intervalles de temps, il est possible de connaître le nombre de caractères du mot de passe et le délai précis entre chaque pression de touche. Partant de là, il est possible de le retrouver avec des techniques déjà connues.

Enfin, la dernière attaque concerne les applications utilisant des réseaux de neurones. En lançant en parallèle un travail sur le GPU, l'application espionne pourrait récupérer le nombre de neurones d'une couche spécifique d’un réseau profond.

Bien évidemment, les chercheurs ont contacté NVIDIA. Le fabricant leur a répondu qu'une option sera proposée via un patch pour que les applications avec des privilèges utilisateur n'accèdent plus aux « performance counters ». Elle permettra de contourner le problème, mais sans s'attaquer à sa source.

Un brouillon a également été envoyé à AMD et Intel avant la mise en ligne de la version finale afin qu'ils puissent vérifier si leurs GPU sont également touchés. Rien n'est indiqué concernant une éventuelle réponse de leur part.

Par la suite, l'équipe de l'université de Riverside prévoit de s'attaquer au GPU des terminaux Android.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Encore loupé. Les amendements visant à ce que les logiciels libres soient utilisés « en priorité » au sein des écoles et collèges n’ont pas été adoptés par le Sénat. Ils n’ont même pas été débattus, puisque les services de la Haute assemblée les ont jugé irrecevables, car dépourvus de lien direct avec le projet de loi « pour une école de la confiance » porté par le gouvernement.

Copié dans le presse-papier !

En novembre dernier, à Versailles, la 26e Conférence générale des poids et mesures (CGPM) votait à l'unanimité les nouvelles définitions pour le kilogramme, le kelvin, la mole et l'ampère. La date d'entrée en vigueur des nouvelles définitions étaient programmée pour aujourd'hui, 20 mai.

Une petite révolution dans le monde de la mesure puisque l'ensemble des unités est désormais défini par des constantes physiques. Un changement important pour la science, toujours en quête de précision.

Copié dans le presse-papier !

C'est une mauvaise nouvelle de plus, mais finalement pas si surprenante étant donnée la propension du fabricant à brûler du cash.

Les 2,7 milliards de dollars levés récemment, ne donneraient à Tesla que 10 mois pour atteindre l'équilibre si les dépenses suivent le rythme du premier trimestre, c'est du moins ce qu'affirme son dirigeant dans un courrier interne consulté par Reuters.

« C’est la raison pour laquelle, à l’avenir, toute dépense quelle qu’elle soit dans le monde, notamment les pièces détachées, les salaires, les frais de déplacement, le loyer, littéralement tout paiement qui sort de notre compte bancaire doit [être] examiné », explique-t-il.

Nos confrères rappellent qu'en avril 2018 déjà, Elon Musk avait demandé à sa direction de « passer au crible toutes les dépenses effectuées dans le monde ». Le constructeur avait ensuite réduit ses effectifs de 9 % en juin dernier et de 7 % en janvier.

En mars, Elon Musk annonçait la fermeture des boutiques physiques en affirmant qu'il n'y avait « pas d'autre moyen de réaliser les économies nécessaire à la production de cette voiture [la Model 3, ndlr] tout en restant rentable ». Finalement, une alternative était trouvée quelques jours plus tard : augmenter les tarifs de 3 % pour garder environ 50 % des magasins.

Copié dans le presse-papier !

Après un teaser en début de semaine dernière, DC Comics a mis en ligne une première bande-annonce pour Batwoman. La cousine de Batman est pour rappel jouée par Ruby Rose ( xXx: Reactivated, John Wick 2).

Ce n'est pas une surprise puisqu'on l'avait déjà aperçu dans des épisodes d'Arrow et Supergirl. Elle a cette fois-ci droit à sa série dédiée, diffusée à partir de cet automne.