du 05 novembre 2018
Date

Choisir une autre édition

Portsmash : nouvelle faille side-channel chez Intel, qui pense que d'autres CPU seraient touchés

Après le douloureux épisode Meltdown et Spectre (et leurs différentes variantes), c'est au tour de la faille Portsmash (CVE-2018-5407) de faire parler d'elle.

Identifiée par des chercheurs des universités de Tampere (Finlande) et de Havane (Cuba), elle permet de récupérer des données d'autres applications exécutées sur le même cœur CPU lorsque le multithread (SMT) est activé. C'est une attaque locale puisque l'application malveillante doit être exécutée sur la machine (et sur le même cœur physique).

Un prototype a été mis en ligne sur GitHub pour récupérer la clé privée d'OpenSSL 1.1.0h (ou version inférieure) sur des processeurs Skylake ou Kaby Lake. Les chercheurs pensent que cette attaque devrait également fonctionner sur d'autres processeurs, notamment AMD.

Interrogé par Wccftech, Intel affirme que « ce problème ne dépend pas d'une exécution spéculative et n'est donc pas lié à Spectre ou à Meltdown ». « Nous pensons que les plateformes Intel ne sont pas les seules touchées » ajoute le fondeur. À The Register, AMD a indiqué étudier cette faille.

« Les logiciels ou les bibliothèques peuvent être protégés contre de tels problèmes en mettant en place des pratiques de développement side-channel sûres » affirme Intel. OpenSSL peut par exemple être mis à jour en version 1.1.0i ou 1.1.1.

Une solution est de désactiver l'hyperthreading dans le BIOS/UEFI des machines, avec une perte de performances à la clé bien évidemment.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Chez les actuels gros prestataires de streaming musical, Amazon est le premier à dégainer une offre plus onéreuse centrée sur la qualité, et vient ainsi marcher sur les plates-bandes de Qobuz.

Le catalogue comprend désormais 50 millions de titres en HD (16 bits, 44,1 kHz) et des « millions de chansons » en Ultra HD (24 bits, 192 kHz). La qualité du titre joué dépendra de l'appareil utilisé et surtout de la connexion utilisée.

Les abonnés actuels d’Amazon Music peuvent payer 5 dollars de plus par mois pour accéder à cette nouvelle qualité, sans toutefois savoir à l’avance si un titre spécifique sera compatible. Les abonnés Prime sans Music peuvent s’abonner directement à HD pour 12,99 dollars. Sans Prime, l’abonnement est de 14,99 dollars par mois, soit les 9,99 habituels et les 5 dollars supplémentaires.

La nouvelle option est disponible dans tous les points d’accès d’Amazon Music : web, Android, iOS, enceintes connectées Alexa, Fire TV ou encore tablettes.

Cependant, l’offre n’est pas encore proposée partout. Pour l’instant, seuls les États-Unis, le Royaume-Uni, l’Allemagne et le Japon y ont droit. Pour les concernés, une offre d’essai de 90 jours est disponible.

Copié dans le presse-papier !

La communauté internationale en climatologie travaille sur des simulations du climat, aussi bien passé que futur. Les conclusions « contribueront de manière majeure au premier volet du sixième rapport d’évaluation du Giec, dont la publication est prévue en 2021 ».

Les Français (avec des chercheurs du CEA, de Météo-France et du CNRS) viennent de rendre leur copie et « leurs nouveaux modèles prévoient notamment un réchauffement plus important en 2100 que les versions précédentes », en particulier pour les scénarios les plus pessimistes :

« Selon le scénario le plus "pessimiste" (SSP5 8,5 – croissance économique rapide alimentée par des énergies fossiles), l’augmentation de la température moyenne globale atteindrait 6 à 7 °C en 2100, soit 1 °C de plus que dans les précédentes estimations. Seul l’un des scénarios socio-économiques (SSP1 1,9 – marqué par une forte coopération internationale et donnant priorité au développement durable), permet de rester sous l’objectif des 2 °C de réchauffement, au prix d’efforts d’atténuation très importants et d’un dépassement temporaire de cet objectif au cours du siècle. » 

Pour arriver à ces résultats, le CEA explique que d'importants moyens informatiques ont été déployés : « 500 millions d’heures de calcul assurées par les supercalculateurs de Genci et de Météo-France, 20 Pétaoctets de données générées ». Le bilan carbone de l'opération n'est pas mentionné.

Une conférence de presse a été diffusée en direct pour l'occasion, son replay est disponible par ici.

Copié dans le presse-papier !

Chose promise, chose due : Valve a publié hier soir dans le canal bêta de Steam la nouvelle bibliothèque, pensée pour mettre l’accent sur les informations qu’un joueur est censé vouloir en priorité.

Sont donc mis en avant les dernières actualités des titres, plus particulièrement les mises à jour, un onglet pour les évènements à venir, la diffusion sur Twitch, la révision des pages des éditeurs et de la présentation des DLC, une liste de souhaits plus complète ou encore un programme séparé pour des fonctions expérimentales.

Le plus gros changement au lancement du nouveau client est la vue principale sur la bibliothèque, résumant les jeux récemment joués, leurs informations et tout ce qui va avec. Une grande partie de cette grille est composée d’Étagères personnalisables.

Les jeux non installés font apparaître une flèche en bas à gauche de leur vignette pour déclencher l’opération. En revanche, ceux installés n’affichent pas tous le gros bouton vert de lancement, uniquement le dernier titre joué. Étrangement, il faut se rendre soit dans la fiche pour le lancer, soit l’exécuter via un clic droit sur la vignette.

Le client présente également deux nouvelles options dédiées aux performances. La première permet de déclarer sa connexion comme lente, auquel cas Steam ne charge plus automatiquement certains contenus, notamment ceux créés par la communauté et visibles depuis la page d’un jeu. L’autre coupe certains effets visuels dans le client, notamment les flous et reflets.

La recherche fait un vrai bond en avant, avec l’ajout de nombreux filtres auparavant inexistants. On peut ainsi trier par nombre de joueurs, fonctions particulières, compatibilité matérielle, catégorie, etc.

Globalement, la nouvelle interface sera une affaire de goût. Ceux qui espéraient cependant une modernisation et une clarification seront sans doute déçus. La concentration d’informations est encore plus importante et l’esthétique globale n’évolue guère. Certains risquent de se sentir un peu à l’étroit, surtout s’ils possèdent de nombreux titres.

Pour tester la bêta, il faut se rendre dans les options du client (Afficher > Paramètres) puis, dans l’onglet Compte (le premier), changer pour « Steam Beta Update » dans le menu correspondant. Le programme peut être quitté à tout moment.

Copié dans le presse-papier !

Alors que Mozilla avait légèrement ralenti le rythme de parution des versions, l’éditeur fait demi-tour. Firefox 70 sera la dernière mouture à tabler sur un cycle de sept semaines.

À compter de la version suivante et jusqu’à la 74 (prévue pour le 10 mars prochain), chaque cycle sera plus court d’une semaine. Au-delà, le rythme sera donc mensuel. Plus précisément, les versions 75 et ultérieures sortiront toutes les quatre semaines.

Cette décision n’a pas d’influence sur le cycle ESR (Extended Support Release). Le cycle reste d’un an, avec une période de chevauchement de trois mois pour laisser le temps aux entreprises (et éventuellement utilisateurs grand public) de mettre à jour. Les deux prochaines versions ESR sont prévues pour les mois de juin 2020 et 2021.

« Avec des cycles de quatre semaines, nous pouvons être plus agiles et fournir plus rapidement des fonctionnalités, tout en appliquant les mêmes rigueur et zèle nécessaires à une parution stable et de haute qualité. Nous pourrons également mettre plus rapidement de nouvelles fonctions et implémentations de nouvelles API web entre les mains des développeurs », expliquent Ritu Kothari et Yan Or dans le billet de Mozilla.

À changement de cycle, modification des techniques et de certaines approches. Mozilla va donc revoir petit à petit ses indicateurs pour mesurer la qualité globale du code. 

En outre, les projets s’appuyant sur Firefox ESR, notamment Tor Browser et SpiderMonkey, vont devoir s’adapter. L’éditeur confirme d’ailleurs ce qui paraissait évident : des moutures plus fréquentes signifieront moins de changements à chacune. 

Il y aura également des conséquences pour les canaux de développement, notamment Beta. Actuellement, Mozilla produit en moyenne deux builds par semaine dans ce canal. Elles seront plus fréquentes à l’avenir, presque au niveau de Nightly. Les testeurs sont prévenus.

Mozilla ne donne pas réellement de raisons à ce changement, outre celles liées à l’agilité. Mais cette dernière n’est qu’un moyen, pas un objectif en soi. Devant la vague Chromium, il s’agit probablement d’un plan de défense pour faire de Firefox un navigateur capable de réagir (et éventuellement d’attaquer) plus vite.

Copié dans le presse-papier !

La filiale de Comcast veut également sa part du gâteau de la SVOD et lancera sa propre plateforme baptisée Peacock. Aucun détail sur la date ni le prix n'a filtré pour l'instant. Nous savons simplement qu'elle sera centrée sur les États-Unis pour commencer.

Parmi les contenus qui seront proposés, une nouvelle version de Battlestar Galactica fait beaucoup parler d'elle, principalement car elle sera réalisée par Sam Esmail, le papa de Mr. Robot.

Sur Twitter, l'intéressé explique qu'il ne s'agit pas d'un remake de la série de Ronald D. Moore « parce que ... pourquoi jouer avec la perfection ? ». « Au lieu de cela, nous explorerons une nouvelle histoire au sein de la mythologie tout en restant fidèles à l'esprit de Battlestar », explique-t-il.