Linus Torvalds, le crateur de Linux, s’est montr trs critique l’gard des fabricants de matriel lors d’une rcente discussion sur la liste de diffusion du noyau Linux. Il a exprim sa frustration quant l’utilisation de la macro barrier_nospec() dans la copy_from_user(). En effet, la principale proccupation de Linus Torvalds concerne la lenteur de barrier_nospec() et la surcharge que ces barrires sont perues comme tant. Toutefois, ses remarques mettent galement en vidence une impatience croissante l’gard du matriel bogu et des attaques thoriques du processeur, qui ont un impact sur la scurit et l’efficacit du noyau Linux.
Linus Torvalds agac fustige les fabricants qui livrent du matriel bogu
Linus Torvalds, crateur de Linux, a particip rcemment un fil de discussion portant sur la possibilit d’viter d’utiliser barrier_nospec() dans la fonction copy_from_user(). Lors des changes, Linus Torvalds a dclar que l’utilisation de cette macro a un impact ngatif sur les performances du noyau. La conversation a volu vers des discussions sur le comportement du processeur et la meilleure faon de le grer, les diffrents comportements/exigences avec les nouveaux CPU Intel supportant le Linear Address Masking (LAM), et les maux de tte gnraux autour des attnuations de la scurit du CPU.
Linus Torvalds a indiqu que certains codes suggrs ne fonctionnent probablement pas pour les CPU Intel avec LAM comme Arrow Lake et Lunar Lake. Cependant, en l’absence de certitude sur le comportement de certains processeurs, il a t suggr de modifier prventivement certains codes du noyau. C’est l que Linus Torvalds a crit une rponse tard dans la nuit. Il n’a pas hsit fustiger les fabricants de matriel dans un style classique qu’on lui connat :
Envoy par Linus TorvaldsJe pense donc que cette fois-ci, nous allons faire pression sur les responsables du matriel et leur dire que c’est *LEUR* foutu problme, et s’ils ne peuvent mme pas se donner la peine de dire oui ou non, nous nous contenterons de nous asseoir sur nos lauriers.
Parce que bon sang, mettons la responsabilit l o elle se trouve, et ne nous contentons pas de prendre n’importe quelle merde alatoire d’un mauvais matriel et de dire oh, mais a *pourrait* tre un problme .
Linus Torvalds appelle en effet les fabricants de matriels s’impliquer davantage dans la scurit du noyau Linux. Aprs les commentaires de Linus Torvalds, l’ingnieur d’Intel Kirill Shutemov a fait un commentaire sur ce fil de discussion : LAM apporte ses propres problmes de spculation qui seront rsolus par LASS. Il y avait un correctif pour dsactiver LAM jusqu’ l’arrive de LASS, mais il n’a jamais t appliqu pour une raison quelconque .
LASS (Linear Address Space Separation) est une extension de scurit qui empche les accs spculatifs l’espace d’adressage virtuel entre le mode utilisateur et le mode noyau. Ce code du noyau est un autre sujet que les discussions que Linus Torvalds a eues sur le fait d’viter barrier_nospec() dans copy_from_user().
Comprendre les critiques de Linus Torvalds l’gard de barrier_nospec()
La macro barrier_nospec() est une barrire qui empche les instructions qui la suivent d’tre excutes de manire spculative. Son utilisation vise scuriser les systmes contre des attaques qui exploitent les vulnrabilits des processeurs, sans compromettre les performances et les solutions de scurit plus lourdes. Toutefois, Linus Torvalds a dcrit l’utilisation de barrier_nospec() comme tant excessive dans une rcente rponse une liste de diffusion.
Linus Torvalds a galement qualifi l’utilisation de barrier_nospec() de douloureusement lente . En effet, les performances peuvent tre affectes par l’introduction de barrires d’excution spculative pour attnuer les vulnrabilits de type Spectre dcouvertes dans les processeurs modernes. Ces barrires ont t conues pour stopper les attaques spculatives, mais elles peuvent provoquer des temps de latence et rduire l’efficacit des oprations du noyau.
Cela peut entraner un ralentissement des temps de rponse du systme et une baisse des performances pour les utilisateurs finaux, en particulier lorsque ces derniers utilisent des environnements forte capacit de calcul. Linus Torvalds semble particulirement contrari par l’application de mesures d’attnuation sans en comprendre la ncessit dans des cas spcifiques. La scurit est essentielle, mais les solutions doivent tre proportionnes au risque.
Cela ne s’applique pas toujours aux barrires d’excution spculative. La macro barrier_nospec() pourrait tre applique universellement pour protger contre certaines attaques, mais cela aurait un cot en matire de performances.
Importance de ces questions pour les administrateurs Linux
Le matriel dfectueux pousse les dveloppeurs du noyau prendre des mesures pour attnuer les attaques thoriques du processeur. Mais l’introduction de mesures de scurit peut dgrader les performances du noyau Linux et avoir un impact direct sur l’exprience de l’utilisateur final et sur la possibilit d’excuter des applications gourmandes en ressources. Dans les commentaires, beaucoup sont d’avis avec les critiques de Linus Torvalds l’gard des fabricants.
Les fabricants de processeurs devraient tre poursuivis pour les dommages causs par la mise sur le march de produits dfectueux et dangereux , a crit l’un d’entre eux. Un autre critique a soulign : Linus Torvalds a raison 100 %. Et bien sr, Intel est blmer . Les critiques appellent Intel, AMD et les autres fabricants de processeurs amliorer leurs pratiques en matire de scurit. D’autres commentateurs affichent toutefois un sentiment mitig :
Envoy par CritiqueLe problme avec les attaques thoriques, c’est qu’on ne sait jamais quand elles deviennent non thoriques et qu’elles peuvent se transformer trs rapidement en vulnrabilits zero-day trs dsagrables.
La comprhension des compromis au sein du noyau permet aux administrateurs de prendre des dcisions claires sur les configurations et les versions du noyau qui conviennent des cas d’utilisation spcifiques. Pour maintenir un haut niveau de scurit, ils doivent tre au courant des discussions les plus rcentes sur la scurit du noyau. Comprendre le raisonnement qui sous-tend certaines mesures d’attnuation permet de mieux valuer les risques.
Selon les experts, cela permet de hirarchiser les mises jour et les configurations en fonction de la tolrance au risque de l’organisation. L’instabilit peut galement tre cause par les changements frquents du noyau ncessaires pour corriger les vulnrabilits matrielles. Les administrateurs doivent tre attentifs aux mises jour et les tester minutieusement dans des environnements d’essai avant de les dployer sur les systmes de production.
Quelques solutions potentielles pour rsoudre ces dfis
La scurit et les performances sont constamment en conflit au sein du noyau Linux. Selon les experts, cette tension ncessite des solutions immdiates et long terme. Une premire approche pourrait consister appliquer les barrires d’excution spculative de manire slective plutt que de manire universelle. Cela ne concernerait que les processus traitant des donnes sensibles ou les systmes qui prsentent un risque d’attaque plus lev. Les administrateurs peuvent ajuster les paramtres du noyau pour quilibrer les performances et la scurit en fonction des besoins oprationnels.
Une meilleure collaboration entre la communaut des dveloppeurs de noyaux et les fabricants de matriel peut dboucher sur un silicium plus efficace, rduisant ainsi la ncessit de recourir des logiciels d’attnuation. Les projets open source qui sont plus transparents et cooprent avec les fabricants peuvent aboutir des mesures d’attnuation plus adaptes et plus efficaces.
Les dveloppeurs peuvent galement optimiser l’impact des correctifs sur les performances et affiner les barrires d’excution spculative afin de minimiser les frais gnraux tout en conservant leurs avantages en matire de protection. Dans ce processus, les analyses comparatives et les tests de performance sont essentiels.
L’utilisation d’une modlisation plus sophistique des menaces, qui value la fois la faisabilit et l’exploitabilit des attaques thoriques, peut aider laborer une stratgie d’attnuation plus quilibre. Les dveloppeurs peuvent mieux valuer les risques dans le monde rel et donner la priorit aux efforts qui apporteront les avantages les plus importants en matire de scurit tout en ayant une solution avec un impact ngligeable sur les performances.
En mettant en uvre des configurations de noyau plus dynamiques, les systmes peuvent ajuster leur posture de scurit en temps rel en fonction de l’environnement de menace actuel. Cela permet de renforcer les protections lorsque le niveau de menace est lev et d’assouplir ces protections lorsque le niveau de menace diminue.
Il est possible d’obtenir diffrentes perspectives en encourageant un niveau de participation plus important dans les discussions sur le dveloppement du noyau. Cette mthode axe sur la communaut peut crer des mesures d’attnuation efficaces et efficientes en s’appuyant sur diffrents domaines d’expertise.
Sources : Linus Torvalds, Kirill Shutemov, ingnieur d’Intel
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des critiques de Linus Torvalds l’gard des fabricants de matriels ?
Ses critiques sont-elles fondes ? Comment la communaut peut-elle venir bout de ces problmes ?
Que pensez-vous des impacts ngatifs des barrires d’excution spculative sur les performances du noyau Linux ?
Voir aussi