Sécurité : Meltdown et Spectre, les impacts connus sur les bases de données

de | 2018-01-11

Internet et journaux spécialisés ne parlent que de ça car c’est la plus grosse faille de sécurité identifiée depuis longtemps. Elle nous concerne directement car, sur un système patché, il y a des pertes de performances pour les applications.

Ces pertes sont proportionnelles aux nombres d’appels système (syscalls) et, vous allez rire, les bases de données font parties des logiciels qui en sont gourmands.

Les analyses se multiplient selon les compétences de chacun et les premières estimations commencent à être publiées.

Nous vous résumons tout ça ci-dessous. Ce sont des estimations et l’impact final dépendra du contexte d’exécution.

  • Pour Cassandra :  entre 20% et 50% de latence en plus.

Cf l’article de Mick Semb Wever pour The Last Pickle :

http://thelastpickle.com/blog/2018/01/10/meltdown-impact-on-latency.html

  • Pour PostgreSQL : environs 7%.

Cf l’article de Simon Riggs pour 2nd Quadrant :

PostgreSQL Meltdown

Sur la liste de développeurs, les discussions sont déjà engagées quant aux moyens de limiter la perte de performance.

  • Pour VMware : environs 7% si multi-thread.

Un article parmi d’autres : https://www.overclockingmadeinfrance.com/meltdown-spectre-faille-cpu-intel/

Note pour les lecteurs tatillons : certes, VMWare n’est pas une base de données mais elle héberge souvent des VM qui en portent. Donc ça nous concerne aussi.

  • Pour Oracle et MySQL, impacts confirmés mais pas encore de chiffres.

 

  • Pour Sybase : aucun article. Tout le monde s’en moque, visiblement.

Pour assurer en société, la différence entre les deux failles :
– Meltdown : affecte uniquement les processeurs Intel. Permet de contourner les sécurités matérielles entre espace utilisateur et espace noyau.
– Spectre : affecte tous les processeurs connus (Intel, AMD, ARM, etc) sortis depuis moins de 20 ans. Permet à un code utilisateur de tromper un autre et d’accéder à sa mémoire.

Est-ce désagréable ? Certes oui. Les premières démonstrations d’exploitabilité sont publiées et ça fait peur :
– récupération de clés SSH privées.
– récupération de mot de passe en clair.

Faut-il patcher tout, partout, dès maintenant ? Comme toujours avec ce genre de question, ça dépend de vous. Pour le moment, seule une solution logicielle est envisageable car il s’agit d’un défaut d’architecture matérielle. Cela dit, chaque équipe travaille à limiter le plus possible le coût en performance donc il est probable que les patches suivants aient moins d’impact.

Ceci étant dit, nous souhaitons une agréable année 2018 à tous les RSSI et à ceux devant assurer la sécurité des systèmes d’information en entreprise.

Aux autres également, bien sûr.

Des problèmes ? des questions ? Exprimez-vous ! Les commentaires sont ouverts. Coquilles et fautes de grammaires sont notre lot quotidien : signalez-les nous à m.capello@dbsqware.com

Laisser un commentaire