93 liens privés
Vu sur Matrix#Infosec
4z73k
Ada ⅞
Perso je m'y connais pas assez en archi CPU pour savoir en quoi ça relève de l'obsolescense programmée selon toi. Tu peux développer vite fait stp ?Sur ARM, ce qu'on appelle hardware initialization (on va dire des "drivers" pour juste demarrer les devices, et non les utiliser comme ceux qu'on installe a partir d'un OS) ne peut pas se faire de maniere autonome car il te faut une stack d'initialization specifique a la machine... quasiment tout le temps proprietaire.
Ca doit etre baked dans un kernel specifiquement taille pour ca. Ca utilise parmi tant d'autres, un systeme nomme Device Tree et qui n'est vraiment pas standardise.
Sur x86 / x64, ce qui se passe a cette etape serait l'equivalent du POST.
Pour l'exemple, le Rapsberry Pi demarre en premier lieu sur son iGPU, puis fait un handover sur le CPU...
Sur x86 et x64, tu peux utiliser un iso generique pour installer un OS sur n'importe quel PC. Parce que l'hardware initialization est inclus dans le firmware / BIOS /UEFI, grace en bonne partie a l'ACPI, mais pas que.
Sur ARM, meme si tu avais un UEFI, tu seras quand meme bloque parce que tu n'as pas ces blocs obligatoirement integres.
C'est aussi pour ca que tout phone sous ARM, doit avoir sa propre image specifique, et que les mises a jours majeures d'OS sont assez vite abandonnes par les constructeurs.
C'est tres flagrant pour les ROM custom Android, et c'est pourquoi le support communautaire ne va pas tres loin... apres des annees d'essais. Parce que l'hardware initialization est dependante de blocs qui sont dans un vieux kernel specifique.
Pour les autres Linux, tu as non pas un iso a installer, mais des images a flash. Quand bien meme une image "generique" existe, ca reste limite a un nombre tres select de devices, ou alors il faut rajouter ces blocs...
Que certains essayent de faire, en rajoutant chaque device dans le kernel Linux...a la source ! Ce qui est une folie vu le nombre de devices ARM qui existe.
Un exemple flagrant ce sont les Surface de Microsoft sous ARM, tu auras bien du mal a les upgrade vers un Windows majeur plus recent si c'est pas supporte, voire pas du tout. Impossible d'avoir Windows 10 sur les premiers Surfaces ARM de 2012-2013 par exemple !
Un autre exemple, c'est les apple sous Mx, il n'y a limite qu'un seul Linux qui peut correctement les supporter, mais qui reste incomplet 3-4 ans apres la commercialisation des machines... M1 et M2.
Resultat, ces machines qui ne peuvent pas avoir plus de 20 ans de support OS (ex: les premiers x64 / Athlon 64 de 2003 tournant sur le tout dernier Linux, ou ceux de 2005 tournant jusqu'a Windows 11 23H2), se voient etre obsolete bien plus rapidement.
C'est de l'obsolescence programmee, parce qu'ARM permet une justification des constructeurs alors qu'on aurait tres bien pu avoir un hardware initialization generique, a savoir impose dans le firmware.
RISC-V, de par ses implementation libres, offre un espoir d'avoir une implementation correcte avec l'hardware initialization impose dans le firmware.
C'est un bien meilleur ecosysteme qui autorise plus facilement la concurrence, on ne peut que se rappeler d'ARM qui a failli tuer Qualcomm recemment.
Bref, tout ca pour dire que ce n'est qu'une partie de l'infosec qui est assez meconnue.
Parce que meme si sur x64 c'est standardise, il n'empeche que l'hardware initialization sont des boites noires a cause de l'Intel Management Engine (sur la carte mere ! Qui si il n'est pas mis a jour, peut empecher un CPU d'etre initialise meme si le microcode du BIOS / UEFI est lui-meme a jour !) et de l'AMD PSP.
Pour ARM, il faut en plus rajouter TrustZone ou la puce T2 chez apple.
Ces boites noires dont on ne sait pas (meme si tres probable) si il y a des backdoor dedans, ont etes critiques par l'EFF.
4z73k
@Faelar:matrix.org
Pour le M1/M2, en réalité le reverse c'est pas si long que ça. Le temps passé c'était surtout lié à la création et mise au point du tooling et de l'infra pour le faire et tester les évol'. Et aussi beaucoup, beaucoup, beaucoup d'épuisement avec l'upstream. Source : les échanges des devs que je suis sur matrix depuis longtemps, et les nombreux postes de marcan sur son masto.De memoire, ca a pris beaucoup de temps pour gerer le GPU. Les M3 et M4 sont suffisamment different, pour qu'on doive encore attendre autant de temps d'annees pour les M1 et M2, sans garantie.
4z73k
@Faelar:matrix.org
Et pour le point sur ME et PSP Il y a débatJe croirai davantage l'EFF et Libreboot que les autres, sachant que tout ce qui concerne la "securite"... a ete en fait truffe de failles de securite !
Je pense entre autres a Intel TSX, SGX, Absolute Computrace, etc qui ont d'ailleurs tous etes abandonnes.
L'apple T2 a ete abandonne aussi.
Ce pas une question de si oui ou non c'est secure, mais quand on decouvrira que c'etait une Fausse Bonne Idee.
Je pense qu'on est qu'a quelques annees seulement pour le TPM... qui est en plus fused dans le CPU depuis quelques annees.
https://en.wikipedia.org/wiki/Intel_Management_Engine#Assertions_that_ME_is_a_backdoor
https://en.wikipedia.org/wiki/Intel_Management_Engine#Security_vulnerabilities
Ceci dit, ton article recommande... Dell et Lenovo, deux OEM tres reputes... pour leur vendor lock-in !
Au delà du texte. Ce qui fait peur:
« Le ministre de l’intérieur qui dicte la politique éducative et discute du détail des programmes avec le premier ministre, on aura tout vu »
geiger
« La France considère que l’ordre public fait partie de la sécurité nationale, c’est pourquoi elle a réclamé que tous les aspects du maintien de l’ordre soient exclus du règlement. Elle est le seul pays à avoir demandé cette exclusion totale ».
Ben voyons, n'importe qui devient ennemi d'Etat
oh wait...
gpu: puissance/prix
Tout pareil
Ne pas oublier
Les chiffres
«Cette enquête avait pour but d’alimenter les fichiers de police et la documentation des “services partenaires” », s’indigne Me Marie Milly pronostiquant que « quelle que soit l’issue de cette audience », le but avait été atteint, puisqu’avec ces milliers d’informations collectées sur ces sympathisants des combats des Soulèvements de la terre « les services de police sont repus ».
Bonnes pratiques
Il y a deux technologies de connexion d'écran à travers un dock : DisplayLink d'un côté et DisplayPort Alt mode de l'autre. DisplayLink intervient au niveau applicatif et nécessite des pilotes proprio, tandis que DisplayPort Alt mode est directement intégré dans le standard USB type C.
Il va sans dire que la conclusion est sans appel : pour une compatibilité optimale avec Linux, il faut un dock compatible DisplayPort Alt mode, et fuir les docks DisplayLink. En général les docks DisplayPort Alt mode sond plus chers hélas. Parfois les vendeurs de matériels genre LDLC s'emmêlent les pinceaux et il m'est déjà arrivé de renvoyer un dock pour cause de description erronée.
La bonne nouvelle c'est que les docks moderne des grands constructeurs (HP, Dell, ThinkPad) sont tous en DisplayPort Alt mode.
HDD SSD reconditionnés
O_O