Spectre et Meltdown - Nous sommes là pour vous aider

Si vous n’avez pas vécu dans une grotte ces derniers jours, les noms Spectre et Meltdown vous disent probablement quelque chose. Cette semaine, deux failles majeures dans la conception des processeurs ont été rendues publiques, ouvrant la porte à des risques de fuite de données entre applications sur un même système, et même entre machines virtuelles dans des environnements virtualisés.

Pour corriger ces failles matérielles, des mises à jour logicielles sont nécessaires. Presque tout le monde est concerné : ordinateurs personnels, serveurs… Vous devez mettre à jour vos postes de travail, et de notre côté, nous procédons également à la mise à jour de notre infrastructure.

Opérations de maintenance sur la plateforme

Notre infrastructure repose sur des serveurs physiques utilisés comme hyperviseurs, ainsi que sur des machines virtuelles Linux réparties sur ces hôtes, qui exécutent vos conteneurs d’applications et de bases de données.

Pour corriger les vulnérabilités Spectre et Meltdown, deux opérations de maintenance sont nécessaires de notre côté.

La première consiste à mettre à jour les hyperviseurs exécutant les machines virtuelles, afin de protéger l’infrastructure contre les attaques par canal auxiliaire entre machines virtuelles. Cette opération a déjà été réalisée par notre fournisseur d’infrastructure. Grâce aux fonctionnalités de migration à chaud (live migration) de nos hyperviseurs (VMware), elle n’a eu aucun impact sur la disponibilité de vos applications et de vos add-ons. Une communication a été faite via notre page de statut.

La seconde opération consiste à mettre à jour le noyau Linux des machines virtuelles. Cette mise à jour est nécessaire pour se protéger contre les fuites d’informations entre processus. Par nature, elle nécessite un redémarrage de chaque système.

Dès que Canonical publiera une version corrigée du noyau Linux, nous lancerons cette opération :

• Les conteneurs applicatifs seront migrés de manière transparente avant le redémarrage d’un serveur, comme c’est déjà le cas lors d’opérations d’auto-réparation ou de rééquilibrage de charge. Cela n’aura aucun impact sur la disponibilité de vos applications.

• Les add-ons de base de données mono-nœud subiront une courte interruption pendant le redémarrage du serveur et leur phase de réinitialisation.

• Les add-ons de base de données multi-nœuds seront redémarrés de manière transparente : un seul nœud sera redémarré à la fois, ce qui permet de maintenir la disponibilité du cluster.

Si vous avez la moindre question concernant ces opérations de maintenance, n’hésitez pas à nous contacter via nos canaux de support (dans l’application ou par email).

Impact sur les performances

Le correctif ajouté au noyau Linux, appelé Kernel Page-Table Isolation (KPTI), entraîne un impact sur les performances.

Les premières observations font état d’une baisse de performance d’environ 5 % pour la plupart des charges de travail, et pouvant aller jusqu’à 30 % dans certains cas plus spécifiques (notamment pour des applications très intensives en mémoire).

Les mainteneurs du noyau Linux ont choisi d’intégrer rapidement ces protections afin de sécuriser les systèmes, puis travailleront à l’optimisation des performances pour réduire cet impact. Notre infrastructure bénéficiera naturellement de ces améliorations dès leur disponibilité.

En savoir plus sur Spectre et Meltdown

Si vous souhaitez approfondir le sujet, voici quelques ressources utiles :

• Un résumé des failles Spectre et Meltdown : causes, impacts et questions fréquentes

• L’article explicatif publié par Google

• Une analyse de l’impact des correctifs sur les performances par Red Hat

• La communication d’Intel sur le déploiement des correctifs

• Le livre blanc publié par Intel sur ces vulnérabilités

• Les mises à jour publiées par AMD et ARM

• Les communications des principaux projets et distributions : Chromium, Mozilla, Qubes, Red Hat, SUSE, Ubuntu, Xen, Fedora

• Des articles techniques de LWN sur les correctifs du noyau (retpoline, IBRS, etc.)