Petit bémol quand même, il me semble que les vieux processeur ont des failles de sécurité matériel dont on a parlé longuement ici.

Oui un Core2 duo aura quelques failles non atténuées (mais pas beaucoup et pour certaines le risque n'existe réellement que dans des cas d'usage serveur avec virtualisation).

Mais tu prend le Core i3-4150 CPU @ 3.5 GHz, c'est mon PC principal, équipé d'un processeur de 2014 qui a donc 8 ans.

Toutes les failles sont atténuées avec les derniers microcode sous Linux (je ne donnerais pas ma main à couper sous Windows, car Dell ne proposant plus de mise à jour du BIOS, il faut que cela soit le système d'exploitation qui mette à jour le microcode)

$ lscpu
Architecture :                              x86_64
  Mode(s) opératoire(s) des processeurs :   32-bit, 64-bit
  Address sizes:                            39 bits physical, 48 bits virtual
  Boutisme :                                Little Endian
Processeur(s) :                             4
  Liste de processeur(s) en ligne :         0-3
Identifiant constructeur :                  GenuineIntel
  Nom de modèle :                           Intel(R) Core(TM) i3-4150 CPU @ 3.50GHz
    Famille de processeur :                 6
    Modèle :                                60
    Thread(s) par cœur :                    2
    Cœur(s) par socket :                    2
    Socket(s) :                             1
    Révision :                              3
    Vitesse maximale du processeur en MHz : 3500,0000
    Vitesse minimale du processeur en MHz : 800,0000
    BogoMIPS :                              6983.81
    Drapaux :                               fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc a
                                            rch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1
                                             sse4_2 movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm cpuid_fault epb invpcid_single pti ssbd ibrs ibpb stibp tpr_shadow vnmi flexpriority
                                            ept vpid ept_ad fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid xsaveopt dtherm arat pln pts md_clear flush_l1d
Virtualization features:                   
  Virtualisation :                          VT-x
Caches (sum of all):                       
  L1d:                                      64 KiB (2 instances)
  L1i:                                      64 KiB (2 instances)
  L2:                                       512 KiB (2 instances)
  L3:                                       3 MiB (1 instance)
NUMA:                                       
  Nœud(s) NUMA :                            1
  Nœud NUMA 0 de processeur(s) :            0-3
Vulnerabilities:                           
  Itlb multihit:                            KVM: Mitigation: VMX disabled
  L1tf:                                     Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
  Mds:                                      Mitigation; Clear CPU buffers; SMT vulnerable
  Meltdown:                                 Mitigation; PTI
  Mmio stale data:                          Not affected
  Spec store bypass:                        Mitigation; Speculative Store Bypass disabled via prctl and seccomp
  Spectre v1:                               Mitigation; usercopy/swapgs barriers and __user pointer sanitization
  Spectre v2:                               Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
  Srbds:                                    Mitigation; Microcode
  Tsx async abort:                          Not affected


Maintenant tous les Smartphones Android 10 et plus ancien avec encore des mise à jour de sécurité sont vulnérable a des failles qui ne sont pas corrigées sans passage à Android 11 (StrandHogg, cette faille permet à des logiciels malveillants de se masquer en applications légitimes et nous voler nos informations personnelles).

Cela dépend des failles.

Je vois aussi des titres en ce moment "Apple M1 : la puce souffre d’une faille de sécurité qui ne peut pas être corrigée" ou "« PacMan attack » : les Mac M1 touchés par une faille impossible à corriger [...] Cette brèche étant située au niveau matériel, elle est impossible à corriger par une mise à jour logicielle."

Il y a des failles qui sont corrigées par une mise à jour de sécurité, d'autres par un microcode adapté au chip, d'autre par une version supérieur d'Android et les failles ultimes c'est celles qu'il est impossible de corriger de façon logicielle (c'est quand même extrêmement rare).

Pour certaines ce n'est pas une correction, mais une atténuation. Dans mon précédent message j'ai parlé d'atténuation pas de correction.

Core i7-2600 : ce processeur à 11 ans (sorite au T1 2011) et le dernier microcode atténue bien les failles (PC sous Ubuntu 22.04 LTS)

$ lscpu
Architecture :                              x86_64
  Mode(s) opératoire(s) des processeurs :   32-bit, 64-bit
  Address sizes:                            36 bits physical, 48 bits virtual
  Boutisme :                                Little Endian
Processeur(s) :                             8
  Liste de processeur(s) en ligne :         0-7
Identifiant constructeur :                  GenuineIntel
  Nom de modèle :                           Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
    Famille de processeur :                 6
    Modèle :                                42
    Thread(s) par cœur :                    2
    Cœur(s) par socket :                    4
    Socket(s) :                             1
    Révision :                              7
    Vitesse maximale du processeur en MHz : 3800,0000
    Vitesse minimale du processeur en MHz : 1600,0000
    BogoMIPS :                              6784.25
    Drapaux :                               fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ht tm pbe syscall nx
                                            rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor d
                                            s_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm epb pti ssb
                                            d ibrs ibpb stibp tpr_shadow vnmi flexpriority ept vpid xsaveopt dtherm ida arat pln pts md_clear flush_l1d
Virtualization features:                   
  Virtualisation :                          VT-x
Caches (sum of all):                       
  L1d:                                      128 KiB (4 instances)
  L1i:                                      128 KiB (4 instances)
  L2:                                       1 MiB (4 instances)
  L3:                                       8 MiB (1 instance)
NUMA:                                       
  Nœud(s) NUMA :                            1
  Nœud NUMA 0 de processeur(s) :            0-7
Vulnerabilities:                           
  Itlb multihit:                            KVM: Mitigation: VMX disabled
  L1tf:                                     Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
  Mds:                                      Mitigation; Clear CPU buffers; SMT vulnerable
  Meltdown:                                 Mitigation; PTI
  Mmio stale data:                          Not affected
  Spec store bypass:                        Mitigation; Speculative Store Bypass disabled via prctl and seccomp
  Spectre v1:                               Mitigation; usercopy/swapgs barriers and __user pointer sanitization
  Spectre v2:                               Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
  Srbds:                                    Not affected
  Tsx async abort:                          Not affected

Le dernier microcode Intel pour ce CPU date de février 2019 :

$ sudo dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x2f, date = 2019-02-17
[    0.788754] microcode: sig=0x206a7, pf=0x2, revision=0x2f
[    0.788932] microcode: Microcode Update Driver: v2.2.

Merci hwti.

A noter pour ceux qui n'ont pas l'information dans la commande lscpu qu'il est possible de récupérer une bonne partie des information via dmesg :

dmesg | grep -e smpboot -e Spectre -e MDS -e SRBDS -e microcode -e Speculative

Exemple de retour :

$ dmesg | grep -e smpboot -e Spectre -e MDS -e SRBDS -e microcode -e Speculative
[    0.000000] microcode: microcode updated early to revision 0x21, date = 2019-02-13
[    0.037207] smpboot: Allowing 8 CPUs, 0 hotplug CPUs
[    0.130731] Spectre V1 : Mitigation: usercopy/swapgs barriers and __user pointer sanitization
[    0.130734] Spectre V2 : Mitigation: Retpolines
[    0.130736] Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling RSB on context switch
[    0.130738] Spectre V2 : Enabling Restricted Speculation for firmware calls
[    0.130740] Spectre V2 : mitigation: Enabling conditional Indirect Branch Prediction Barrier
[    0.130742] Spectre V2 : User space: Mitigation: STIBP via seccomp and prctl
[    0.130745] Speculative Store Bypass: Mitigation: Speculative Store Bypass disabled via prctl and seccomp
[    0.130749] MDS: Mitigation: Clear CPU buffers
[    0.130751] SRBDS: Vulnerable: No microcode
[    0.135972] smpboot: Estimated ratio of average max frequency by base frequency (times 1024): 1086
[    0.135982] smpboot: CPU0: Intel(R) Xeon(R) CPU E3-1230 V2 @ 3.30GHz (family: 0x6, model: 0x3a, stepping: 0x9)
[    0.140001] MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
[    0.154348] smpboot: Max logical packages: 1
[    0.154348] smpboot: Total of 8 processors activated (52679.42 BogoMIPS)
[    1.476863] microcode: sig=0x306a9, pf=0x2, revision=0x21
[    1.483544] microcode: Microcode Update Driver: v2.2.

Sur un PC plus ancien :

$ dmesg | grep -e smpboot -e Spectre -e MDS -e SRBDS -e microcode -e Speculative
[    0.000000] smpboot: Allowing 2 CPUs, 0 hotplug CPUs
[    0.024000] Spectre V1 : Mitigation: usercopy/swapgs barriers and __user pointer sanitization
[    0.024000] Spectre V2 : Mitigation: Retpolines
[    0.024000] Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling RSB on context switch
[    0.024000] MDS: Vulnerable: Clear CPU buffers attempted, no microcode
[    0.141824] smpboot: CPU0: Genuine Intel(R) CPU           T2080  @ 1.73GHz (family: 0x6, model: 0xe, stepping: 0xc)
[    0.150764] smpboot: Max logical packages: 1
[    0.150764] smpboot: Total of 2 processors activated (6916.11 BogoMIPS)
[    3.200841] microcode: sig=0x6ec, pf=0x80, revision=0x5b
[    3.201044] microcode: Microcode Update Driver: v2.2.

Vulnerabilities:                           
  Itlb multihit:                            KVM: Mitigation: VMX disabled
  L1tf:                                     Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
  Mds:                                      Mitigation; Clear CPU buffers; SMT vulnerable
  Meltdown:                                 Mitigation; PTI
  Mmio stale data:                          Not affected
  Spec store bypass:                        Mitigation; Speculative Store Bypass disabled via prctl and seccomp
  Spectre v1:                               Mitigation; usercopy/swapgs barriers and __user pointer sanitization
  Spectre v2:                               Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
  Srbds:                                    Not affected
  Tsx async abort:                          Not affected

Le dernier microcode Intel pour ce CPU date de février 2019 :

$ sudo dmesg | grep microcode
[    0.000000] microcode: microcode updated early to revision 0x2f, date = 2019-02-17
[    0.788754] microcode: sig=0x206a7, pf=0x2, revision=0x2f
[    0.788932] microcode: Microcode Update Driver: v2.2.

Juste pour info, les "Mitigations" indiquées dans /proc/cpuinfo n'ont rien à voir avec le microcode (même si certaines, notamment pour le MDS, s'appuient sur certains changements au niveau du microcode). Comme leur nom l'indique, ce sont des palliatifs purement logiciels au niveau du noyau, qu'on peut d'ailleurs désactiver au choix (indépendamment du microcode qui tourne).