Les fabricants de processeurs endurent quelques mois difficiles. Les énormes vulnérabilités Spectre et Meltdown ont secoué le monde informatique. Et puis, si les vulnérabilités n'étaient pas suffisamment graves, les correctifs mis en place pour résoudre les problèmes comportaient leur propre ensemble de problèmes. Il faudra un certain temps avant que les effets de Spectre/Meltdown ne s'estompent.
Les puces AMD n'étaient pas indemnes. Pire, en mars 2018, des chercheurs affirment avoir découvert une série de nouvelles vulnérabilités critiques spécifiques à AMD. Cependant, certaines personnes dans le monde de la technologie ne sont pas sûres. Y a-t-il une part de vérité dans les rapports sur les vulnérabilités critiques des processeurs AMD Ryzen ? Jetons un coup d'œil à l'histoire jusqu'à présent.
La société de sécurité israélienne CTS Labs a révélé 13 vulnérabilités critiques. Les vulnérabilités affectent la station de travail Ryzen d'AMD, Ryzen Pro, l'architecture mobile Ryzen et les processeurs de serveur EPYC. De plus, les vulnérabilités présentent des similitudes avec Spectre/Meltdown et pourraient permettre à un attaquant d'accéder à des données privées, d'installer des logiciels malveillants ou d'accéder à un système compromis.
Les vulnérabilités du processeur proviennent de la conception du processeur sécurisé d'AMD, une fonction de sécurité du processeur qui permet un stockage sécurisé des clés de chiffrement, des mots de passe et d'autres données extrêmement sensibles. Ceci, en conjonction avec une faille dans la conception du chipset Zen d'AMD qui relie le processeur à d'autres périphériques matériels.
"Cette partie intégrante de la plupart des produits AMD, y compris les stations de travail et les serveurs, est actuellement livrée avec de multiples vulnérabilités de sécurité qui pourraient permettre à des acteurs malveillants d'installer de manière permanente du code malveillant à l'intérieur du processeur sécurisé lui-même."
Oui, ils sont bien réels et se déclinent en quatre saveurs :
Le blog de sécurité de CTS Labs déclare :"Les attaquants pourraient utiliser Ryzenfall pour contourner Windows Credential Guard, voler les informations d'identification du réseau, puis potentiellement se propager même sur le réseau d'entreprise Windows hautement sécurisé [...] Les attaquants pourraient utiliser Ryzenfall en conjonction avec Masterkey pour installer des logiciels malveillants persistants sur le processeur sécurisé, exposant les clients au risque d'espionnage industriel secret et à long terme."
D'autres chercheurs en sécurité ont rapidement vérifié les résultats.
Aucune des vulnérabilités ne nécessite un accès physique au périphérique ou à des pilotes supplémentaires pour s'exécuter. Cependant, ils nécessitent des privilèges d'administrateur de machine locale, il y a donc un certain répit. Et avouons-le, si quelqu'un a un accès root direct à votre système, vous êtes déjà dans un monde de douleur.
Eh bien, personne n'a vraiment entendu parler de CTS Labs. Ce qui en soi n'est pas un problème. Les petites entreprises effectuent constamment d'excellentes recherches. C'est plutôt la façon dont CTS Labs a divulgué les vulnérabilités au public. La divulgation de sécurité standard demande aux chercheurs d'accorder à l'entreprise vulnérable au moins 90 jours pour rectifier un problème avant de rendre publiques des découvertes sensibles.
CTS Labs a donné à AMD un énorme 24 heures avant de mettre en ligne son site amdflaws [Broken URL Removed]. Et cela a suscité une colère considérable de la part de la communauté de la sécurité. Ce n'est pas seulement le site cependant. La façon dont les vulnérabilités sont présentées est également un problème de dessin. Le site d'information sur les vulnérabilités présente une interview avec l'un des chercheurs, regorge d'infographies et d'autres médias, a des noms passionnants et accrocheurs pour les problèmes et semble exagéré pour la publication d'une vulnérabilité. (Une vulnérabilité qu'ils ont donné à AMD moins de 24 heures pour la corriger, attention !)
CTS Labs a également donné son raisonnement à ce sujet. CTS Labs CTO Ilia Luk-Zilberman explique que « la structure actuelle de la « divulgation responsable » pose un problème très sérieux. » De plus, ils "pensent qu'il est difficile de croire que nous sommes le seul groupe au monde à avoir ces vulnérabilités, compte tenu de qui sont les acteurs dans le monde aujourd'hui". Vous pouvez lire la lettre complète ici [PDF].
TL;DR : CTS Labs estime que la période d'attente de 30/60/90 jours prolonge le danger pour les consommateurs déjà vulnérables. Si les chercheurs font la divulgation tout de suite, cela force la main de l'entreprise à agir immédiatement. En fait, leur suggestion d'utiliser une validation tierce, comme CTS Labs l'a fait avec Dan Guido (dont le Tweet de confirmation est lié ci-dessus), est sensée --- mais quelque chose qui se produit déjà.
D'autres chercheurs ont minimisé la gravité des failles en raison du niveau requis d'accès au système. Il y avait d'autres questions sur le moment du rapport car il est apparu que la société de vente à découvert d'actions Viceroy Research publiait un rapport déclarant que les actions AMD pourraient perdre toute leur valeur. Les actions AMD ont en effet chuté, coïncidant avec la publication du rapport de vulnérabilité de CTS Labs, mais ont clôturé la journée en hausse.
Le développeur principal du noyau Linux, Linus Torvalds, pense également que l'approche de CTS Labs est négligente, déclarant "Oui, cela ressemble plus à une manipulation de stock qu'à un avis de sécurité pour moi." Torvalds déplore également le battage médiatique inutile entourant la publication, affirmant que les chercheurs en sécurité "ressemblent à des clowns à cause de cela".
Les élucubrations de Torvald ne sont pas sans précédent. Mais il a raison. Il vient également à la suite d'une autre "alerte de sécurité" nécessitant à la fois un terrible SSH et un terrible mot de passe root pour fonctionner. Le point de vue de Torvalds (et d'autres chercheurs et développeurs en sécurité) est que parfois, simplement parce qu'une faille semble dangereuse et exotique, cela n'en fait pas un énorme problème pour le grand public.
Eh bien, c'est un sac de sécurité mixte. Votre processeur AMD Ryzen est-il vulnérable ? Oui c'est le cas. Votre processeur AMD Ryzen est-il susceptible de voir un exploit de cette manière ? C'est peu probable, du moins à court terme.
Cela dit, ceux qui possèdent un système AMD Ryzen devraient augmenter leur niveau de vigilance en matière de sécurité au cours des prochaines semaines jusqu'à ce qu'AMD puisse publier un correctif de sécurité. Espérons qu'ils seront bien meilleurs que les patchs Spectre/Meltdown !