Les fabricants de processeurs traversent une période difficile. Les vulnérabilités majeures Spectre et Meltdown ont ébranlé le secteur informatique. Les correctifs appliqués ont eux-mêmes généré de nouveaux problèmes. Il faudra du temps pour que les répercussions s'estompent.
Les processeurs AMD n'ont pas été épargnés. En mars 2018, des chercheurs ont annoncé la découverte de nouvelles vulnérabilités critiques spécifiques aux puces AMD. Des doutes persistent dans la communauté tech : ces failles Ryzen sont-elles réelles ? Examinons les faits.
La société de sécurité israélienne CTS Labs a révélé 13 vulnérabilités graves affectant les stations de travail Ryzen, Ryzen Pro, l'architecture mobile Ryzen et les processeurs serveurs EPYC. Similaires à Spectre et Meltdown, elles pourraient permettre à un attaquant d'accéder à des données sensibles, d'installer des malwares ou de compromettre un système.
Ces failles proviennent du processeur sécurisé AMD (Secure Processor), conçu pour stocker de manière protégée les clés de chiffrement, mots de passe et données critiques, combiné à une vulnérabilité dans l'architecture chipset Zen reliant le CPU aux périphériques.
"Cette composante clé de la plupart des produits AMD, y compris stations de travail et serveurs, présente des vulnérabilités multiples permettant à des acteurs malveillants d'installer du code persistant directement dans le processeur sécurisé."
Oui, confirmées par des experts indépendants. Elles se déclinent en quatre catégories principales :
CTS Labs précise : "Les attaquants pourraient utiliser Ryzenfall pour contourner Windows Credential Guard, voler des identifiants réseau et se propager dans un réseau d'entreprise sécurisé. Combiné à Masterkey, cela expose à un espionnage industriel prolongé."
D'autres experts en sécurité ont validé ces découvertes rapidement.
Aucune faille ne requiert d'accès physique ou pilotes additionnels, mais toutes exigent des privilèges administrateur locaux – un frein notable. Si un attaquant a déjà root, le système est compromis de toute façon.
Le manque de notoriété de CTS Labs n'est pas en cause – les petites firmes font d'excellentes recherches. C'est la méthode de divulgation qui pose question. La pratique standard accorde 90 jours à l'éditeur pour corriger avant publication.
CTS Labs n'a donné qu'un délai de 24 heures à AMD avant de lancer son site amdflaws [Lien cassé supprimé]. Cela a suscité une vive controverse dans la communauté sécurité. Le site, avec infographies, interview et noms sensationnels, ressemble plus à une campagne marketing qu'à un rapport technique sobre.
CTS Labs justifie : leur CTO Ilia Luk-Zilberman critique la "divulgation responsable" actuelle, arguant que d'autres acteurs (États-nations ?) connaissent déjà ces failles. Lire la lettre complète [PDF].
TL;DR : Un délai court force AMD à agir vite, et une validation tierce (comme avec Dan Guido) est une bonne pratique existante.
Certains minimisent les risques faute d'accès requis. Le timing coïncide avec un rapport de Viceroy Research prédisant la chute des actions AMD – qui ont baissé puis rebondi.
Linus Torvalds, mainteneur Linux, qualifie l'approche de CTS Labs de "négligente" et manipulative : "Ça ressemble plus à du trading qu'à un avis sécurité." Il dénonce le battage médiatique excessif.
Torvalds n'est pas seul : d'autres experts notent que des failles exotiques ne menacent pas forcément le grand public sans vecteur réaliste.
Vos Ryzen sont vulnérables : oui. Exposés à un exploit imminent : improbable à court terme.
Augmentez la vigilance sécurité en attendant les correctifs AMD. Espérons-les plus efficaces que ceux de Spectre/Meltdown !
[]