AMD, des failles

Allez, mettons tout le monde d'accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n'est pas une faille. Comme souvent, les détails ne sont pas dévoilés[1] immédiatement, tant qu'on n'a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.

C'est grave, docteur ?

Certains éléments sèment cependant le doute sur la gravité des failles[2], ainsi que sur les conditions de divulgation[3]. Il semble qu'il faille un accès physique dans la plupart des cas[4], ou au moins un accès de niveau administrateur à la machine, ce qui n'est pas le cas de Spectre.

Par ailleurs, il semble qu'un des composants cité soit aussi présent sur des puces d'Intel[5], ce qui fait qu'une partie des failles mentionnées y seraient également présentes.

Qu'est-ce qui cloche ?

Ce qui cloche : le timing. Si les failles semblent réelles, leur impact paraît exagéré, et surtout CTS, la boîte ayant révélé les failles, n'a laissé que 24 heures à AMD pour répondre. Or habituellement on laisse 90 jours ; ce n'est pas une obligation, mais en cas d'un problème grave, cela laisse le temps à l'éditeur ou l'entreprise concernée de vérifier la validité des informations et de chercher des premières contre-mesures possibles, afin d'éviter une exploitation.

Or ici nous avons Viceroy Research, une boîte qui a déjà été impliquée dans une affaire de manipulation de cours boursiers, qui publie un rapport de 25 pages moins de 3 heures après la publication du « labo de recherche » qui fait 32 pages, pour dire qu’AMD est mort sur les marchés. Quant à CTS, boîte inconnue au bataillon qui n’a même pas de version https de son site (pour une entreprise s'occupant de sécurité informatique, c'est ballot) et qui n’a jamais rien publié auparavant : tout leur site ne fait que des liens (nombreux et pertinents certes) sur des sites externes !

Le fait de ne pas laisser de temps à AMD pour examiner le problème et de publier dans la foulée un rapport qui dézingue AMD fait penser à une tentative de manipulation de cours d'action, peut-être de façon opportuniste : les failles sont réelles, mais pas aussi graves qu'indiqué, et hop on lance le pavé et on tente d'en tirer profit.

Réponse d'AMD

Enfonçons le clou : les failles existent mais leur importance est surestimée en raison de l'obligation d'avoir un droit administrateur[6] sur la machine ciblée. Et AMD d'insister (à juste titre, selon moi) :

Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this [CTS] research[7].

D'autre part, CTS justifie le délai d'une seule journée entre le moment de la communication à AMD et la divulgation publique de la faille par le délai prévisible de correction qui serait de plusieurs mois voire plus. Or même dans le cas de Spectre où effectivement la correction prendra des mois, AMD publie une série de correctifs au bout de quelques jours seulement, et avec un planning en semaines., et uniquement au niveau du firmware.

Gros doute

On en vient naturellement à se demander quels sont les liens entre CTS et Viceroy-machin, qui a admis avoir reçu le rapport une semaine avant AMD[8] ! Quelle crédibilité (et quelle niveau d'éthique) accorder à une entreprise de sécurité qui dévoile ses informations à une société opérant sur les marchés avant le principal concerné ? Ce n'est pas ce genre d'affaire qui va réconcilier Linus Torvalds[9] avec la filière sécurité...

Sources

Références

  1. David Legrand, « 13 failles de sécurité trouvées dans l'ensemble des processeurs Ryzen/EPYC d'AMD et leurs chipsets », sur NextInpact, (consulté le 14 mars 2018)
  2. « CPU AMD Ryzen et EPYC : 13 graves failles de sécurité ? », sur Tom's Hardware, (consulté le 14 mars 2018)
  3. « Pas moins de treize failles de sécurité dans l'architecture AMD Zen. Vraiment ? - Processeurs », sur Cowcotland, (consulté le 14 mars 2018)
  4. « Failles CPU AMD : 7 raisons de trouver ça louche... », sur Tom's Hardware, (consulté le 14 mars 2018)
  5. (de) « Hintertüren in USB-Controllern auch in Intel-Systemen vermutet », sur heise Security, (consulté le 19 mars 2018)
  6. (en) Peter Bright, « AMD promises firmware fixes for security processor bugs », sur ArsTechnica,
  7. (en) « Initial AMD Technical Assessment of CTS Labs Research », sur AMD,
  8. Par Alfred Ng, « AMD a des correctifs en route pour ses 13 vulnérabilités », sur ZDNet France (consulté le 22 mars 2018)
  9. « Linus Torvalds tacle CTS Labs pour ses failles dans les processeurs AMD », sur ZDNet France (consulté le 22 mars 2018)