On vous parlait hier d’une possible flopée de failles sur les dernières générations de CPU de chez AMD. Ces 13 failles, réparties en 4 catégories et découvertes par CTS-Labs, centre de recherche en cyber-sécurité israélien.

Cette découverte fait couler beaucoup d’encre depuis hier, autant chez les détracteurs que les supporters d’AMD que chez les théoriciens du complot. Essayons de démêler tout cela…

Faille AMD

Les faisceaux de preuve que c’est … du flan :

  • Des failles inexploitables. Hormis la nommée « Chimère », elles sont effectivement difficilement exploitables : elles requièrent un droit administrateur et l’installation d’un BIOS vérolé. Bien qu’on sache pertinemment que la premiere cause d’infection est la fameuse interface chaise-clavier, les risques restent relativement limités et soumis à une erreur humaine. De plus, la création d’un BIOS vérolé UNIQUE pour chaque matériel rends son application quasi-impossible.
  • CTS-Labs, une entreprise suspecte ? Même si elle se targue d’avoir 16 années d’expertise à son compteur, on n’en retrouve trace qu’à partir de 2017 et on ne retrouve trace d’aucun de leurs travaux avant ce fameux leak… Partagé sur un site enregistré un mois avant, anonymement chez GoDaddy, et une chaîne YouTube créée exprès pour l’occasion. Et parlons-en de la chaîne, avec la vidéo explicative tournée devant fond vert et modifiée en post-prod avec des images de shutterstock… Ah, et sans SSL bien sûr ! Question sérieux, on repassera, surtout vu le domaine d’activité.

faille AMD

  • L’aspect financier. En effet, CTS-Labs explique expressément sur son site internet que, « Bien que nous croyions de bonne foi à notre analyse et la considérons comme objective et non biaisée, nous vous avisons que nous pourrions avoir, directement ou indirectement, un intérêt économique dans la performance des titres des sociétés dont les produits font l’objet de nos rapports« . Sous-entendu qu’un rapport biaisé pourrait être de mise si cela servait leurs intérêts.
  • Le non respect des délais. Habituellement, quand une faille est découverte, son rapporteur laisse 90 jours à la société après son signalement pour lui permettre de la patcher ou, à défaut, d’y répondre. Ici, CTS-Labs n’a laissé que 24h à AMD avant de dévoiler les failles, un guet-apens volontaire où la réponse d’AMD n’aurait aucune importance et seul compte le fait de les faire plonger ?
  • L’aspect technique pur. Partager 13 failles, c’est bien. Ne donner aucun aspect technique, moins. Même si les failles sont relativement détaillées d’un point de vue théorique, aucun aspect technique de leur faisabilité n’a pour autant été partagé. Par prudence ou absence ?

Les faisceaux de preuve que ce sont des failles majeures en devenir :

  • Dan Guido, co-fondateur et CEI de Trail of Bits, une startup new-yorkaise spécialisée dans la sécurité informatique, confirme avoir reçu un rapport technique complet (non public) de la part de CTS-Labs, comprenant le PoC pour chaque faille.

  • Ce même « package », comprenant le PoC (Proof of Concept, preuve de faisabilité dans la langue de Molière), rapport technique complet et instructions pour reproduire le bug, aurait été transmis, outre à Trail of Bits, à plusieurs acteurs majeurs du marché afin qu’ils puissent prendre en charge la correction, incluant Microsoft, HP, Dell, Symantec, FireEye et Cisco Systems.

Même si les arguments sont recevables des deux côtés, il est important d’attendre la réponse officielle d’AMD sur ce sujet avant de chercher à s’enflammer. Pour le moment, une simple réponse laconique à été diffusée :

Nous venons de recevoir un rapport d’une entreprise appelée CTS-Labs affirmant qu’il existe des failles de sécurité potentielles liées à certains de nos processeurs. Nous étudions activement et analysons ses résultats. Cette société était auparavant inconnue d’AMD et nous trouvons inhabituel qu’une firme de sécurité publie ses recherches à la presse sans accorder à l’entreprise un délai raisonnable pour enquêter sur ses conclusions et y répondre. Chez AMD, la sécurité est une priorité absolue et nous travaillons continuellement à assurer la sécurité de nos utilisateurs lorsque de nouveaux risques potentiels se présentent.

Comme on dit, wait & see

Sources : arstechnicawiredcomputerweeklywccftechkitguru, tomshardware, techgage, computerweekly

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer