Allez, mettons tout le monde d’accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n’est pas une faille. Comme souvent, les détails ne sont pas dévoilés1 immédiatement, tant qu’on n’a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.
C’est grave, docteur ?
Certains éléments sèment cependant le doute sur la gravité des failles2, ainsi que sur les conditions de divulgation3. Il semble qu’il faille un accès physique dans la plupart des cas4, ou au moins un accès de niveau administrateur à la machine, ce qui n’est pas le cas de Spectre.
Par ailleurs, il semble qu’un des composants cité soit aussi présent sur des puces d’Intel5, ce qui fait qu’une partie des failles mentionnées y seraient également présentes.
Qu’est-ce qui cloche ?
Ce qui cloche : le timing. Si les failles semblent réelles, leur impact paraît exagéré, et surtout CTS, la boîte ayant révélé les failles, n’a laissé que 24 heures à AMD pour répondre. Or habituellement on laisse 90 jours ; ce n’est pas une obligation, mais en cas d’un problème grave, cela laisse le temps à l’éditeur ou l’entreprise concernée de vérifier la validité des informations et de chercher des premières contre-mesures possibles, afin d’éviter une exploitation.
Or ici nous avons Viceroy Research, une boîte qui a déjà été impliquée dans une affaire de manipulation de cours boursiers, qui publie un rapport de 25 pages moins de 3 heures après la publication du « labo de recherche » qui fait 32 pages, pour dire qu’AMD est mort sur les marchés. Quant à CTS, boîte inconnue au bataillon qui n’a même pas de version https de son site (pour une entreprise s’occupant de sécurité informatique, c’est ballot) et qui n’a jamais rien publié auparavant : tout leur site ne fait que des liens (nombreux et pertinents certes) sur des sites externes !
Le fait de ne pas laisser de temps à AMD pour examiner le problème et de publier dans la foulée un rapport qui dézingue AMD fait penser à une tentative de manipulation de cours d’action, peut-être de façon opportuniste : les failles sont réelles, mais pas aussi graves qu’indiqué, et hop on lance le pavé et on tente d’en tirer profit.
Réponse d’AMD
Enfonçons le clou : les failles existent mais leur importance est surestimée en raison de l’obligation d’avoir un droit administrateur6 sur la machine ciblée. Et AMD d’insister (à juste titre, selon moi) :
Any attacker gaining unauthorized administrative access would have a wide range of attacks at their disposal well beyond the exploits identified in this [CTS] research7.
D’autre part, CTS justifie le délai d’une seule journée entre le moment de la communication à AMD et la divulgation publique de la faille par le délai prévisible de correction qui serait de plusieurs mois voire plus. Or même dans le cas de Spectre où effectivement la correction prendra des mois, AMD publie une série de correctifs au bout de quelques jours seulement, et avec un planning en semaines, et uniquement au niveau du firmware.
Gros doute
On en vient naturellement à se demander quels sont les liens entre CTS et Viceroy-machin, qui a admis avoir reçu le rapport une semaine avant AMD8 ! Quelle crédibilité (et quelle niveau d’éthique) accorder à une entreprise de sécurité qui dévoile ses informations à une société opérant sur les marchés avant le principal concerné ? Ce n’est pas ce genre d’affaire qui va réconcilier Linus Torvalds9 avec la filière sécurité…
Sources
- https://wccftech.com/low-down-amd-security-exploit-saga-cts-labs/
- https://wccftech.com/report-alleges-amd-ryzen-epyc-cpus-suffer-13-fatal-security-flaws/
- https://www.hardocp.com/news/2018/03/13/joshtek_sez_amd_exploits_bs
- http://www.guru3d.com/news-story/amd-security-vulnerability-%E2%80%93-the-day-after-seems-financially-motivated.html
- https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/