La faille de sécurité AMD Ryzenfall détruit le dernier refuge

(précaire est une chronique hebdomadaire qui aborde le sujet en pleine actualité de la cybersécurité.

Le mardi 13 mars, la société de sécurité CTS Labs a annoncé la découverte de 13 failles dans les processeurs Ryzen et Epyc d’AMD. Les problèmes couvrent quatre classes de vulnérabilités qui incluent plusieurs problèmes majeurs, tels qu'une porte dérobée matérielle dans Le chipset de Ryzen et les failles qui peuvent complètement compromettre le processeur sécurisé d'AMD, une puce censée agir comme un “monde sécurisé» où les tâches sensibles peuvent être conservées hors de portée des logiciels malveillants.

Cette révélation intervient quelques mois seulement après la révélation de la fusion et le spectre failles qui ont affecté les puces d'AMD, Intel, Qualcomm et autres. AMD, dont les puces étaient compromises par certaines failles du Spectre, est sorti relativement indemne du fiasco. Les passionnés ont concentré leur colère sur Intel. Bien qu'un

une poignée de recours collectifs ont été déposées contre AMD, ce n’est rien comparé aux une horde d'avocats contre Intel. Comparé à Intel, AMD semblait être un choix intelligent et sûr.

Cela a rendu l’annonce de mardi des failles du matériel AMD encore plus explosive. Des tempêtes sur Twitter ont éclaté alors que les chercheurs en sécurité et les passionnés d'ordinateurs se disputaient sur la validité des résultats. Pourtant, les informations fournies par CTS Labs ont été vérifiées de manière indépendante par une autre entreprise, Sentier des morceaux, fondée en 2012. La gravité des problèmes peut être contestée, mais ils existent bel et bien et ils compromettent ce que certains utilisateurs de PC en sont venus à considérer comme la dernière sphère de sécurité.

Le Far West de la divulgation

Le contenu des recherches de CTS Labs aurait de toute façon fait la une des journaux, mais le punch de la révélation a été amplifié par sa surprise. AMD a apparemment eu moins de 24 heures pour répondre avant que CTS Labs ne soit rendu public, et CTS Labs n'a pas rendu public son information. tous les détails techniques, choisissant plutôt de les partager uniquement avec AMD, Microsoft, HP, Dell et plusieurs autres grands entreprises.

De nombreux chercheurs en sécurité ont crié au scandale. La plupart des failles sont divulguées aux entreprises plus tôt, accompagnées d'un délai de réponse. Meltdown et Spectre, par exemple, ont été divulgués à Intel, AMD et ARM le 1er juin 2017 par Le projet zéro de Google équipe. La fenêtre initiale de 90 jours pour résoudre les problèmes a ensuite été étendue à 180 jours, mais s'est terminée plus tôt que prévu lorsque The Register a publié son premier article sur la faille du processeur Intel. La décision de CTS Labs de ne pas proposer de divulgation préalable a suscité des spéculations selon lesquelles il en aurait eu une autre, motif plus malveillant.

CTS Labs se défend dans une lettre d'Ilia Luk-Zilberman, le CTO de la société, publié sur le site AMDflaws.com. Luk-Zilberman conteste le concept de divulgation préalable, affirmant que « c'est au vendeur s'il veut alerter le clients qu’il y a un problème. C'est pourquoi on entend rarement parler d'une faille de sécurité jusqu'à plusieurs mois après son apparition. découvert.

Pire encore, dit Luk-Zilberman, cela impose un jeu de corde raide entre le chercheur et l'entreprise. L'entreprise pourrait ne pas répondre. Si cela se produit, le chercheur se trouve face à un choix difficile; restez silencieux et espérez que personne d’autre ne trouvera la faille, ou rendez public les détails d’une faille pour laquelle aucun correctif n’est disponible. La coopération est l’objectif, mais les enjeux, tant pour le chercheur que pour l’entreprise, incitent à une attitude défensive. La question de savoir ce qui est approprié, professionnel et éthique se résume souvent à un petit tribalisme.

Où est le fond ?

La norme industrielle en matière de divulgation d’une faille n’existe pas et, en son absence, le chaos règne. Même ceux qui croient en la divulgation ne sont pas d’accord sur des détails, comme le délai accordé à une entreprise pour répondre. L’absence d’accord signifie qu’il n’y a aucun moyen de savoir quand la prochaine faille majeure sera révélée, de qui elle viendra ou comment elle sera signalée.

La cybersécurité est un gâchis, et c’est un gâchis qui a des conséquences néfastes sur chacun d’entre nous. Bien qu’alarmantes, les nouvelles failles des processeurs AMD – comme Meltdown, Spectre, Heartbleed et bien d’autres auparavant – seront bientôt oubliées. Ils doit Être oublié.

Après tout, quel autre choix avons-nous? Les ordinateurs et les smartphones sont devenus indispensables pour participer à la société moderne. Même ceux qui n’en possèdent pas doivent utiliser les services qui en dépendent.

Chaque logiciel et matériel que nous utilisons est apparemment truffé de défauts critiques. Même ainsi, à moins que vous ne décidiez d’abandonner la société et de construire une cabane dans les bois, vous devez les utiliser.

Normalement, j’aimerais que cette chronique se termine sur des conseils pratiques. Utilisez des mots de passe forts. Ne cliquez pas sur les liens qui promettent des iPad gratuits. Ce genre de chose. De tels conseils restent vrais, mais c’est comme enfiler un gilet de sauvetage alors qu’un navire coule dans les eaux glaciales de l’Arctique. Bien sûr. Le gilet de sauvetage est une bonne idée. Vous êtes plus en sécurité avec que sans, mais cela ne suffit plus à vous sauver.

Recommandations des rédacteurs

• AMD Ryzen Master a un bug qui peut permettre à quelqu'un de prendre le contrôle total de votre PC
• AMD vient de divulguer quatre de ses prochains processeurs Ryzen 7000
• AMD vient de gagner les guerres fondamentales, et il a encore un atout dans sa manche