Discussion :

[MikeRowSoft]

Peu probable. Comment briller dans le domaine de la sécurité en se comportant comme un irresponsable ?

Cette phrase me fait penser à : elles ont été trouvées... Mais ont-elles été toutes trouvées ?

[Patrick Ruiz]

AMD promet des correctifs pour les processeurs EPYC et Ryzen
Tout en minimisant l’impact des trouvailles de CTS Labs

Advanced Micro Devices – AMD – a publié le premier rapport des investigations à propos de la correspondance que la firme de sécurité israélienne CTS Labs lui a adressé le 12 mars. Le fabricant de microprocesseurs confirme les trouvailles et apporte des précisions pour minimiser l’impact des failles dévoilées. Des correctifs sont néanmoins en développement et devraient être disponibles dans les semaines à venir au travers de mises à jour du système d’entrées/sorties de base (BIOS).

Voilà qui devrait rassurer les possesseurs d’ordinateurs animés par un microprocesseur du fabricant de semi-conducteurs américain. D’après le rapport de CTS Labs paru le 13 mars – la firme de sécurité a été fortement critiquée pour non-respect du délai de 90 jours accordés aux entreprises affectées par des vulnérabilités –, les premiers correctifs ne doivent pas être disponibles avant plusieurs mois. L’entreprise a dressé un tableau à la Meltdown et Spectre avec quatre familles de vulnérabilités pour un total de 13 failles – les variantes de chaque famille étant prises en compte.

AMD précise que le hardware de ses puces n’est pas concerné par ces vulnérabilités. « Les failles de sécurité identifiées par les chercheurs de la firme indépendante ne sont pas liées à la microarchitecture Zen ou aux exploits publiés par le projet Google Zero le 3 janvier », écrit l’entreprise. AMD limite les brèches au firmware qui pilote l’AMD Secure Processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – et les jeux de puces Promontory utilisés au sein des stations de travail Ryzen et Ryzen Pro.

Sur la piste de Trail of bits

La seule firme de sécurité qui s’est positionnée jusqu’ici est Trail of bits. Les chercheurs de CTS Labs se sont appuyés sur cette dernière début mars pour évaluer leurs trouvailles avant de contacter AMD. Dan Guido – CEO de CTS Labs – a confirmé les trouvailles de CTS Labs il y a une semaine. Dans une note de clarification parue le 15 mars le chercheur déclare : « il n’existe pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs. Même si l’on publiait tous les détails techniques de ces failles aujourd’hui, leur exploitation nécessiterait des efforts de développement considérables.  »

Et pour cause, les failles rapportées – Master Key, Ryzenfall, Fallout et Chimera – nécessitent que l’attaquant puisse agir en tant qu’administrateur d’un système. Les utilisateurs qui mettent constamment leurs systèmes d’exploitation à jour contre des failles liées à une escalade des privilèges devraient donc pouvoir dormir sur leurs deux oreilles. Cela permettrait de s’assurer que les barrières de protection intégrées aux différents OS (Windows Credential Guard dans la dernière mouture du système d’exploitation de Microsoft par exemple) jouent effectivement leur rôle.

AMD a déclaré que les mises à jour n'affecteront pas les performances des puces, un problème qui a miné les correctifs d'Intel pour les failles Spectre et Meltdown.

Sources

AMD

Trail of bits

Votre opinion

Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?

Voir aussi

AMD PSP : le module cryptographique est affecté par une vulnérabilité, un dépassement de pile qui mène à son contrôle total

[ABCIWEB]

Cela ressemble donc, comme beaucoup le pressentaient, à un pétard mouillé comme dit ginjfo :

Lors de la découverte de ce rapport de nombreux doutes ont pesé sur les réelles intentions de CTS Labs. Vous pouvez relire notre dossier à ce sujet.

Depuis l’attitude de l’entreprise semble confirmer que nous sommes bien en présence d’une sorte de pétard mouillé. Depuis leur publication, la nature « critique » de ces vulnérabilités a largement diminuée. CTS Lab est également à l’origine d’une clarification autour de ses premières allégations.

Nous apprenons que ce défauts touchent principalement les professionnels. Le niveau de protection actuel dans les domaines du réseau ou du cloud serait déjà suffisant pour se protéger…

Les problèmes révélés par les CTSLabs sont bien réels mais ils ne sont pas aussi problématiques ou catastrophiques que cela. Bien que CTS Labs aurait demandé à Trail of Bits de revoir ses conclusions, son PDG, Dan Guido, déclare

« Meltdown et Spectre ont nécessité de nouvelles avancées en matière de recherche. En revanche, les défauts (de CTS Labs) sont bien compris depuis les années 90. Ils ne sont pas nouveaux. Il ne s’agit pas de problèmes fondamentaux et surtout sont bien maitrisés en programmation »

Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?

Dan Guido a indiqué précédemment avoir facturé CTS Labs pour le travail d’étude demandé sur les vulnérabilités. L’histoire dira si et quand il est effectivement payé. Mais il ne ménage un client dont la stratégie de communication n’a pas manqué de faire grincer des dents. En fait, il donne même plutôt l’impression de chercher à en prendre ses distances, en relativisant sensiblement la portée de ses trouvailles.

En toute logique une entreprise à plutôt intérêt à ménager ses clients, ce qui peut expliquer ce petit délai. En même temps la réalité finirait bien par se savoir, et Dan Guido n'avait pas intérêt à trop attendre pour clarifier les choses s'il ne voulait pas perdre sa crédibilité...