Après Intel, les microprocesseurs AMD touchés également par des failles de sécurité

 |   |  346  mots
(Crédits : © Steve Marcus / Reuters)
Une société de sécurité informatique a affirmé mardi que certains micro-processeurs de l'américain Advanced Micro Devices (AMD), spécialisé dans les puces pour PC et serveurs, présentaient de grosses failles de sécurité, alors même que le secteur est toujours aux prises avec les failles Spectre et Meltdown.

"Un audit de sécurité de CTS Labs a révélé plusieurs failles importantes de sécurité (...) dans les derniers processeurs d'AMD, (les modèles appelés) EPYC, Ryzen, Ryzen Pro et Ryzen Mobile", a indiqué l'entreprise israélienne dans un communiqué mardi.

AMD a indiqué "être en train d'examiner cette étude, que nous venons de recevoir, pour comprendre la méthodologie et la pertinence" de ce qui y est affirmé.

CTS Labs dit avoir identifié 13 problèmes dans des composants d'AMD, qui équipent des entreprises mais aussi des appareils électroniques grand public. En permettant à des pirates de pénétrer les systèmes, ils pourraient "exposer les clients d'AMD à de l'espionnage industriel", note CTS.

Le cabinet affirme notamment que le modèle Ryzen, fabriqué par le taïwanais ASMedia, contient des "portes dérobées" insérées par le fabricant et qui peuvent être utilisées par des pirates.

Ces "portes dérobées" sont des voies d'accès secrètes à un système informatique parfois insérées volontairement pour faciliter l'intervention à distance sur les systèmes.

Spectre, Meltdown... et maintenant AMD

"Les réseaux équipés d'ordinateurs (avec des composants) AMD présentent un risque considérable", dit encore CTS, soulignant que les failles survivent au redémarrage des ordinateurs et à la réinstallation des systèmes d'exploitation. Ce qui, insiste CTS, rend possible "un espionnage permanent et pratiquement indétectable, enterré profondément dans le système".

Cette annonce intervient quelques semaines après la révélation de failles majeures baptisées Spectre et Meltdown, touchant des micro-processeurs --les puces qui font tourner les systèmes électroniques et informatiques-- d'Intel, ARM et AMD.

Inquiet, tout le secteur technologique s'était alors lancé dans la mise au point et la diffusion de correctifs de sécurité pour limiter les risques.

Une autre firme de sécurité informatique, enSilo, a même estimé que les failles révélées mardi étaient sans doute pires que Spectre et Meltdown, notamment en raison de leurs résistance à la réinstallation.

(avec l'AFP)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 15/03/2018 à 12:44 :
Comme expliqué dans les autres commentaires et autres articles sur le sujet, il y a beaucoup de flou autour de la crédibilité de cette entreprise. Le timing (la nouvelle gamme de processeur devait être annoncée dans quelques semaines), la méthode (normalement les entreprises sont prévenus des mois avant la publication pour pouvoir faire des correctifs, ici on parle de moins de 24h) et enfin la renommée de CTS lab (quasiment inconnu de la sécurité des processeurs) devraient nous amener à prendre l'information avec la plus grande prudence, je regrette que ça ne soit pas évoqué dans l'article.

Autre point important, ces failles si elles existent bien sont extrêmement difficiles à exploiter (installation d'un bios et accès aux droits administrateurs).
a écrit le 14/03/2018 à 10:41 :
En se renseignant un peu (site de Gamers bien connu), une petite enquête rapide montre que la société CTS Labs est plus que louche, et indique même avoir des liens financiers avec des entreprises qu'elles "critiquent". Qui plus est, la procédure est abjecte, pour Intel, ces derniers ont eu 6 mois pour anticiper l'annonce de Spectre et Meltdown (embargo sur l'annonce des failles) et là, l'info pour AMD est lâchée en 24H.
Très très louche. Je ne dis pas que c'est une fake news mais on n'est pas loin.
a écrit le 14/03/2018 à 10:14 :
Vous parlez des faille nécessitant un bios modifié et un accès physique en mode admin ?

Oui, en effet il y a des risques, mais c'est comme demander à votre alarme de vous protéger des vols en laissant la porte ouverte quand vous sortez... et accuser le system de sécurité après avoir été volé.

https://www.cowcotland.com/news/61720/moins-treize-failles-securite-architecture-amd-zen-vraiment.html

https://www.gamersnexus.net/industry/3260-assassination-attempt-on-amd-by-viceroy-research-cts-labs

Apres, faire plonger l'action AMD ça ne me gêne pas plus que cela, faut juste vite ouvrir son PEA :)
a écrit le 14/03/2018 à 8:46 :
Quand j'ai dis à mon ami informaticien que du coup vu la trahison d'intel j'achèterais dorénavant du AMD, tranquillement il m'a répondu que ce n'était pas la peine que tout le monde faisait pareil.

La sécurité sur internet n'est pas possible, le partage des données par ailleurs étant la définition même d'internet.
Réponse de le 14/03/2018 à 10:28 :
Les failles ne sont pas des "trahisons", mes des détournements de fonctionnalités des processeurs récents, comme les branchements prédictifs.
La mauvaise gestion de la comm' Intel était condamnable, mais de là à qualifier de trahison...

Pour en revenir à l'article, c'est bien de relayer l'info, mais il faut également souligner que cette "révélation" pue un peu. La fameuse boite CTS Labs révèle publiquement les failles avant même d'avertir et de laisser un délai d'étude au concerné (AMD). Je rappel qu'Intel, ARM et AMD ont eu plusieurs mois avant la révélation publique des failles Meltdown et Spectre.
Ensuite, il est bien de préciser que toutes les failles révélé ont besoin des privilèges Administrateur et/ou un accès physique à la machine. Ce qui est un pré-requis très pénalisant pour l'exploitation des failles.

Affaire à suivre.
Réponse de le 14/03/2018 à 14:20 :
Toi y en a crypter données si toi vouloir sécurité.
Réponse de le 15/03/2018 à 12:29 :
Si c'est de la trahison quand on ment à ceux qui vous soutiennent.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :