Discussion :

[Patrick Ruiz]

Alerte sécurité : des failles et portes dérobées dans les processeurs EPYC et Ryzen d’AMD
Permettent l’installation furtive de malwares

AMD a désormais droit à son apocalypse numérique après la publication des failles Meltdown et Spectre qui, semblent-ils, affectent beaucoup plus les puces Intel. Des chercheurs en sécurité préviennent que certains processeurs AMD exhibent des vulnérabilités critiques, ainsi que des portes dérobées.

L’AMD Secure processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – compte un total de 13 failles d’après les chercheurs de la firme de sécurité israélienne CTS Labs. Ces dernières permettent l’installation de logiciels malveillants difficiles à détecter et persistants, préviennent-ils. La déclaration la plus explosive de la firme de sécurité est liée à l’idée selon laquelle les jeux de puces Promontory – utilisés sur les stations de travail Ryzen et Ryzen Pro – sont truffés de portes dérobées. Les chercheurs de la firme de sécurité n’ont pas tu le nom du présumé responsable de la pose de ces dernières et ont désigné ASMedia, une filiale d’ASUSTeK spécialisée dans la fabrication.

Comme avec Meltdown et Spectre, on a affaire à plusieurs vulnérabilités majeures – Master Key, Ryzenfall, Fallout et Chimera – qui se déclinent en plusieurs variantes pour porter le total de failles à celui précédemment mentionné. Prise de contrôle total (exécution de code arbitraire) de l’environnement d’exécutions sécurisées, lecture et écriture dans de zones de mémoire protégées, injection de code malicieux au sein du jeu de puces, pratiquement tout y passe.

Les chercheurs de la firme de sécurité israélienne soulignent que l’exploitation de Master Key requiert qu’un attaquant flashe le BIOS avec une mise à jour constituée de métadonnées qui exploitent l’une des vulnérabilités – Master Key possède trois déclinaisons – et du code malveillant compilé pour le Cortex A5 au centre de l’environnement d’exécutions sécurisées. Le reste des failles nécessite de s’appuyer sur une élévation locale de privilèges. Dans chacun de ces autres cas, les chercheurs de CTS Labs précisent que l’accès à l’environnement d’exécutions sécurisées est possible au travers d’un pilote.

Les experts de la firme de sécurité Trail of bits ont passé les détails de ces vulnérabilités au peigne fin au courant de la semaine dernière. D’après Dan Guido – fondateur de cette dernière – toutes les failles sont exploitables comme rapporté par CTS Labs. « Indépendamment du battage médiatique autour de la divulgation de ces failles, les bogues sont réels, décrits avec précision dans leur rapport (qui n’est pas encore public) et les exploits sont fonctionnels », a-t-il tweeté.

AMD n’a pas apporté confirmation des trouvailles de CTS Labs pour le moment. « Nous venons juste de recevoir le rapport d’une compagnie dénommée CTS Labs qui affirme que certains de nos processeurs ont des failles de sécurité », réagit AMD en date du 13 mars. Après l'avoir contacté le jour précédent, les chercheurs ont laissé 24 heures au fabricant de semi-conducteurs américain pour examiner les failles et communiquer avant de publier leur rapport détaillé. On devrait donc en savoir un peu plus à ce sujet dans les heures qui suivent.

Source

amdflaws.com

Votre opinion

Qu’en pensez-vous ?

Voir aussi

Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année

[transgohan]

Donc on ne parle pas de faille mais bel et bien de portes dérobées ? Et au pluriel en plus !
Et bizarrement ASMedia est une société Taiwanaise...
Même s'ils affirment leur indépendance, penser que cela vient de la Chine il ne faut qu'un pas...

J'ai l'impression que plus ça va et plus il faudrait pousser une puissance nationale pour tous les produits qu'on utilise et refuser tout produit étranger...
Bon c'est pas demain la veille...

[Vulcania]

Si c'est effectivement le cas, AMD me déçoit beaucoup...

[MaximeCh]

Il
Faut
Fondre
Européen
.

Ca suffit de se fader les merdes américaines et chinoises.

[Invité]

Il y a beaucoup de choses qui posent question dans cette histoire :

- pourquoi une publication des vulnérabilités après 24h, alors Spectre et Meltdown étaient restées privées pendant plus de 6 mois ? (les bonnes pratiques indiquent 90 jours mini, pour laisser le temps d'investiguer)
- pourquoi présenter ces failles comme hyper critiques, alors qu'elles sont toutes de second niveau ? (la machine doit d'abord être compromise avec élévation de privilège)
- pourquoi le rapport ne donne pas de détails réellement techniques, mais est truffé d'informations financières ?

ça n'empêche pas les failles d'être réelles, mais le moins qu'on puisse dire, c'est que le procédé utilisé par cette boite de sécurité (grandement inconnue, fondée en 2017), est loin d'être orthodoxe

[Ryu2000]

Si c'est effectivement le cas, AMD me déçoit beaucoup...

Ça c'est peut être fait à leur insu.
Ils n'ont peut être jamais accepté d'installer des portes dérobées.

Européen

Je n'ai pas l'impression que l'UE essaie d'être une puissance indépendante.
L'UE est allié avec les USA et elle souhaite continuer de consommer US.

De toute façon créer une société pour créer des processeurs comme Intel et AMD, ça me semble extremement compliqué...
Il y a beaucoup de technologie à développer, il faut trouver la savoir faire, il faut construire les machines, etc.
Les processeurs sont gravés avec une finesse de 10 nm aujourd'hui.
Il faudrait aussi créer un nouveau chipset de carte mère.

En fait des constructeurs qui sont capable de produire des processeurs il y en a pas que 2 :
Liste de constructeurs informatiques

Donc voilà on va continuer d'utiliser AMD et Intel, même si il y a des failles et des portes dérobées, ce n'est pas bien grave de toute façon...

[abriotde]

Il Faut Fondre Européen.

Ca suffit de se fader les merdes américaines et chinoises.

Comme ça on aura des merdes européeenes... Non la seul solution c'est l'Open-Hardware. Quand tous du processeur au logiciel en passant par le microcode et le firmware sera Open-Source, on pourra lui faire confiance.

[LittleWhite]

+1 pour John Bournet.
Deux liens en plus pour argumenter dans son sens :
http://www.guru3d.com/news-story/amd...motivated.html
https://www.techpowerup.com/242340/l...t-taking-names

[ABCIWEB]

Très peu crédible sur le fond mêmes si les informations sont exactes, tellement le parti pris est évident et la ficelle est grosse : alerte maximum pour des failles qui nécessitent un accès administrateur, et soit un pilote signé, soit un BIOS modifié pour qu'elles soient exploitables. Pour le commun des mortels, c'est plus un danger théorique que pratique et potentiellement moins dangereux que les failles Meltdown et Spectre d'INTEL.

Google avait apparemment déjà remonté certaines de ces failles qui ne concernent pas uniquement AMD, et par ailleurs ASMEDIA est présent sur quasiment toutes les cartes mères... Plus d'explications dans cet article complet sur hardware.fr qui reste ma référence française pour leurs analyses toujours neutres.

Bref c'est probablement plus du recyclage que de véritables découvertes, une manoeuvre commerciale pour tenter de contrer la montée en puissance et la sortie des prochains proc AMD...

[Ryu2000]

la montée en puissance et la sortie des prochains proc AMD...

Il y a une rumeur qui dit qu'AMD va sortir des processeurs bon pour les jeux vidéo :
Ryzen 7 2700X, performances et prix officiels ? le Core i7-8700K s’incline en gaming ?

[MikeRowSoft]

À voir le listing, je me demande pourquoi c'est le HW qui s'optimise alors que le SW (surtout noyau) ne changera pas vraiment ? (si ce n'est les drivers qui tentent une optimisation de l'extérieur)

Sinon, question faille, le plus vulnérable à se type de faille est Windows ou Linux ?

[Invité]

De toute façon créer une société pour créer des processeurs comme Intel et AMD, ça me semble extremement compliqué...
Il y a beaucoup de technologie à développer, il faut trouver la savoir faire, il faut construire les machines, etc.

Je ne suis pas certain que le savoir faire soit le point bloquant, par exemple NXP dispose d'usines en UE et propose des processeurs ARM 16 cœurs à 2.2 GHz, STMicroelectronics de toute une batterie de semi conducteurs, etc... De là a concevoir un serveur animé par Linux la marche ne dois pas être si haute pour une région comme l'UE, d'un point de vue technique en tous cas. C'est davantage un problème de volonté.

Une promesse électorale listant de dépenser des deniers publics pour concurrencer Intel, HP ou Microsoft, pour y coller un nom d'oiseau comme Linux, puis pour y former nos gamins risque de ne va pas recueillir les suffrages...

A mettre aussi en corrélation, toujours dans le domaine politique, avec l'article paru ce jour sur Developpez.com annonçant l'implantation de quatre DC Microsoft sur le territoire...

[MaximeCh]

Je ne suis pas certain que le savoir faire soit le point bloquant, par exemple NXP dispose d'usines en UE

Encore eut-il fallu que l'UE manifeste une volonté de garder cette entreprise en son sein. Elle vient de dire oui au rachat de NXP par Qualcom il y a quelques semaines.

[Coriolan]

Linus Torvalds estime que le rapport de CTS-Labs sur les puces d'AMD n'est qu'un abattage médiatique
Et a qualifié les experts en sécurité de clowns

Linus Torvalds a vivement réagi au rapport de sécurité publié par CTS-Labs sur des failles dans les processeurs AMD. Le créateur de Linux estime qu’il s’agit d’une manipulation boursière par la firme israélienne plutôt qu’un avis de sécurité, en raison de la façon avec laquelle les failles ont été révélées. En effet, au lieu d’octroyer à AMD un peu de temps pour les réparer, CTS-Labs a choisi de les publier immédiatement, ne laissant à AMD qu’un jour pour résoudre les problèmes.

Linus Torvalds

« À quand remonte la dernière fois que vous avez vu un avis de sécurité qui pourrait fondamentalement se résumer ainsi 'si vous remplacez le BIOS ou le microcode CPU avec une version malveillante, vous pourriez avoir un problème de sécurité' ? Super », a écrit Torvalds sur Google+. « Je pensais que toute l’industrie était corrompue, mais ceci est juste ridicule. »

Depuis la publication du rapport, plusieurs commentateurs ont remis en question sa véracité du fait que l’exploitation des vulnérabilités exige l’accès administrateur au BIOS et aux fonctions de base du système. Seulement, toute personne dans cette position pourra briser la sécurité de la puce avec des failles ou sans failles.

Exagérer ou bien parfois fabriquer même des failles de sécurité fait partie des pratiques utilisées pour manipuler les cours boursiers d’une firme de technologie. CTS-Labs a en quelque sorte été consciente de cette réalité, et a informé que son rapport pourrait impacter, directement ou indirectement, les intérêts économiques des sociétés qui sont l’objet de ses rapports.

La façon avec laquelle toute cette histoire s’est déroulée pousse à poser plusieurs questions sur la légitimité de CTS-Labs. Cette startup israélienne a surgi de nulle part l’année dernière et il semblerait qu’il est impossible de joindre ses contacts de relations publiques.

Le site Gamers Nexus a relayé que le site web AMDFlaws.com utilisé par la startup pour publier son rapport a été enregistré il y a quelques semaines seulement. Le site a ajouté que les arrières-plans qu’on voit dans les vidéos de CTS-Labs ne représentent pas des espaces physiques réels, mais plutôt des interfaces CGI sur fond vert.

Le document de recherche lui-même ne respecte pas les lignes de diffusion traditionnelles en vigueur, il ne comprend pas assez de détails techniques pour donner plus de crédibilité à l’existence de failles. Cependant, CTS-Labs s’est rattrapée et a informé que les détails techniques ont été partagés avec AMD et Microsoft seulement pour empêcher qu’ils tombent dans les mains de hackers.

Ces détails soulèvent sûrement des questions, mais CTS Labs se défend et a informé qu’elle n’a pas accordé plus de temps à AMD, car ils auront besoin de plusieurs mois pour résoudre le problème.

La startup a même contacté Dan Guildo, fondateur de la firme de sécurité Trails of bits pour évaluer indépendamment son rapport. Son constat est clair, chaque faille existe bel et bien et fonctionne comme l’a décrit CTS-Labs.

« Indépendamment du battage autour de la publication, les bogues sont réels, décrits avec précision dans leur rapport technique (qui n'est pas public), et leur code d'exploitation fonctionne. » Mais l'expert a ajouté que « Oui, toutes les failles nécessitent des privilèges admin, mais toutes sont des failles, pas une fonctionnalité attendue. »

Le chercheur en sécurité a noté aussi que les failles ont effectivement besoin d’un accès admin pour être exploitées, cependant elles posent le risque de permettre à des hackers de propager des malwares d’une machine à une autre ou mener des opérations d’espionnage en recourant à des malwares indétectables installés directement sur le firmware d’une puce.

Cette évaluation suggère donc que les failles sont réelles et que la recherche menée par CTS-Labs est légitime malgré la possibilité d’existence d’un intérêt économique de porter atteinte à AMD.

En tout cas, Linux Torvalds est convaincu que la manière avec laquelle agit l’industrie de sécurité est inappropriée, et a même qualifié les experts en sécurité de clowns. Il estime que puisqu’il faut l’intervention d’un administrateur système pour exploiter ces failles, ce rapport n’est rien d’autre qu’un abattage médiatique.

« Je refuse de relayer cette ordure. Mais oui, il apparait que c’est une manipulation boursière plus qu’un avis de sécurité pour moi », écrit-il. « Je blâmerais les journalistes, mais soyons honnêtes, c’est l’industrie de sécurité qui a enseigné à tout le monde de ne pas critiquer leurs découvertes. »

« Les gens de sécurité doivent comprendre qu’ils passent pour des clowns à cause de ça. » Par conséquent, Torvalds a lancé à sa manière un appel au monde de la sécurité à reconnaitre ses lacunes et encourager plus un esprit critique.

Source : The Inquirer

Et vous ?

Pensez-vous que Torvalds a raison de condamner les dérives du monde de la sécurité ?

Voir aussi :

Patch Tuesday : Microsoft lève l'exigence de compatibilité antivirus sous Windows 10 pour diffuser les patchs de Spectre au plus grand nombre
Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012

[ABCIWEB]

Encore eut-il fallu que l'UE manifeste une volonté de garder cette entreprise en son sein. Elle vient de dire oui au rachat de NXP par Qualcom il y a quelques semaines.

Les membres de l'UE sont trop occupés à se livrer une guerre économique entre eux, pour le meilleur profit des multinationales et au dépend des citoyens et de l'Europe elle-même. Le dernier gros projet européen industriel d'envergure c'était Airbus et c'était avant la construction européenne. Faut dire aussi que le néolibéralisme aveugle qu'ils prêchent tous les jours, interdit l'intervention des états dans les projets industriels, ce qui pourtant avait été nécessaire pour la création d'Airbus. Ceci explique cela et notre impuissance structurelle.

[ABCIWEB]

Pensez-vous que Torvalds a raison de condamner les dérives du monde de la sécurité ?

C'est pas une dérive du monde de la sécurité, c'est des guignols qui tentent de faire un coup. De véritables experts en sécurité auraient réagit de manière beaucoup plus responsable comme l'a dit Torvalds.

Cette startup israélienne a surgi de nulle part l’année dernière et il semblerait qu’il est impossible de joindre ses contacts de relations publiques.

Fond de pension spéculatif, ou société paravent soutenue par Intel ? Faites votre choix.

[MikeRowSoft]

Il a le droit d'avoir son opinion. La médiatiser et se faire relayer ... Cela à plus ou moins de poids pour les débats entre " moins lourd " ...

[Aurelien.Regat-Barrel]

Fond de pension spéculatif, ou société paravent soutenue par Intel ? Faites votre choix.

J'ai tout de suite pensé à la 2eme option. Mais en lisant (partiellement) cet interview:
https://www.anandtech.com/show/12536...-with-cts-labs

Et je penche maintenant pour une 3eme voie : une jeune startup de vautours qui cherchent à faire un coup d'éclat dans l'espoir de briller.

On dit qu'une mauvaise pub est meilleure que pas de pub. On verra bien avec eux car pour le coup, leur façon de procéder suscite pas mal de scepticisme, et pas que de Torvalds.

[ABCIWEB]

Et je penche maintenant pour une 3eme voie : une jeune startup de vautours qui cherchent à faire un coup d'éclat dans l'espoir de briller.

On dit qu'une mauvaise pub est meilleure que pas de pub. On verra bien avec eux car pour le coup, leur façon de procéder suscite pas mal de scepticisme, et pas que de Torvalds.

Peu probable. Comment briller dans le domaine de la sécurité en se comportant comme un irresponsable ?

De plus si j'en crois cet article, bon nombre de ces failles ont déjà été évoquées par google l'été dernier qui ne parlait pour autant de failles "majeures" et ne ciblait pas spécifiquement AMD. C'est donc possiblement du recyclage avec un peu de travail derrière pour cibler plus particulièrement Amd.

Avec le lancement papier d'Intel l'année dernière pour ses i7 8700K (processeurs disponibles en volume seulement 3/4 mois après le lancement officiel), le souvenir des coups tordus est encore très frais. Et la coïncidence de cette "alerte" avec la sortie prochaine des nouvelles versions de Ryzen devient donc très suspecte, d'autant plus qu'elle ne respecte aucune des conventions pour la divulgation des informations.

[Aurelien.Regat-Barrel]

J'ai pensé ainsi au début par réflexe mental (conditionnement). Mais à défaut de lire l'interview d'AnandTech, il suffit de prendre 5 min sur leur site pour regarder leur vidéo, les services qu'ils proposent, consulter leurs profils LinkedIn pour constater que ce sont des entrepreneurs dans l'âme qui n'en sont pas à leur coup d'essai en matière de startup. Se présenter comme des experts en sécurité qui ont accroché AMD à leur tableau de chasse ça permet de s'acheter une crédibilité auprès de clients ou d'investisseurs : c'est de la comm, en mode startup. A savoir on s'épargne la R&D coûteuse et on n'attend pas 90j avant de parler de ses trouvailles.

Après je concède que c'est moins croustillant que de spéculer sur une cabale pilotée à distance par un puissant groupe financier etc... Mais encore faut-il étayer un minimum avec des faits vérifiables, sinon c'est de la désinformation