Une mystérieuse firme de sécurité a publié un rapport dévoilant un certain nombre de failles de sécurité touchant les processeurs Ryzen d’AMD. L’affaire n’est pas claire au point qu’une autre vérité est possible, explications.
Un grand nombre de vulnérabilités touchant les processeurs modernes ont été dévoilées depuis le début de l’année. Elles ont concerné les solutions Intel, AMD et ARM. Certains de ces problèmes ont été plus graves que d’autres mais de façon générale leur divulgation a permis au marché de connaitre leur existence. Depuis, des correctifs ont été déployés tandis que des modifications des lignes de production ont été annoncées afin de les résoudre de manière “matérielle”.
Cette période a été et reste encore mouvementée pour les fabricants de processeurs. La raison est simple. Ces révélations peuvent influencer le choix des consommateurs et des professionnels ce qui se traduit par des réactions des marchés boursiers.
Ryzen, CTS Labs dévoile des failles
Cette idée est actuellement émise autour d’un rapport publié par une société israélienne nommée CTS Labs. Le document fait mention de l’existence de plusieurs vulnérabilités touchant les processeurs Ryzen. Il donne seulement 24 heures à AMD pour répondre.
Suite à sa publication, tous les regards se sont tournés vers AMD. Cependant et comme vous pouvez l’imaginer, 24 heures ne sont pas suffisantes pour que le géant puisse avec sérieux se prononcer sur la situation, d’autant que le document de CTS Labs annonce 13 vulnérabilités “similaires” à Spectre et Meltdown.
Plusieurs acteurs ont commencé à enquêter sur ce dossier, en particulier au sujet de cette mystérieux société CTS Labs. A l’heure actuelle, personne ne semble vraiment connaitre cette firme. Elle est apparue l’année dernière et son effectif se résume à trois employés. La communauté Reddit s’est également intéressée à l’affaire. Il a été découvert que la vidéo proposée par CTS Labs utilisait un écran vert et des images d’archives pour la rendre plus légitime.
Ce rapport est d’autant plus suspect que certains investisseurs ont des intérêts financiers si les actions boursières chutent. Viceroy Research, par exemple, a publié rapidement un rapport sur AMD en mentionnant justement les informations de CTS Labs.
Ce rapport est vaste. Pour beaucoup, sa nature très complète prouve qu’il ne peut pas être le fruit de quelques heures de travail.
Des failles pas si importantes que cela.
Les problèmes révélés par les CTSLabs sont bien réels mais ils ne sont pas aussi problématiques ou catastrophiques que cela. Bien que CTS Labs aurait demandé à Trail of Bits de revoir ses conclusions, son PDG, Dan Guido, déclare
“Meltdown et Spectre ont nécessité de nouvelles avancées en matière de recherche. En revanche, les défauts (de CTS Labs) sont bien compris depuis les années 90. Ils ne sont pas nouveaux. Il ne s’agit pas de problèmes fondamentaux et surtout sont bien maitrisés en programmation”
AMD n’a pour le moment fait aucune déclaration autour de ce dossier. L’entreprise a seulement indiqué
“Nous venons de recevoir un rapport d’une société appelée CTS Labs affirmant qu’il existe des failles de sécurité potentielles liées à certains de nos processeurs. Nous étudions activement et analysons ses résultats. Cette société était auparavant inconnue d’AMD et nous trouvons inhabituel qu’une firme de sécurité publie ses recherches à la presse sans accorder à l’entreprise un délai raisonnable pour enquêter sur ses conclusions afin d’apporter une réponse. Chez AMD, la sécurité est une priorité absolue”
Regardless of the hype around the release, the bugs are real, accurately described in their technical report (which is not public afaik), and their exploit code works.
— Dan Guido (@dguido) 13 mars 2018