Depuis quelques jours, AMD fait l’objet d’un rapport évoquant plusieurs failles de sécurité dans ses processeurs Ryzen. Le géant nous informe de sa réponse officielle. Leur existence est confirmée et il est prévu les semaines à venir des correctifs.
La bonne nouvelle et que tout ceci peut être réglé de manière logicielle soit par des patches de firmware soit via une mise à jour du BIOS. AMD précise
« Le lundi 12 mars, AMD a été mis au courant de vulnérabilités de sécurité potentielles dans plusieurs de nos processeurs actuels. Ces vulnérabilités ont été rendues publiques en moins de 24 heures par un tiers, la firme de recherche CTS Labs. La sécurité et la protection des données de nos utilisateurs sont bien sûr une priorité de tous les instants à AMD. Nous avons rapidement répondu à ces informations pour opérer une évaluation initiale et proposer des solutions d’atténuation, tel que détaillé dans un billet blog de Mark Papermaster, CTO d’AMD, aujourd’hui. »
Le géant souligne cependant qu’il n’y a pas matière ici a entrevoir des rectifications matérielles
« Nous pensons que chacun des problèmes cités peut être mitigé par des patches de firmware et une mise à jour standard du BIOS, que nous prévoyons de déployer dans les semaines à venir. Ces patchs et mises à jour ne devraient pas impacter les performances. »
AMD affirme que ces problèmes ne sont pas liés à l’architecture Zen et encore moins au fiasco de ce début d’année, Meltdow et Spectre. Ils touchent le micro logiciel gérant un processeur de contrôle de sécurité intégré. Ceci peut concerner certains processeurs (AMD secure Processor) et certains chipsets de plateformes de bureau sur socket AM4 ou TR4.
Failles des processeurs Ryzen, un pétard mouillé ?
Lors de la découverte de ce rapport de nombreux doutes ont pesé sur les réelles intentions de CTS Labs. Vous pouvez relire notre dossier à ce sujet.
Processeur Ryzen et des failles majeures de sécurité ? Prudence
Depuis l’attitude de l’entreprise semble confirmer que nous sommes bien en présence d’une sorte de pétard mouillé. Depuis leur publication, la nature « critique » de ces vulnérabilités a largement diminuée. CTS Lab est également à l’origine d’une clarification autour de ses premières allégations.
Nous apprenons que ce défauts touchent principalement les professionnels. Le niveau de protection actuel dans les domaines du réseau ou du cloud serait déjà suffisant pour se protéger…