AMD: Une nouvelle faille dans les processeurs met en danger des millions d'ordinateurs
-
Une nouvelle faille de sécurité appelée “Zenbleed” permettrait à des attaquants de voler des mots de passe, des informations de carte de crédit et d’autres données. Les ordinateurs équipés d’un CPU AMD Ryzen Zen 2 sont concernés. Des millions d’utilisateurs sont potentiellement exposés.
Le chercheur en sécurité de Google, Tavis Ormandy, a découvert une vulnérabilité appelée “Zenbleed” dans les processeurs Ryzen d’AMD. Tous les processeurs dotés de la microarchitecture Zen 2 sont concernés, à savoir les séries AMD Ryzen 3000, 4000, 5000, 7200 ainsi que les Ryzen Pro 3000, 4000 et les Epyc Rome utilisés dans les centres de données. Ormandy a signalé la faille à AMD le 15 mai et l’a expliquée cette semaine dans sonBlog.
La nouvelle vulnérabilité permet des attaques par exploit sans qu’il soit nécessaire d’accéder physiquement à l’ordinateur. Il s’agit d’exploiter une mauvaise manipulation d’une technique spéculative qui augmente les performances du processeur. Selon le fournisseur de services Internet Cloudflare, une attaque peut par exemple être exécutée via Javascript sur un site Web. Si un attaquant réussit, il peut extraire des données de la mémoire - à un taux de 30 kilo-octets par cœur de processeur et par seconde.
A présent, AMD a réagi en publiant un correctif microcode et en le distribuant aux fabricants de cartes mères. Reste à savoir à quelle vitesse les mises à jour de firmware contenant le correctif seront disponibles. Pour ceux qui ne sont pas en mesure d’appliquer directement la mise à jour du microcode d’AMD, Ormandy recommande dans son Blog une solution de contournement : “you can set the chicken bit DE_CFG[9]”. Cette mesure désactive la fonction CPU concernée. Il faut donc s’attendre à une baisse des performances.
