Dans quel délai une entreprise doit-elle corriger les violations de la sécurité avant qu’elles ne soient rendues publiques ? Par exemple, Intel, AMD et ARM sont au courant de Meltdown et Spectre depuis juin 2017 ? et distribuent toujours des correctifs.
Cette fois, AMD a eu un délai encore plus court. La société de sécurité CTS Labs a révélé 13 vulnérabilités dans les processeurs Ryzen et Epic mardi (13), à amdflaws.com ? mais n’a averti le fabricant que 24 heures à l’avance.
Dan Guido, de la société de sécurité Trail of Bits, a testé les 13 vulnérabilités ? et elles peuvent être exploitées. Cependant, il dit à la carte mère que ce sera un problème pour les services en nuage et les grandes entreprises ; les utilisateurs ordinaires ne devraient probablement pas s’inquiéter.
Ces failles ne sont pas faciles à exploiter car elles obligent le pirate à disposer de privilèges administratifs. Cela est possible, par exemple, par le biais d’une attaque de phishing visant à faire exécuter à la victime un programme malveillant.
De cette façon, l’attaquant pourrait accéder à d’autres ordinateurs sur le même réseau, ou installer des logiciels malveillants directement sur le processeur ? qui peuvent espionner des cibles sans être détectés parce qu’ils ne peuvent pas être détectés par l’antivirus.
Il existe quatre catégories de vulnérabilités :
CTS Labs affirme également qu’un partenaire d’AMD a placé des portes dérobées sur ses processeurs. Elle accuse le fabricant taïwanais ASMedia, une filiale d’ASUSTeK, qui a récemment été condamné à une amende aux États-Unis pour avoir ignoré les vulnérabilités matérielles des routeurs.
Et maintenant ? Malheureusement, certaines de ces failles seront difficiles à corriger et il n’y a aucun moyen de savoir combien de temps la DMLA va résoudre ce problème ? après tout, elle a à peine eu le temps de l’analyser.
AMD dit à CNET : “Nous enquêtons sur ce rapport, que nous venons de recevoir, afin de comprendre la méthodologie et le bien-fondé des conclusions”. Microsoft, à son tour, déclare : “nous avons été alertés récemment et nous analysons les informations”.