Zenbleed. Voilà un surnom qui va probablement causer quelques frayeurs aux propriétaires d’ordinateurs équipés d’un processeur Ryzen d’AMD avec la micro-architecture Zen 2. En effet, cette classe de processeurs est affectée par une vulnérabilité découverte en mai dernier, mais dont l’existence n’a été révélée qu’au mois de juillet 2023.
La brèche touche effectivement de nombreux produits destinés au grand public, comme aux professionnels. On trouve notamment les séries AMD Ryzen 3000 (dont les déclinaisons Pro et Threadripper), 4000 (et sa variante Pro avec Radeon Graphics), 5000 (avec Radeon Graphics), 7020 (idem), ainsi que la série AMD Epyc pour les modèles « Rome ».
C’est Tavis Ormandy, un expert en sécurité informatique travaillant pour Google, qui a identifié Zenbleed, sobriquet de CVE-2023-20593, sa désignation officielle. Tavis Ormandy est membre Project Zero, une équipe de spécialistes mise en place par la firme de Mountain View chargée de traquer les failles critiques dans les logiciels et les matériels.
Tavis Ormandy a publié une page très technique décrivant la vulnérabilité. Il y liste les puces affectées, la façon dont elle peut être exploitée, comment elle a été découverte (par hasard, avec la technique dite de fuzzing, qui consiste à injecter des données aléatoires dans un programme) et la manière de se prémunir de la faille, du moins d’en atténuer les effets, si elle est exploitée.
Alerté le 15 mai, AMD a confirmé publiquement le problème le 24 juillet avec un bulletin de sécurité mis en ligne sur son site. Il confirme les découvertes de Tavis Ormandy : « Dans des circonstances microarchitecturales spécifiques […] un pirate peut accéder à des informations sensibles », en profitant d’un dysfonctionnement des puces.
En l’espèce, la défaillance fait que des données liées à un autre processus ou un autre thread (une série d’instructions envoyées au processeur) peuvent finir par être stockées dans un registre. C’est à ce moment-là que la fuite d’information survient, et qu’elle expose des éléments à un potentiel attaquant. AMD classe la gravité de cette faille à « moyen ».
Des correctifs arriveront en fin d’année
Elle n’est toutefois pas à prendre à la légère. Le site Tom’s Hardware relève qu’une attaque contre les processeurs Zen 2 n’a pas besoin d’un accès physique au PC ou au serveur. Elle peut être déclenchée à distance, via du code JavaScript présent sur une page web, exposant potentiellement n’importe quelle opération de la puce, y compris dans une machine virtuelle ou dans une sandbox.
La bonne nouvelle, c’est qu’AMD a commencé à déployer un premier micro-code pour la série Epyc (modèles « Rome »). L’autre bonne nouvelle, c’est que l’industriel américain prévoit aussi de pousser des mises à jour pour ses autres produits. La mauvaise, c’est qu’il faudra attendre quelques mois : le planning prévu par AMD s’étale d’octobre à décembre 2023 selon les produits.
Pour les personnes qui préfèrent ne pas attendre, et qui ont les compétences, Tavis Ormandy évoque une astuce logicielle, qui consiste à désactiver un bit particulier. Ce contournement dans les réglages du processeur peut toutefois s’accompagner d’une dégradation des performances. La sécurité informatique mérite-t-elle une possible chute, non évaluée ? En attendant le patch, peut-être.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
