au sommaire
CTS Labs, une société de sécurité informatique, a affirmé mardi que certains microprocesseurs (les puces qui font tourner les systèmes électroniques et informatiques) de l'Américain AMD (Advanced Micro Devices) présentaient de grosses failles de sécurité, alors même que le secteur est toujours aux prises avec les failles Spectre et Meltdown. « Un audit de sécurité de CTS Labs a révélé plusieurs failles importantes de sécurité [...] dans les derniers processeurs d'AMD, [les modèles appelés] EPYC, Ryzen, Ryzen Pro et Ryzen MobileMobile », a indiqué mardi l'entreprise israélienne dans un communiqué.
Interrogé par l'AFP, AMD a indiqué : « [Nous sommes] en train d'examiner cette étude, que nous venons de recevoir, pour comprendre la méthodologie et la pertinence [de ce qui y est affirmé] ». CTS Labs dit avoir identifié 13 problèmes dans des composants d'AMD qui équipent des entreprises mais aussi des appareils électroniques grand public. En permettant à des pirates de pénétrer les systèmes, ces problèmes pourraient « exposer les clients d'AMD à de l'espionnage industriel », note CTS Labs.
Le cabinet affirme notamment que le modèle Ryzen, fabriqué par le Taïwanais ASMedia, contient des « portes dérobéesportes dérobées » insérées par le fabricant et qui peuvent être utilisées par des pirates. Il s'agit de voies d'accès secrètes à un système informatique, parfois insérées volontairement pour faciliter l'intervention à distance sur les systèmes.
Des failles qui survivent à la réinstallation des systèmes d'exploitation
« Les réseaux équipés d'ordinateurs [avec des composants] AMD présentent un risque considérable », dit encore CTS Labs, soulignant que les failles survivent au redémarrage des ordinateurs et à la réinstallation des systèmes d'exploitation. Cela, insiste CTS Labs, rend possible « un espionnage permanent et pratiquement indétectable, enterré profondément dans le système ».
Cette annonce intervient quelques semaines après la révélation de failles majeures baptisées SpectreSpectre et Meltdown, touchant des microprocesseurs d'IntelIntel, ARMARM et AMD. Inquiet, tout le secteur technologique s'était alors lancé dans la mise au point et la diffusiondiffusion de correctifs de sécurité pour limiter les risques.
Une autre firme de sécurité informatique, enSilo, a même estimé que les failles révélées mardi étaient sans doute pires que Spectre et Meltdown, notamment en raison de leur résistancerésistance à la réinstallation.
Suite aux révélations de CTS Labs, des critiques se sont élevées contre les méthodes de cette entreprises jusqu'ici peu connue. Sans remettre en cause la réalité des failles de sécurité découvertes, des observateurs ont déploré la méthode employée. En effet, CTS Labs n'a laissé que 24 heures à AMD pour réagir après lui avoir envoyé son rapport avant de rendre publique l'information. Pour Linus Torvalds, le créateur de LinuxLinux, il s'agirait d'une manipulation boursière destinée à spéculer sur le cours de l'action AMD.