Vulnérabilités AMD : un risque concret bien en-deçà de l’écho reçu
L’un des tiers indépendants s’étant penché sur les travaux de CTS Labs estime que le risque d’exploitation est aujourd’hui très limité.
Les vulnérabilités affectant les processeurs AMD qu’a récemment dévoilé CTS Labs sont bien réelles. C’est en substance la première conclusion de Dan Guido, Pdg de Trail of Bits, qui a enquêté dessus. Mais celle-ci était déjà connue : très vite, l’expert n’a pas manqué de prendre publiquement la parole pour expliquer l’examen réalisé par ses équipes des travaux de CTS Labs.
La seconde conclusion de Dan Guido est peut-être la plus intéressante : « il n’y a pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs ». Et tant pis si CTS Labs avait réussi à faire monter le soufflet. Pour le patron de Trail of Bits, « même si les détails complets étaient publiés aujourd’hui, les attaquants devraient investir des efforts de développement significatifs pour construire des outils utilisant ces vulnérabilités ». Mieux encore, « ce niveau d’effort est hors de portée de la plupart des attaquants ».
Dan Guido a indiqué précédemment avoir facturé CTS Labs pour le travail d’étude demandé sur les vulnérabilités. L’histoire dira si et quand il est effectivement payé. Mais il ne ménage un client dont la stratégie de communication n’a pas manqué de faire grincer des dents. En fait, il donne même plutôt l’impression de chercher à en prendre ses distances, en relativisant sensiblement la portée de ses trouvailles.
Ainsi, Dan Guido explique les vulnérabilités affectant les processeurs AMD « ne devraient pas être une surprise pour les chercheurs en sécurité ; des failles similaires ont été trouvées dans d’autres systèmes embarqués ayant tenté d’implémenter des fonctionnalités de sécurité ». A l’écouter, les vulnérabilités en question sont d’une désespérante banalité : « elles sont le résultat de simples erreurs de programmation, de limites de sécurité peu claires, et de tests insuffisants ».
Certes, AMD n’échappe pas donc là à la critique. Mais Dan Guido relativise : « à l’inverse, la découverte des vulnérabilités Meltdown et Spectre a nécessité des techniques jusqu’ici inconnues et des recherches novatrices ». Las, encore une fois, le parallèle n’est pas tendre avec CTS Labs qui a choisi la médiatisation la plus large pour communiquer sur ses découvertes, laissant très peu de temps au fondeur, quand l’industrie a joué à la méthode et la prudence pour Meltdown et Spectre.