Des chercheurs ont conçu deux types d’attaques exploitant des vulnérabilités de sécurité découvertes dans des processeurs AMD produits entre 2011 et 2019.


au sommaire


    Des chercheurs issus d'universités partenaires, dont l'université de RennesRennes, ont découvert deux vulnérabilités dans les processeurs du fondeur AMD. Elles concernent l'ensemble des puces produites entre 2011 et 2019. Dans un article publié par l'université de Graz en Autriche, les cosignataires montrent comment ils ont conçu deux attaques mettant à mal la sécurité des données traitées par les processeurs de la marque. Baptisées Collide+Probe et Load+Reload, ces deux créations maison permettent de mettre la main sur des informations sensibles ou de dégrader les fonctions de sécurité du processeur.

    Avec ces deux vecteurs d'attaques, c'est le contenu du cache L1D du processeur qui est visé. Les codes permettent de surveiller comment les processus interagissent avec le cache, puis collectent de petites parties de données en cours de traitement qui proviennent des applicationsapplications actives. 

    AMD semble ignorer la menace

    Le souci de cette vulnérabilité est qu'elle ne nécessite pas d'accéder physiquement à l'ordinateur comme c'est souvent le cas pour les failles matérielles. Un code JavaScript via le cloud permet de mener à bien l'attaque. Or, le Javascript est aujourd'hui le langage le plus populaire du moment selon le classement de RedMonk. Onze millions de développeurs utilisent ce code pour les sites, les services Web et les applications mobilesmobiles et de bureau.

    AMD est au courant depuis le mois d'août de l'existence des failles. La société n'a rien communiqué sur le sujet et aucun correctif n'a été déployé alors que les universitaires livrent des pistes pour corriger le tir. L'autre gros problème pour AMD, c'est que cette vulnérabilité devrait également toucher les puces dotées de l'architecture Zen 3 de sa future gamme de Ryzen 4000, gravée en 7 nm qui sortira d'ici la fin de l'année 2020.