Les puces AMD fondées sur l’architecture Zen 2 contiennent un bogue qui peut entraîner la fuite de données sensibles telles que des clés de chiffrement. Aucun correctif n’est prévu.
Google Project Zero a découvert une vulnérabilité dans l’architecture Zen 2 des processeurs AMD. Les chercheurs en sécurité de Google ont appelé cette faille Zenbleed. Le nom moins spectaculaire de la vulnérabilité est CVE-2023-20593.
Zenbleed permet aux attaquants de faire sortir clandestinement des informations sensibles d’un système. Par exemple, des clés de chiffrement ou des mots de passe. Zenbleed appartient à la même catégorie que les bogues Spectre et Meltdown qui ont particulièrement tyrannisé les puces Intel. Cette vulnérabilité est elle aussi due à ce que l’on appelle l’exécution spéculative.
Pas d’abus complexe
Les criminels peuvent, en théorie, exploiter ce bogue assez facilement. Un accès physique à un système n’est pas nécessaire. Pour ce faire, il suffit de charger sur un ordinateur ou un serveur vulnérable un site web frauduleux qui exécute un code JavaScript spécifique. Pour l’instant, heureusement, le bogue n’est pas encore exploité à grande échelle.
Le seul recours pour corriger le bogue sans causer de problèmes de performance majeurs est une mise à jour du micrologiciel. Toutefois, ce correctif pourrait également affecter les performances de certaines charges de travail. AMD a déjà lancé un correctif pour ses puces Epyc 7002 utilisées dans de nombreux serveurs. Les PC sont également vulnérables en principe, mais en pratique, ils sont une cible moins attrayante pour les attaquants.
Architecture omniprésente
Zen 2 a maintenant quatre ans, mais l’architecture reste pertinente. Jusqu’à aujourd’hui, AMD dispose de puces basées sur Zen 2 dans sa gamme. D’ici à décembre, les processeurs d’ordinateur de bureau Ryzen fonctionnant sous Zen 2 recevront un correctif du micrologiciel. Pour les ordinateurs portables équipés de processeurs Ryzen 4000, une mise à jour est prévue pour novembre. Les processeurs Threadripper 3000 sont eux aussi vulnérables. Dans ce cas, AMD prévoit des correctifs à partir d’octobre, en fonction du modèle.
L’exécution spéculative étant un élément complexe mais essentiel du fonctionnement d’un processeur moderne, le moment n’est pas surprenant. Sans l’exécution spéculative, les performances baissent énormément. AMD doit donc trouver un correctif qui élimine le problème sans trop affecter les performances.