S’il y a une qualité que l’on ne pas nier aux chercheurs en sécurité de CTS Labs, c’est l’opiniâtreté. A peine le directeur technique d’AMD avait-il publié son évaluation des 13 failles découvertes par l’entreprise israélienne que celle-ci est repartie à la charge avec un communiqué au vitriol. Dans celui-ci, elle estime qu’AMD tente de minimiser l’importance de ces vulnérabilités en expliquant qu’elles ne peuvent être exploitées qu’avec des privilèges administrateur qui « accordent à l’utilisateur un accès illimité au système ».

Mais pour CTS Labs, cette phrase est fausse et représente un écran de fumée. L’entreprise rappelle que la raison d’être du Secure Processor est justement de créer un espace d’exécution isolé qui soit à l’abri de n’importe quel utilisateur, même des administrateurs système. Une attaque sur le Secure Processor serait donc nettement plus grave qu’une compromission classique d’un ordinateur.  

Tremplin pour une attaque réseau

CTS Labs souligne également que les failles trouvées dans les processeurs AMD permettent de court-circuiter une importante fonction de sécurité dans Windows 10, à savoir Credential Guard. Celle-ci s’appuie sur des techniques de virtualisation pour stocker de manière isolée des identifiants et des tokens utilisés dans un réseau d’entreprise. Un attaquant qui arrive à compromettre une machine AMD pourra donc accéder assez facilement aux autres machines du réseau. « Les failles d’AMD transforment un problème local en un problème au niveau du réseau tout entier », peut-on lire dans le communiqué.

Les chercheurs en sécurité pensent par ailleurs qu’AMD sous-estime grossièrement le temps nécessaire pour le développement des patchs. Compte tenu de la complexité des failles, il ne faudrait pas quelques semaines comme le prévoit AMD, mais plusieurs mois. De plus, les failles liées au chipset Promontory ne pourront pas être corrigées entièrement, car parmi elles il y aurait une « backdoor gravée dans le matériel ».  Seule solution dans ce cas : le remplacement pur et simple de l’ASIC, ou une méthode de contournement compliquée.

Une attitude brutale

Au final, CTS Labs n’a pas de mots assez durs pour qualifier la qualité des produits d’AMD. Pour les chercheurs en sécurité, le fabricant fait preuve d’un niveau de sécurité digne « de la fin des années 90 ». Ils se demandent même si ces produits n’ont jamais été audités. « Enfin, et c’est peut-être le plus inquiétant, c’est que six chercheurs en sécurité, certes très expérimentés, ont réussi à identifier 13 vulnérabilités de sécurité distinctes en seulement six mois dans les produits phares d’une entreprise qui génère 11 milliards de dollars de revenus et qui dispose d’un budget quasi-infini pour la sécurité », peut-on lire à la fin du texte.

Ce ton cassant est franchement très étonnant. Habituellement, quand des chercheurs en sécurité trouvent des vulnérabilités, ils essayent de travailler de manière constructive avec le fournisseur concerné. CTS Labs, de son côté, n’a fait aucune concession. Elle n’a laissé à AMD que 24 heures avant la révélation des failles, ce qui est particulièrement court. Généralement, ce délai est au moins de quelques semaines ou des quelques mois. Si les failles sont exploitées de manière active par des pirates, les chercheurs ont tendance à le raccourcir, mais ce n’est pas le cas ici.  Pour le cryptographe Bruce Schneier, cette façon de faire est « incroyablement irresponsable ».

Des intérêts économiques douteux

Certains se demandent d’ailleurs s’il n’y avait pas là une volonté de nuire. Sur son site, CTS Labs précise avoir potentiellement « des intérêts économiques dans la performance des actions des entreprises dont les produits sont analysés dans nos rapports ». Ce qui est également assez curieux, c’est que CTS Labs n’était pas la seule entreprise à prendre AMD en ligne de mire de manière aussi brutale. Peu après la publication du rapport de failles, les analystes financiers de Viceroy Research ont balancé un rapport extrêmement négatif, intitulé « AMD – le carnet de deuil ». Ils ont même estimé que le fabricant allait faire faillite et qu’il ne valait plus un clou. Par la suite, le PDG de Viceroy Research a reconnu auprès de The Register qu’il avait reçu le rapport de CTS Labs avant sa publication « par une source anonyme ».  

Bref, tout le contexte de cette recherche en sécurité est pour le moins singulier. C’est dommage, car cela ne fait que décrédibiliser l’analyse d’origine sur les vulnérabilités des processeurs, même si celle-ci n’est plus vraiment contestée sur le fond.       

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original