Des chercheurs en sécurité ont découvert une faille dans les processeurs AMD. Exploitée elle permet de divulguer des informations. Cette vulnérabilité se nomme SQUIP.
Après les puces Intel Core de 10, 11 et 12ième génération c’est au tour des processeurs AMD de dévoiler certaines faiblesses. Les puces à l’architecture Zen 2 et 3 sont affectés par une vulnérabilité de sécurité que les recherches ont nommée SQUIP. Il s’agit d’une attaque par canal auxiliaire qui cible les planificateurs de CPU.
L’information est issue d’un document de recherche rédigé par des chercheurs de Lamarr Security Research, de l’Université de technologie de Graz et du Georgia Institute of Technology. Cette vulnérabilité affecte certains processeurs AMD. Le document s’accompagne de détails techniques sur la vulnérabilité en question. Elle touche les planificateurs de CPU des processeurs AMD. SQUIP est la première attaque par canal auxiliaire sur les files d’attente des planificateurs. Selon les tests effectués cette faille est problématique puisqu’elle permet d’extraire des données sensibles d’une victime en moins de 45 minutes.
Faille SQUIP, liste des CPU AMD concernés
Des mesures d’atténuation matérielles et logicielles sont suggérées dans le document. L’une des options les plus simples consiste à désactiver la technologie SMT mais il faut se préparer à une baisse importante des performances en multicœurs.
Voici la liste des processeurs AMD concernés.
- Ryzen 2000, 3000 et 5000 séries,
- Ryzen 4000 et 5000 séries avec iGPU Radeon,
- Ryzen Threadripper de 2e et 3e génération,
- Ryzen Threadripper PRO,
- Processeurs mobiles Athlon 3000 avec solution graphique Radeon,
- Processeurs mobiles Ryzen 2000 et 3000,
- Ryzen 3000, 4000 et 5000 avec solution graphique Radeon,
- Athlon 3000 series avec solution graphique Radeon (Chromebook),
- Processeurs mobiles Athlon avec solution graphique Radeon (Chromebook),
- Processeurs Ryzen 3000 série avec solution graphique mobile, (Chromebook)
- Processeurs EPYC de 1ère, 2ème et 3ème génération.
Si vous ne connaissez pas la référence exacte de votre processeur, voici un moyen de la dénicher sous Windows 10 et 11. L’information se trouve dans l’application “Information système“. Il suffit de taper son nom dans le champ de recherche de la barre des tâches puis de l’exécuter.
AMD ne prévoit pas de publier d’atténuations du noyau ou de mises à jour de microcode pour les processeurs concernés. La firme préfère transférer le problème aux mains des développeur en leur recommandant d’utiliser les meilleures pratiques de développement…
Ressource utiles
- Execution Unit Scheduler Contention Side-Channel Vulnerability on AMD Processors
- SQUIP: Exploiting the Scheduler Queue Contention Side Channel
Pas fiable !
“La firme préfère transférer le problème aux mains des développeur en
leur recommandant d’utiliser les meilleures pratiques de développement”
Imaginez-vous prendre un avion Airbus aux sondes Pitot viciées et que
le constructeur recommande aux pilotes d’utiliser les meilleurs
pratiques de pilotage… O_O
Manifestement AMD se fiche complètement de la sécurité de ses clients!
Squid ou Squip ? Faudrait vous décider…