AMD et Google ont annoncé une collaboration complexe et approfondie sur la recherche en cybersécurité pour les processeurs EPYC de classe serveur d’AMD, qui fonctionne maintenant depuis cinq ans. Selon Wired, le partenariat s’est appuyé sur deux équipes de recherche Google Cloud Security aux côtés de Project Zero de Google (une branche de recherche sur la cybersécurité au sein de l’entreprise) et du groupe de micrologiciels d’AMD.
L’objectif était de mettre le matériel et les processeurs sécurisés d’AMD à l’épreuve via un accès apparemment sans précédent au code source et aux mécanismes de sécurité d’AMD. Dans le rapport post-mortem sur la collaboration (en cours), le partenariat a annoncé le déploiement de la découverte et de l’atténuation pour 19 vulnérabilités de sécurité au total. Cela représente 19 vecteurs d’attaque en moins sur l’une des architectures de serveur les plus performantes au monde.
Les chercheurs ont principalement concentré leurs efforts sur le processeur sécurisé (ASP) d’AMD tel qu’implémenté dans l’EPYC de troisième génération d’AMD, à Milan. Les ingénieurs de Google ont eu accès au code source de l’ASP, ainsi qu’à des échantillons de production pour tester les attaques matérielles. Google s’est particulièrement intéressé à l’implémentation nouvelle génération d’AMD de la pagination sécurisée imbriquée (SEV-SNP), une capacité qui permet aux machines virtuelles (VM) de rester confidentielles vis-à-vis de l’hyperviseur lui-même. Les équipes d’ingénierie ont examiné la conception et la mise en œuvre du code source de SEV, ont écrit un code de test personnalisé et ont exécuté des tests de sécurité matérielle, en essayant d’identifier les vulnérabilités potentielles apparues.
Brent Hollingsworth, directeur de l’écosystème logiciel EPYC d’AMD, a souligné que le partenariat réunissait AMD et les meilleurs et les plus brillants de Google, ouvrant l’espace à des vecteurs d’attaque jusque-là inconnus et poussant la créativité sur les couches d’attaque, qu’elles soient logicielles ou matérielles.
En tant que « puce dans la puce » responsable du chiffrement cryptographique des données, l’ASP d’AMD est un « cœur » de processeur générique dont les fonctionnalités peuvent être développées par AMD et ses équipes de conception de matériel et de micrologiciel. Mais avec chaque couche de sécurité supplémentaire vient la possibilité de vecteurs d’attaque supplémentaires contre ce mécanisme de sécurité centralisé – un point de défaillance potentiellement grave qui peut jeter la sécurité de l’ensemble du système par la fenêtre proverbiale (avec l’invisibilité de l’accès root) s’il est compromis.
C’est à ce niveau d’impact que le partenariat AMD-Google s’est formé ; selon Nelly Porter, chef de produit du groupe chez Google Cloud, l’objectif n’est pas de pointer du doigt ou d’appeler les vulnérabilités d’AMD — c’est un effort combiné et collaboratif pour que les entreprises renforcent leurs défenses contre des attaquants de plus en plus créatifs et techniquement qualifiés. La cybersécurité a toujours été considérée comme étant en retrait contre ceux qui la pirateraient ; AMD et Google veulent tous deux être à l’avant-garde des efforts pour renverser la vapeur.
Le partenariat était principalement motivé par l’offre par Google de ses services d’informatique confidentielle, qui visent à garder les données des clients cryptées à tout moment – que ce soit au repos, en transit ou pendant le traitement. Suite à la dépendance croissante vis-à-vis des services de cloud computing (allant des déchargements de charge de travail classiques vers le cloud, des jeux en nuage ou même des systèmes d’exploitation basés sur le cloud tels que Windows 365 Cloud de Microsoft), le risque posé par les vulnérabilités potentielles de l’infrastructure de sécurité pourrait provenir de milliards de dollars de pertes. Compte tenu de la part d’AMD dans l’effort de recherche, la société est bien consciente des avantages à tirer de l’expertise des deux sociétés dans l’amélioration de ses produits.
L’audit pourrait bien montrer un changement nécessaire par rapport à l’approche des « secrets voûtés » que les entreprises sont connues pour adopter en ce qui concerne leurs produits et la sécurité de la propriété intellectuelle. Alors que les incidents liés à la cybersécurité ont explosé ces dernières années, à la fois en nombre, en impact et en complexité, l’impact des attaques réussies a tendance à ne faire qu’augmenter. La nouvelle arrive également à un moment où les groupes de rançongiciels montrent une activité croissante – la société de cybersécurité Secureworks a récemment attiré l’attention du monde sur la résurgence apparente du groupe de piratage REvil.
La cybersécurité est l’une des entreprises les plus importantes au monde, suite à la numérisation presque complète des services, de l’argent (que ce soit dans les comptes bancaires traditionnels basés sur FIAT ou sur les routes rouges et saignantes de la crypto et de la DeFi) et de l’infrastructure mondiale. Basculer un un binaire vers un zéro peut potentiellement bouleverser la mondialisation et l’économie dans le monde entier. Et c’est quelque chose qu’aucune entreprise ou personne ne veut vivre.