Tous les AMD (s’ouvre dans un nouvel onglet) Les processeurs Zen sont vulnérables à une faille de gravité moyenne qui peut permettre aux acteurs de la menace d’exécuter des attaques par canal latéral et de révéler des clés RSA 4096 bits avec une relative facilité, ont averti les experts.
La faille, découverte par plusieurs chercheurs en cybersécurité des universités technologiques de Graz et de Géorgie, a été décrite dans un article intitulé « SQUIP : Exploiting the Scheduler Queue Contention Side Channel », et confirmée plus tard par AMD elle-même.
« Un attaquant s’exécutant sur le même hôte et le même cœur de processeur que vous pourrait espionner les types d’instructions que vous exécutez en raison de la conception du planificateur fractionné sur les processeurs AMD », a expliqué l’un des auteurs. « Le M1 d’Apple (probablement aussi le M2) suit le même design mais n’est pas encore affecté car ils n’ont pas encore introduit le SMT dans leurs processeurs. »
Solution de compromis
SMT est l’abréviation de « simultaneous multithreading » – une technique qui améliore l’efficacité des processeurs superscalaires avec le multithreading matériel, permettant plusieurs threads d’exécution indépendants, en utilisant les ressources de la puce plus efficacement.
La faille provient de la façon dont le processeur fonctionne – il est capable d’exécuter plus de lignes de code sur un seul cœur de processeur, afin d’améliorer ses performances.
Mais cela permet également aux pirates potentiels de surveiller ces instructions, s’ils peuvent installer des logiciels malveillants sur l’appareil. Mais presque tous les logiciels malveillants peuvent être neutralisés avec un correctif logiciel, et celui-ci n’est pas différent. Il vient avec une mise en garde majeure, cependant.
Ainsi, afin d’atténuer la vulnérabilité, la technologie SMT doit être désactivée, ce qui signifie un coup dur pour les performances de la puce.
Apparemment, tous les processeurs Ryzen exécutant les microarchitectures Zen 1, Zen 2 et Zen 3 sont concernés. AMD a confirmé le problème et l’a surnommé AMD-SB-1039 : Execution unit Scheduler Contention Side-Channel Vulnerability on AMD Processors.
« AMD recommande aux développeurs de logiciels d’utiliser les meilleures pratiques existantes, y compris les algorithmes à temps constant et d’éviter les flux de contrôle dépendants du secret, le cas échéant, pour aider à atténuer cette vulnérabilité potentielle », indiquent les instructions d’AMD.
TechRadar Pro a demandé à AMD un commentaire et mettra à jour l’article lorsque nous aurons de nouveau des nouvelles.
Via : Tom’s Hardware (s’ouvre dans un nouvel onglet)