Une nouvelle vulnérabilité met en danger la gamme de processeurs Zen 2 d'AMD , permettant potentiellement à un attaquant d'extraire des mots de passe et des clés de chiffrement d' ordinateurs , le tout sans avoir un accès physique à l'appareil et sans que le propriétaire ne s'en aperçoive. Pour le traquer, le chercheur en sécurité de Google Tavis Ormandy , qui a révélé le 15 mai Zenbleed, c'est le nom du bug, à AMD et a publié cette semaine les résultats de la recherche sur son blog personnel. Selon Ormandy, Zenbleed est particulièrement insidieux car il ne peut également être exploité que via une page Web via javascript et exploite en pratique la possibilité que, comme le décrit AMD, « dans des circonstances spécifiques, un registre dans les processeurs Zen 2 peut ne pas être écrit correctement à la valeur 0. Cela pourrait entraîner le stockage de données d'un autre processus et/ou thread dans le registre YMM, ce qui pourrait permettre à un attaquant d'accéder potentiellement à des informations sensibles » . S'il est exécuté avec succès, l'exploit permettrait aux données d'être transférées à un débit de 30 Ko par cœur par seconde, suffisamment rapide pour voler des données sensibles de tout logiciel exécuté sur le système, y compris les machines virtuelles , les bacs à sable, les conteneurs et les processus, selon Ormandy. Pour les experts, cette vulnérabilité est particulièrement préoccupante pour les services cloud car elle pourrait potentiellement être utilisée pour espionner les utilisateurs dans les instances cloud.

Mais pas seulement. Selon Ormandy, il n'existe aucune technique fiable pour détecter l'accès aux données, car le bogue ne nécessite pas d'appels système ni d'accès à des privilèges spéciaux. Cela la rendrait très similaire aux menaces Spectre et, plus encore, Meltdown, dans la facilité avec laquelle elle peut être exploitée. Au cas où vous vous demanderiez quels processeurs sont concernés, ce sont tous les processeurs des séries AMD Ryzen 3000/4000/5000/7020, Ryzen Pro 3000/4000 et AMD Rome EPYC. Le correctif, sous la forme d'un correctif de microcode, a déjà été publié pour les processeurs Epyc 7002 de deuxième génération utilisés dans les centres de données, mais pour tous les autres, AMD ne prévoit pas de le publier avant la fin de cette année . Et il y a une autre considération à faire. Tout comme les correctifs pour Meltdown et Spectre, ce correctif peut avoir un impact sur les performances de votre ordinateur . AMD n'est pas entré dans les détails, mais selon Tom's Hardware, cela pourrait être le cas, affirmant qu'un impact sur les performances pourrait varier en fonction de la charge de travail et de la configuration du système . La bonne nouvelle est qu'AMD ignore que la vulnérabilité a été exploitée en dehors de l'environnement de recherche, mais l'annonce cache un petit polar . En fait, bien qu'Ormandy ait déclaré avoir annoncé le bogue à AMD le 15 mai, il semble que la société se soit trouvée non préparée à l'annonce du chercheur. Néanmoins, Ormandy lui-même suggère une solution de contournement sur son blog pendant que vous attendez l'arrivée de la mise à jour du BIOS, conscient qu'elle peut avoir un impact sur les performances car elle désactive la fonction de processeur incriminée. Vous pouvez le trouver pour votre système sur le blog du chercheur en faisant défiler vers le bas sous l' en-tête Solution à cette adresse