Une tentative d’assassinat médiatico-financier ?
L’annonce de CTS Labs sur les risques de sécurité concernant les processeurs AMD Ryzen et EPYC semble à la fois légitime et douteuse. Voici plusieurs raisons de douter des réelles intentions de l’entreprise CTS Labs dans cette affaire, même si les failles semblent plus ou moins réelles. AMD semble déjà tomber des nues, affirmant ne pas connaître CTS Labs, et déplorant la publication de la faille seulement 24h après été prévenu.
1. Accès admin nécessaire
Les failles mises en avant nécessitent, d’après les recherches avancées, un accès aux droit d’administrateur du système ou du serveur attaqué. Un détail crucial qui les rend moins dramatiques que Spectre, et peut être pas aussi alarmant qu’annoncé.
2. Flash physique du BIOS requis
Mis à part Chimera, les autres vulnérabilités révélées nécessitent un flash du BIOS avec une mise à jour spécialement conçue à cet effet et contenant un code malicieux. WCCFTech explique ainsi que cette manipulation manque totalement de réalisme en pratique.
3. CTS Labs, une entreprise suspecte
CTS Labs dit avoir 16 ans d’expertise dans la sécurité informatique, mais leur entreprise n’est listée que depuis 2017. Le domaine amdflaws.com a été créé le 22 février 2018, les informations relatives à l’entreprise sont très limitées et ne pointent que trois employés et responsables, et aucun de leurs projets antérieur n’a été rendu publique.
4. Une vidéo trop éditée
La vidéo publiée par CTS Labs semble avoir été tournée sur un fond vert et avoir utilisé des images de bureau piochées sur Shutterstock. Leur chaîne YouTube n’a été créée que 3 jours avant la publication de leur recherche sur AMD.
5. Manipulations boursières ?
Les mentions légales du document de recherche publié par CTS Labs insinuent un éventuel intérêt financier concernant les titres boursiers d’AMD. D’autre part, l’entreprise Viceroy Research semble déjà impliquée dans des actions de manipulation de titres boursiers de plusieurs banques et entreprises. Les personnalités qui la composent semblent assez sulfureuses, avides de coup financier. Elle semble avoir publié un document de 33 pages sur les failles AMD en moins de 3 heures, après l’annonce de CTS Labs. Un document très agressif, qui affirme qu’AMD « vaut 0 dollar » et suggère de « mettre l’entreprise en faillite ». Pas très professionnel…
6. Une embuscade ?
CTS Labs n’a prévenu AMD que 24 heures avant la publication de leur recherche. Habituellement les professionnels de la sécurité accordent un délai d’au moins 90 jours aux fabricants, afin de prévoir une solution peu de temps après l’annonce grand publique. Il ne s’agit pas d’une obligation légale, mais plutôt d’une coutume de bon sens dans le milieu, pour éviter les attaques.
7. Des experts perplexes
Beaucoup de journalistes et experts informatiques pensent que les vulnérabilités des CPU AMD ont été largement exagérées, et qu’il pourrait s’agir d’un coup monté. Parmi eux Josh Walrath de PC Perspective, Gamersnexus, WCCFTECH, Guru3D s’accordent à dire que la nécessité d’accéder aux droits d’administrateur d’une machine réduit la gravité de la faille, car ces droit compromettent naturellement la sécurité du système. Sur Google+, Linus Torvald est même allé jusqu’à dire que CTS Labs devraient rajouter sur leur business card la mention « non je ne suis pas une prostituée, promis ».
Voilà de quoi donner à réfléchir… Impossible de ne pas inscrire cette affaire dans le cadre d’une guerre financière faisant suite à l’affaire des failles Spectre et Meltdown, qui épargnaient AMD au niveau matériel.
