Journal [~Signet] Failles de sécurité dans les CPU : AMD revient dans la course !

Posté par (page perso) .
Tags :
9
13
mar.
2018

Les processeurs Ryzen/EPYC d'AMD (et leurs chipsets) ont aussi leurs failles de sécurité – il n'y a pas qu'Intel dans ce petit jeu. Ah, et les chipsets sont concernés aussi.

Ce qui est vraiment dommage, c'est qu'AMD avait beaucoup communiqué sur la sécurité de ses solutions au moment des failles Spectre et Meltdown…

Liens :


Billet sous licence CC-0.

  • # Urgence?

    Posté par (page perso) . Évalué à 10.

    C'est étonnant : Spectre avait laissé 6 mois aux fabricants pour se préparer, là ils publient le site le jour même où ils ont donné l'information aux fabricants….

    ….

    ….

    … Intel verrait ses ventes chuter?

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

  • # juste une arnaque

    Posté par . Évalué à 10.

    Tout sent l'arnaque à plein nez dans cette histoire.
    Le directeur de cette boite israélienne inconnue jusqu'ici dirige aussi le hedge fund NineWells qui a de grosses positions "short" sur AMD (autrement dit : ils font un bénéfice si l'action baisse).
    Ils larguent un zéro day avec moins de 24h de préavis mais ils ont eu le temps de peaufiner des sites spécialisés avec nom de domaine, vidéos et tout le toutim ?
    Le "whitepaper" est écrit comme un spam africain, il n'y a aucun détail, les noms des vulnérabilités sont stupidement dramatiques et reprennent les marques déposées d'AMD (Ryzenfall, sérieusement ?), il contient des remarques visant à discréditer AMD sans aucun rapport avec le sujet.
    Il n'y a même pas de CVE associée, c'est du vent.

    Tenez, regardez ce qu'il y a d'écrit, perdu dans le fatras légal à la fin du rapport :

    "Although we have a good faith belief in our analysis and believe it to be objective and unbiased, you are advised that we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports."

    "Bien que nous croyions notre analyse de bonne foi et croyons qu'elle est objective et non biaisée, vous êtes avertis que nous pourrions, soit directement, soit indirectement, avoir un intérêt économique dans la performance des actions des compagnies dont les produits sont le sujet de nos rapports."

    Mon dieu mon dieu mon dieu, et tout le monde relaye ces idioties ;-/

    • [^] # Re: juste une arnaque

      Posté par . Évalué à 4.

      Je n'y connais rien en bourse, mais l'action AMD semble monter (+1,91) pour le moment, alors que le nasdaq descend légèrement (-0,28), du coup en imaginant que c'est vraiment une opération de manipulation de cours pour des shorts, ils ont complètement foiré leur coup ou bien?

      • [^] # Re: juste une arnaque

        Posté par . Évalué à 6.

        Oui, l'action a initialement chuté de 4% quand la nouvelle est parue, mais les investisseurs semblent avoir décidé que tout ça n'était pas très sérieux, que c'était même carrément trop gros.
        Je ne sais pas s'ils ont "raté" leur coup dans la mesure où il suffit que l'action passe par un minimum, même pendant quelques minutes, pour générer un profit substantiel.
        Cela pourrait être coordonné par exemple avec une rumeur qui a circulé il y a quelques jours concernant un rachat d'AMD et qui a pendant quelques minutes fait monter le cours de l'action de 8%.
        Le différentiel d'avec aujourd'hui devient de l'ordre de 13%, ce qui est déjà pas mal comme rendement.

        On ne peut pas tout à fait exclure non plus que tout cela soit une campagne de dénigrement orchestrée par Intel pour contrer le succès d'EPYC et la mauvaise presse liée à Meltdown.
        Mais ces derniers temps, Intel semble avoir bien besoin d'AMD pour contrer Nvidia…

    • [^] # Re: juste une arnaque

      Posté par (page perso) . Évalué à 9.

      Ha merde. Moi qui avait fait confiance à Next INpact pour éviter de relayer de la merde… toutes mes confuses !

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: juste une arnaque

        Posté par (page perso) . Évalué à 3.

        (Je note qu'une personne ici semble trouver inutile de s'excuser quand on a diffusé de la merde. Je trouve ça triste).

        La connaissance libre : https://zestedesavoir.com

      • [^] # Re: juste une arnaque

        Posté par . Évalué à -5.

        Bof, c'est NextInpact quoi… J'ai bien vu le spam régulier de tous ceux qui jusqu'ici sont venu inviter à souscrire un abonnement chez eux, mais pour moi ça reste PCInpact.

        Si je me souviens bien, je crois que c'est eux qui, à l'époque où on parlait des CD-R qui pouvaient exploser dans les lecteurs trop rapides, ont miraculeusement – ô hasard de la chose — eu un CD-R qui leur justement a pété dans le lecteur pour illustrer les photos de l'article. Ouais, ouais, on y croit !

        • [^] # Re: juste une arnaque

          Posté par . Évalué à 10.

          Il y a peut-être eu des ratés, mais la qualité générale des articles est excellente, et il semble y avoir un réel travail de la part des journalistes.

          Mon avis pour faire la part des choses avec ton commentaire qui les traine dans la boue :D

          • [^] # Re: juste une arnaque

            Posté par . Évalué à 6.

            Je plussoie.
            NextInpact est pour moi de très bonne qualité, en particulier ils font un excellent suivi des aspects réglementaires du numérique (loi Lemaire, CADA, RGPD pour prendre des exemples récents, Marc Rees & co font un super boulot), je ne connais pas d'équivalent en France sur ces sujets.

      • [^] # Re: juste une arnaque

        Posté par . Évalué à 9.

        Si ça peut te rassurer, Phoronix a aussi relayé cette info.

        Quoi qu'il en soit en terme de véracité, les Intel ME, ARM Trustzone et AMD PSP sont des boites noires qui fragilisent la chaine de sécurité d'un système informatique.

      • [^] # Re: juste une arnaque

        Posté par . Évalué à -9. Dernière modification le 14/03/18 à 13:56.

        C'est du 100% 'David Legrand - directeur de NextInpact' un fanboy pro Intel qui depuis maintenant plusieurs années, il faut l'avouer assez subtilement discrédite AMD dés qu'il en a l'occasion. A chaque fois depuis toutes ces années, il me suffit un coup d'oeil au titre de la nouvelle pour deviner que c'est lui qui en est le rédacteur.
        Mais cette fois-ci il n'a pas pris le temps de la subtilité, peut-etre les années qui le rattrapent, et a consommé en une seule fake news toute la confiance que les lecteurs ont accordés a ce magazine depuis toutes ces annés.

      • [^] # Re: juste une arnaque

        Posté par . Évalué à 3.

        Depuis l'article :

        Interrogé sur le sujet, le constructeur nous répond ne pas avoir de commentaire à fournir pour l'instant. Il aurait été prévenu il y a à peine une journée, ce qui n'est pas vraiment dans les standards dans ce genre de cas. Bien entendu, nous reviendrons plus en détail sur le sujet dès que nous aurons pu en apprendre plus.

        L'article de AnandTech est plus explicite :

        Something doesn't quite add up here.

        Mais dans l'ensemble, ça semble important. Simplement, la démesure et le côté marketing de la communication décrédibilisent très fortement le résultat de ces recherches.

        • [^] # Re: juste une arnaque

          Posté par . Évalué à 2.

          Je te rejoins, ça semble important. TRÈS important.
          Pas tellement pour les failles qui ont quand même l'air assez mineures et réclament de toute façon des conditions assez strictes d'exécution (accès physique, flashage, root local), mais pour l'épée de Damoclès qui va tous nous menacer si les chercheurs en sécurité se transforment en malfrats ou en mercenaires qui ne respectent pas les "responsible disclosure" et font tout pour exploiter à fond financièrement leurs trouvailles, aidés en cela par des médias en mal de sensation et de clics.

          Imaginez une seconde ce qui se serait passé si Meltdown avait été monté en épingle comme ça et lâché en zéro-day ? 8-|
          ça aurait été un cataclysme économique majeur !

          Je ne vois pas comment nos sociétés peuvent se prémunir contre un tel risque :-(

    • [^] # Re: juste une arnaque

      Posté par (page perso) . Évalué à 9.

      • [^] # Re: juste une arnaque

        Posté par . Évalué à 4.

        Merci, excellent ! Ça se lit comme un roman.
        Quelle affaire complètement délirante…
        Outre l'intérêt financier ou le complot d'Intel, une autre théorie qui circule ici et là est encore plus abracadabrante.
        Elle postule que, les processeurs Intel basés sur Core ayant été conçus en Israel, on pourrait imaginer qu'ils contiennent une backdoor exigée par les services secrets israéliens, lesquels auraient alors tout intérêt à nuire à AMD, pour éviter que ses processeurs non compromis se répandent.

        J'avoue que vu le niveau d'hallucination atteint, cela me semble pas plus absurde que le reste.

    • [^] # Re: juste une arnaque

      Posté par (page perso) . Évalué à 2.

      Le directeur de cette boite israélienne inconnue jusqu'ici dirige
      aussi le hedge fund NineWells qui a de grosses positions "short"
      sur AMD (autrement dit : ils font un bénéfice si l'action
      baisse).

      J'aurais à priori tendance à dire que c'est sans doute illégal vis à vis de la SEC. Ça le serait si c'était des employés AMD (insider trading), mais la, vu que c'est des externes, je suis moins sur.

  • # Google+

    Posté par (page perso) . Évalué à 4.

    L'avis de Linus (avec des commentaires intéressants) : https://plus.google.com/+LinusTorvalds/posts/PeFp4zYWY46

  • # 13 failles !

    Posté par . Évalué à -10. Dernière modification le 14/03/18 à 14:26.

    Ce n'est pas 12 ni 14 failles mais bien 13 failles …

    Et il y en a qui se disent journalistes, et d'autres qui moinssent comme des neuneux.
    Vivement la loi 'fake news'.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.