Vulnérabilités AMD : une méthode qui ulcère de nombreux experts

AMD a probablement été pris de court, de très court. Lors de la découverte d'une vulnérabilité, les entreprises se voient généralement offrir un délai de 30 à 90 jours avant divulgation, afin d'étudier le problème et d'apporter les correctifs requis. Dans le cas des vulnérabilités Spectre et Meltdown, Intel a même pu profiter de bien plus longtemps. Mais là, CTS Labs a lancé un vrai pavé dans la mare en laissant tout juste 24h à AMD avant de dévoiler 13 vulnérabilités qu'elle qualifié de critiques dans les puces Ryzen et Epyc - et notamment dans leur secure processor embarqué.  

Gadi Evron, le fondateur et CEO du spécialiste de la sécurité israélien Cymmetria, assure que les équipes de CTS Labs « croient à ce qu’elles appellent la ‘divulgation d’intérêt général’.L'idée est que lorsqu’une vulnérabilité est découverte, son impact est dévoilé immédiatement et publiquement, tandis que les détails techniques ne sont fournis qu’aux [parties] susceptibles d’aider à la remédiation ». Mais pour beaucoup, la pilule a du mal à passer.

Linus Torvalds estime ainsi que le monde de la sécurité est tombé bien bas, ironisant au passage : « si vous travaillez dans la sécurité, et pensez que vous avez une éthique, je pense que vous voudrez ajouter à votre carte de visite une ligne disant ‘non, vraiment, je ne suis pas une prostituée. Juré, craché’ ».

L’intensité de l’effort de communication est notamment déplorée, rapporté notamment au manque d’informations techniques sur les failles. Kevin Beaumont, un expert britannique de la sécurité, trouve d’ailleurs l’approche à « vomir » et dénonce une présentation « trash » dans laquelle est indiqué que « des vies pourraient être potentiellement mises en danger ».

Dans un billet de blog, il avance d’ailleurs des éléments laissant à penser que les vidéos accompagnant la divulgation ont été montées dans le but de donner une image professionnelle, en s’appuyant sur des photos stock pour présenter de prétendus bureaux. Pour sa communication, CTS Labs semble d’ailleurs s’être associé les services de professionnels du marketing, Bevel.

First read of the AMDFLAWS whitepaper (no real technical details given) is: “over-hyped beyond belief”.

This is a whitepaper worthy of an ICO.

And yes, that is meant to be an insult.

— Arrigo Triulzi (@cynicalsecurity) March 13, 2018

Le consultant en sécurité Arrigo Triulzi ne manque pas de dénoncer un livre blanc sur les vulnérables « incroyablement surfait ». Et ce n’est pas le seul. Alex Stamos, RSSI de Facebook, voit là un travail de recherche de vulnérabilités motivé par une forme de spéculation.

Et c’est d’ailleurs un point qui semble avoir interpellé nos confrères de Reuters, chez qui Ihor Dusaniwsky, de S3 Partners, relève un pic « complètement hors norme » de ventes à découvert sur l’action d’AMD au cours des derniers jours.

Un spécialiste du domaine, Viceroy Research, s’est d’ailleurs saisi très très rapidement des affirmations de CTS Labs, allant jusqu’à affirmer, dans un billet de blog, que « AMD vaut 0.00 $ et n’aura pas d’autre choix que de se placer sous la protection du chapitre 11 [et se déclarer en faillite] pour effectivement faire face aux répercussions de ces découvertes ». Pour Viceroy, ces dernières doivent être tout simplement « fatales » à AMD.

I love this statement on #amdFlaws - I'm pretty well convinced that this is designed to manipulate stock prices. That doesn't make the vulnerabilities fake or any less dangerous (though you need admin access to exploit most).https://t.co/PklfyHxgJu pic.twitter.com/MwEXWdOzRP

— Jake Williams (@MalwareJake) March 13, 2018

À nos confrères de Reuters, Viceroy a indiqué avoir pris une position de vente à découvert « conséquente » sur l’action du fondeur, après avoir examiné le rapport de CTS Labs. Sur Reddit, les critiques à l’encontre de la pratique n’ont pas tardé.

D’aucuns soulignent au passage que le communiqué de presse de CTS Labs a été rendu public à 10h du matin, heure de la côte Est des États-Unis, et que Viceroy a commencé à communiquer sur son analyse moins d’une heure et demi plus tard. Ce dernier assure avoir obtenu le rapport à partir d’une source anonyme, la veille, en fin d’après-midi.

Jake Williams, de Rendition Infosec, qualifie sans ambages les affirmations de Viceroy de détritus. Pour lui, cela ne fait pas de doute : les révélations de CTS Labs ont été pensées pour « manipuler des cours d’actions ». Sur Reddit, d’autres ne manquent pas d’exprimer leur suspicion, certains relevant notamment que le domaine utilisé pour les révélations, amdflaws.com, a été déposé le 22 février dernier, soit il y a près de trois semaines.