Le cours d’AMD a trébuché cet après-midi (-0.35%) après la découverte par les équipes de la société de sécurité israélienne CTS Labs de 13 vulnérabilités dans ses puces Ryzen (desktop, mobile et pro) et Epyc (serveur) basées sur la microarchitecture Zen. Ces failles, qui rappellent les problèmes causés par les vulnérabilités Spectre et Meltdown qui ont touché Intel, permettent à des attaquants d'accéder à des données sensibles dans la mémoire tampon des processeurs, voire même d’installer des malwares à l’insu des utilisateurs.
Comme avec Spectre et Meltdown, on a en fait affaire à plusieurs failles majeures (Master Key, Ryzenfall, Fallout, Chimera et élévation de privilège PSP ou Platform Security Processor) qui se déclinent ensuite en différentes variantes. Ce qui donne au final le nombre de 13 vulnérabilités exploitables. Les puces Ryzen en concentrent trois (Chimera, Masterkey et Ryzenfall) et les Ryzen Pro deux (Chimera et Ryzenfall) par exemple.
Les chercheurs ont laissé moins de 24 heures à AMD - pour examiner les vulnérabilités et préparer un communiqué de presse - avant de publier leur rapport sur ces failles. Google laisse habituellement 90 jours aux éditeurs et autres fournisseurs pour préparer des patchs logiciels avant de dévoiler publiquement les vulnérabilités. Cela n’a pas été le cas de CTS Labs qui a même créé un site web à cette occasion pour informer les clients d’AMD au sujet de ces failles. Reste à savoir si une simple mise à jour du microcode de ces puces suffira à protéger les utilisateurs ou s'il sera nécessaire de patcher les OS et les navigateurs pour se prémunir. Comme Intel, AMD devra également revoir l’architecture de ses puces pour pallier ces vulnérabilités.