Le rapport de CTS-Labs sur les puces d’AMD n’est qu’un abattage médiatique

Linus Torvalds a vivement réagi au rapport de sécurité publié par CTS-Labs sur des failles dans les processeurs AMD. Le créateur de Linux estime qu’il s’agit d’une manipulation boursière par la firme israélienne plutôt qu’un avis de sécurité, en raison de la façon avec laquelle les failles ont été révélées. En effet, au lieu d’octroyer à AMD un peu de temps pour les réparer, CTS-Labs a choisi de les publier immédiatement, ne laissant à AMD qu’un jour pour résoudre les problèmes.

« À quand remonte la dernière fois que vous avez vu un avis de sécurité qui pourrait fondamentalement se résumer ainsi ‘si vous remplacez le BIOS ou le microcode CPU avec une version malveillante, vous pourriez avoir un problème de sécurité’ ? Super », a écrit Torvalds sur Google+. « Je pensais que toute l’industrie était corrompue, mais ceci est juste ridicule. »

Depuis la publication du rapport, plusieurs commentateurs ont remis en question sa véracité du fait que l’exploitation des vulnérabilités exige l’accès administrateur au BIOS et aux fonctions de base du système. Seulement, toute personne dans cette position pourra briser la sécurité de la puce avec des failles ou sans failles.

Exagérer ou bien parfois fabriquer même des failles de sécurité fait partie des pratiques utilisées pour manipuler les cours boursiers d’une firme de technologie. CTS-Labs a en quelque sorte été consciente de cette réalité, et a informé que son rapport pourrait impacter, directement ou indirectement, les intérêts économiques des sociétés qui sont l’objet de ses rapports.

La façon avec laquelle toute cette histoire s’est déroulée pousse à poser plusieurs questions sur la légitimité de CTS-Labs. Cette startup israélienne a surgi de nulle part l’année dernière et il semblerait qu’il est impossible de joindre ses contacts de relations publiques.

Le site Gamers Nexus a relayé que le site web AMDFlaws.com utilisé par la startup pour publier son rapport a été enregistré il y a quelques semaines seulement. Le site a ajouté que les arrières-plans qu’on voit dans les vidéos de CTS-Labs ne représentent pas des espaces physiques réels, mais plutôt des interfaces CGI sur fond vert.

Le document de recherche lui-même ne respecte pas les lignes de diffusion traditionnelles en vigueur, il ne comprend pas assez de détails techniques pour donner plus de crédibilité à l’existence de failles. Cependant, CTS-Labs s’est rattrapée et a informé que les détails techniques ont été partagés avec AMD et Microsoft seulement pour empêcher qu’ils tombent dans les mains de hackers.

Ces détails soulèvent sûrement des questions, mais CTS Labs se défend et a informé qu’elle n’a pas accordé plus de temps à AMD, car ils auront besoin de plusieurs mois pour résoudre le problème.

La startup a même contacté Dan Guildo, fondateur de la firme de sécurité Trails of bits pour évaluer indépendamment son rapport. Son constat est clair, chaque faille existe bel et bien et fonctionne comme l’a décrit CTS-Labs.

« Indépendamment du battage autour de la publication, les bogues sont réels, décrits avec précision dans leur rapport technique (qui n’est pas public), et leur code d’exploitation fonctionne. » Mais l’expert a ajouté que « Oui, toutes les failles nécessitent des privilèges admin, mais toutes sont des failles, pas une fonctionnalité attendue. »

Le chercheur en sécurité a noté aussi que les failles ont effectivement besoin d’un accès admin pour être exploitées, cependant elles posent le risque de permettre à des hackers de propager des malwares d’une machine à une autre ou mener des opérations d’espionnage en recourant à des malwares indétectables installés directement sur le firmware d’une puce.

Cette évaluation suggère donc que les failles sont réelles et que la recherche menée par CTS-Labs est légitime malgré la possibilité d’existence d’un intérêt économique de porter atteinte à AMD.

En tout cas, Linux Torvalds est convaincu que la manière avec laquelle agit l’industrie de sécurité est inappropriée, et a même qualifié les experts en sécurité de clowns. Il estime que puisqu’il faut l’intervention d’un administrateur système pour exploiter ces failles, ce rapport n’est rien d’autre qu’un abattage médiatique.

« Je refuse de relayer cette ordure. Mais oui, il apparait que c’est une manipulation boursière plus qu’un avis de sécurité pour moi », écrit-il. « Je blâmerais les journalistes, mais soyons honnêtes, c’est l’industrie de sécurité qui a enseigné à tout le monde de ne pas critiquer leurs découvertes. »

« Les gens de sécurité doivent comprendre qu’ils passent pour des clowns à cause de ça. » Par conséquent, Torvalds a lancé à sa manière un appel au monde de la sécurité à reconnaitre ses lacunes et encourager plus un esprit critique.

 

 

 

 

 

Source : developpez.com