AMD corrige une faille de sécurité touchant les processeurs Zen

AMD a récemment signalé avoir corrigé une vulnérabilité de haute sévérité concernant certains de ses processeurs lancés depuis 2017. Bien que la mise à jour ait été publiée il y a quelques mois, l’entreprise a choisi de l’annoncer maintenant afin de s’assurer que les utilisateurs aient suffisamment de temps pour l’installer.

Nature de la vulnérabilité

Identifiée comme CVE-2024-56161, cette vulnérabilité peut entraîner une perte de protection SEV pour des machines invitées confidentielles. La Secure Encrypted Virtualization (SEV) est une technologie avancée d’AMD qui renforce la sécurité des machines virtuelles en chiffrant leur mémoire. Cela est crucial dans le cadre de l’informatique confidentielle, où des charges de travail sensibles fonctionnent dans des environnements peu sûrs comme les clouds publics.

Le mécanisme SEV attribue une clé unique à chaque machine virtuelle, ce qui permet d’isoler les invités du hyperviseur et entre eux. Cette isolation est essentielle pour maintenir l’intégrité et la sécurité des données traitées.

Origine et impact de l’alerte

AMD a expliqué que la vérification de signature incorrecte dans le chargeur de bios ROM des CPU pourrait permettre à un attaquant ayant des privilèges d’administrateur local de charger un bios malveillant. Cela entraîne une perte d’intégrité pour les machines invitées fonctionnant sous AMD SEV-SNP. Cette vulnérabilité a reçu une note de sévérité de 7.2 sur l’échelle CVSS, classée comme élevée.

Cette faille affecte les processeurs allant de la génération Zen 1 à Zen 4, y compris les séries AMD Epyc Naples 7001, Rome 7002, et Milan 7003, entre autres. Il est donc impératif pour les utilisateurs d’identifier leur hardware pour savoir s’ils sont concernés.

Chronologie de la découverte et recommandations

Découverte initialement par des chercheurs de Google, la vulnérabilité a été corrigée par AMD en décembre 2024. L’entreprise a délibérément choisi de ne pas en faire l’annonce immédiate afin de permettre aux fournisseurs de cloud et de centres de données d’appliquer la mise à jour sans hâte.

Il est important de souligner que cette vulnérabilité touche principalement les machines des centres de données. Les utilisateurs de bureau ne devraient pas être directement affectés. Cette situation illustre la nécessité constante de veiller à la sécurité des systèmes, en soulignant que la protection des données est toujours un sujet d’actualité.

Par ailleurs, la vulnérabilité démontre qu’aucun système n’est infaillible. La mise à jour de sécurité est une nécessité, malgré le coût, surtout dans un contexte où AMD rapporte des revenus nets de centre de données de 12,57 milliards € en 2024, soit une augmentation de 94% par rapport à 2023.

Les processeurs Epyc d’AMD constituent une plateforme offrant aux professionnels un excellent rapport performances-prix. Leur vigilance face aux failles potentielles montre que l’engagement pour la sécurité n’est pas sacrifié au profit d’une tarification compétitive.