Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Linus Torvalds estime que le rapport de CTS-Labs sur les puces d'AMD n'est qu'un abattage médiatique
Et a qualifié les experts en sécurité de clowns

Le , par Coriolan

79PARTAGES

22  0 
Linus Torvalds a vivement réagi au rapport de sécurité publié par CTS-Labs sur des failles dans les processeurs AMD. Le créateur de Linux estime qu’il s’agit d’une manipulation boursière par la firme israélienne plutôt qu’un avis de sécurité, en raison de la façon avec laquelle les failles ont été révélées. En effet, au lieu d’octroyer à AMD un peu de temps pour les réparer, CTS-Labs a choisi de les publier immédiatement, ne laissant à AMD qu’un jour pour résoudre les problèmes.


Linus Torvalds

« À quand remonte la dernière fois que vous avez vu un avis de sécurité qui pourrait fondamentalement se résumer ainsi 'si vous remplacez le BIOS ou le microcode CPU avec une version malveillante, vous pourriez avoir un problème de sécurité' ? Super », a écrit Torvalds sur Google+. « Je pensais que toute l’industrie était corrompue, mais ceci est juste ridicule. »

Depuis la publication du rapport, plusieurs commentateurs ont remis en question sa véracité du fait que l’exploitation des vulnérabilités exige l’accès administrateur au BIOS et aux fonctions de base du système. Seulement, toute personne dans cette position pourra briser la sécurité de la puce avec des failles ou sans failles.

Exagérer ou bien parfois fabriquer même des failles de sécurité fait partie des pratiques utilisées pour manipuler les cours boursiers d’une firme de technologie. CTS-Labs a en quelque sorte été consciente de cette réalité, et a informé que son rapport pourrait impacter, directement ou indirectement, les intérêts économiques des sociétés qui sont l’objet de ses rapports.

La façon avec laquelle toute cette histoire s’est déroulée pousse à poser plusieurs questions sur la légitimité de CTS-Labs. Cette startup israélienne a surgi de nulle part l’année dernière et il semblerait qu’il est impossible de joindre ses contacts de relations publiques.

Le site Gamers Nexus a relayé que le site web AMDFlaws.com utilisé par la startup pour publier son rapport a été enregistré il y a quelques semaines seulement. Le site a ajouté que les arrières-plans qu’on voit dans les vidéos de CTS-Labs ne représentent pas des espaces physiques réels, mais plutôt des interfaces CGI sur fond vert.

Le document de recherche lui-même ne respecte pas les lignes de diffusion traditionnelles en vigueur, il ne comprend pas assez de détails techniques pour donner plus de crédibilité à l’existence de failles. Cependant, CTS-Labs s’est rattrapée et a informé que les détails techniques ont été partagés avec AMD et Microsoft seulement pour empêcher qu’ils tombent dans les mains de hackers.

Ces détails soulèvent sûrement des questions, mais CTS Labs se défend et a informé qu’elle n’a pas accordé plus de temps à AMD, car ils auront besoin de plusieurs mois pour résoudre le problème.

La startup a même contacté Dan Guildo, fondateur de la firme de sécurité Trails of bits pour évaluer indépendamment son rapport. Son constat est clair, chaque faille existe bel et bien et fonctionne comme l’a décrit CTS-Labs.

« Indépendamment du battage autour de la publication, les bogues sont réels, décrits avec précision dans leur rapport technique (qui n'est pas public), et leur code d'exploitation fonctionne. » Mais l'expert a ajouté que « Oui, toutes les failles nécessitent des privilèges admin, mais toutes sont des failles, pas une fonctionnalité attendue. »

Le chercheur en sécurité a noté aussi que les failles ont effectivement besoin d’un accès admin pour être exploitées, cependant elles posent le risque de permettre à des hackers de propager des malwares d’une machine à une autre ou mener des opérations d’espionnage en recourant à des malwares indétectables installés directement sur le firmware d’une puce.

Cette évaluation suggère donc que les failles sont réelles et que la recherche menée par CTS-Labs est légitime malgré la possibilité d’existence d’un intérêt économique de porter atteinte à AMD.

En tout cas, Linux Torvalds est convaincu que la manière avec laquelle agit l’industrie de sécurité est inappropriée, et a même qualifié les experts en sécurité de clowns. Il estime que puisqu’il faut l’intervention d’un administrateur système pour exploiter ces failles, ce rapport n’est rien d’autre qu’un abattage médiatique.

« Je refuse de relayer cette ordure. Mais oui, il apparait que c’est une manipulation boursière plus qu’un avis de sécurité pour moi », écrit-il. « Je blâmerais les journalistes, mais soyons honnêtes, c’est l’industrie de sécurité qui a enseigné à tout le monde de ne pas critiquer leurs découvertes. »

« Les gens de sécurité doivent comprendre qu’ils passent pour des clowns à cause de ça. » Par conséquent, Torvalds a lancé à sa manière un appel au monde de la sécurité à reconnaitre ses lacunes et encourager plus un esprit critique.

Source : The Inquirer

Et vous ?

Pensez-vous que Torvalds a raison de condamner les dérives du monde de la sécurité ?

Voir aussi :

Patch Tuesday : Microsoft lève l'exigence de compatibilité antivirus sous Windows 10 pour diffuser les patchs de Spectre au plus grand nombre
Des chercheurs de Kaspersky découvrent de façon fortuite le spyware ultrasophistiqué Slingshot, qui a réussi à échapper à toute détection depuis 2012

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 16/03/2018 à 1:55
Citation Envoyé par Coriolan Voir le message

Pensez-vous que Torvalds a raison de condamner les dérives du monde de la sécurité ?
C'est pas une dérive du monde de la sécurité, c'est des guignols qui tentent de faire un coup. De véritables experts en sécurité auraient réagit de manière beaucoup plus responsable comme l'a dit Torvalds.


Cette startup israélienne a surgi de nulle part l’année dernière et il semblerait qu’il est impossible de joindre ses contacts de relations publiques.
Fond de pension spéculatif, ou société paravent soutenue par Intel ? Faites votre choix.
7  0 
Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 16/03/2018 à 1:35
Citation Envoyé par MaximeCh Voir le message
Encore eut-il fallu que l'UE manifeste une volonté de garder cette entreprise en son sein. Elle vient de dire oui au rachat de NXP par Qualcom il y a quelques semaines.
Les membres de l'UE sont trop occupés à se livrer une guerre économique entre eux, pour le meilleur profit des multinationales et au dépend des citoyens et de l'Europe elle-même. Le dernier gros projet européen industriel d'envergure c'était Airbus et c'était avant la construction européenne. Faut dire aussi que le néolibéralisme aveugle qu'ils prêchent tous les jours, interdit l'intervention des états dans les projets industriels, ce qui pourtant avait été nécessaire pour la création d'Airbus. Ceci explique cela et notre impuissance structurelle.
2  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 19/03/2018 à 18:57
J'ai pensé ainsi au début par réflexe mental (conditionnement). Mais à défaut de lire l'interview d'AnandTech, il suffit de prendre 5 min sur leur site pour regarder leur vidéo, les services qu'ils proposent, consulter leurs profils LinkedIn pour constater que ce sont des entrepreneurs dans l'âme qui n'en sont pas à leur coup d'essai en matière de startup. Se présenter comme des experts en sécurité qui ont accroché AMD à leur tableau de chasse ça permet de s'acheter une crédibilité auprès de clients ou d'investisseurs : c'est de la comm, en mode startup. A savoir on s'épargne la R&D coûteuse et on n'attend pas 90j avant de parler de ses trouvailles.

Après je concède que c'est moins croustillant que de spéculer sur une cabale pilotée à distance par un puissant groupe financier etc... Mais encore faut-il étayer un minimum avec des faits vérifiables, sinon c'est de la désinformation
2  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 16/03/2018 à 17:42
Citation Envoyé par ABCIWEB Voir le message
Fond de pension spéculatif, ou société paravent soutenue par Intel ? Faites votre choix.
J'ai tout de suite pensé à la 2eme option. Mais en lisant (partiellement) cet interview:
https://www.anandtech.com/show/12536...-with-cts-labs

Et je penche maintenant pour une 3eme voie : une jeune startup de vautours qui cherchent à faire un coup d'éclat dans l'espoir de briller.

On dit qu'une mauvaise pub est meilleure que pas de pub. On verra bien avec eux car pour le coup, leur façon de procéder suscite pas mal de scepticisme, et pas que de Torvalds.
1  0 
Avatar de
https://www.developpez.com
Le 16/03/2018 à 9:20
Il a le droit d'avoir son opinion. La médiatiser et se faire relayer ... Cela à plus ou moins de poids pour les débats entre " moins lourd " ...
0  0 
Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 17/03/2018 à 5:41
Citation Envoyé par Aurelien.Regat-Barrel Voir le message
Et je penche maintenant pour une 3eme voie : une jeune startup de vautours qui cherchent à faire un coup d'éclat dans l'espoir de briller.

On dit qu'une mauvaise pub est meilleure que pas de pub. On verra bien avec eux car pour le coup, leur façon de procéder suscite pas mal de scepticisme, et pas que de Torvalds.
Peu probable. Comment briller dans le domaine de la sécurité en se comportant comme un irresponsable ?

De plus si j'en crois cet article, bon nombre de ces failles ont déjà été évoquées par google l'été dernier qui ne parlait pour autant de failles "majeures" et ne ciblait pas spécifiquement AMD. C'est donc possiblement du recyclage avec un peu de travail derrière pour cibler plus particulièrement Amd.

Avec le lancement papier d'Intel l'année dernière pour ses i7 8700K (processeurs disponibles en volume seulement 3/4 mois après le lancement officiel), le souvenir des coups tordus est encore très frais. Et la coïncidence de cette "alerte" avec la sortie prochaine des nouvelles versions de Ryzen devient donc très suspecte, d'autant plus qu'elle ne respecte aucune des conventions pour la divulgation des informations.
0  0 
Avatar de
https://www.developpez.com
Le 19/03/2018 à 21:30
Peu probable. Comment briller dans le domaine de la sécurité en se comportant comme un irresponsable ?
Cette phrase me fait penser à : elles ont été trouvées... Mais ont-elles été toutes trouvées ?
0  0 
Avatar de ABCIWEB
Expert éminent https://www.developpez.com
Le 22/03/2018 à 1:31
Cela ressemble donc, comme beaucoup le pressentaient, à un pétard mouillé comme dit ginjfo :

Citation Envoyé par ginjfo.com
Lors de la découverte de ce rapport de nombreux doutes ont pesé sur les réelles intentions de CTS Labs. Vous pouvez relire notre dossier à ce sujet.

Depuis l’attitude de l’entreprise semble confirmer que nous sommes bien en présence d’une sorte de pétard mouillé. Depuis leur publication, la nature « critique » de ces vulnérabilités a largement diminuée. CTS Lab est également à l’origine d’une clarification autour de ses premières allégations.

Nous apprenons que ce défauts touchent principalement les professionnels. Le niveau de protection actuel dans les domaines du réseau ou du cloud serait déjà suffisant pour se protéger…
Citation Envoyé par ginjfo.com
Les problèmes révélés par les CTSLabs sont bien réels mais ils ne sont pas aussi problématiques ou catastrophiques que cela. Bien que CTS Labs aurait demandé à Trail of Bits de revoir ses conclusions, son PDG, Dan Guido, déclare

« Meltdown et Spectre ont nécessité de nouvelles avancées en matière de recherche. En revanche, les défauts (de CTS Labs) sont bien compris depuis les années 90. Ils ne sont pas nouveaux. Il ne s’agit pas de problèmes fondamentaux et surtout sont bien maitrisés en programmation »

Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?

Dan Guido a indiqué précédemment avoir facturé CTS Labs pour le travail d’étude demandé sur les vulnérabilités. L’histoire dira si et quand il est effectivement payé. Mais il ne ménage un client dont la stratégie de communication n’a pas manqué de faire grincer des dents. En fait, il donne même plutôt l’impression de chercher à en prendre ses distances, en relativisant sensiblement la portée de ses trouvailles.
En toute logique une entreprise à plutôt intérêt à ménager ses clients, ce qui peut expliquer ce petit délai. En même temps la réalité finirait bien par se savoir, et Dan Guido n'avait pas intérêt à trop attendre pour clarifier les choses s'il ne voulait pas perdre sa crédibilité...
0  0