[GoLLuM13]

Sans vouloir faire dans le sensationnel, être alarmiste ou faire un titre racoleur 👀

Les processeurs AMD qui ont pour architecture Zen 2 ont un autre point commun, une faille baptisée CVE-2023-20593 ou plus simplement pour nous autres les humains Zenbleed.

Cette faille a été débusquée par Travis Ormandy de l'équipe de Google Information Security et qui a tout documenté >>ici même<< (c'est en anglais et très technique). Quant aux équipes AMD, ils n'ont documenté cette faille sous l'indicatif AMD-SB-7008 que le 24 juillet 2023 alors qu'ils avaient été prévenus le 15 mai 2023, soit plus de deux mois après.

Tout d'abord, cela concerne qui ? Comme on l'a dit, les CPU avec architecture Zen 2, c'est-à-dire :

• AMD Ryzen 3000 series "Matisse"
• AMD Ryzen PRO 3000 series "Castle Peak"
• AMD Ryzen Threadripper 3000 series "Castle Peak"
• AMD Ryzen 4000 series w/ Radeon Graphics "Renoir"
• AMD Ryzen PRO 4000 series "Renoir"
• AMD Ryzen 5000 series w/ Radeon Graphics "Lucienne"
• AMD Ryzen 7020 series w/ Radeon Graphics "Mendocino"
• AMD EPYC "Rome"

Quelle est cette faille ? (En résumé pour un humain)

Cette vulnérabilité permet au sein des registres d'un des cœurs du processeur d'en extraire le contenu et ainsi d'accéder à des données stockées pour d'autres usages (tel que des mots de passes). Cette faille n'a pas besoin d'accès physique à la machine pour être exploitable. Et une page avec un script JavaScript pourrait faire l'affaire. Si tout cela vous rappelle les failles Spectre/Meltdown qui avaient touché Intel il y a quelques années, c'est normal, car c'est approximativement la même chose, à la différence que cette faille est indétectable.

Un CPU AMD qui divulgue le contenu de ses registres
(cliquez sur l'image si elle ne s'affiche pas)

Quelle est la solution ? Que faut-il faire ?
Pour le moment, aucune solution n'est disponible de la part d'AMD, mis à part si vous avez un CPU EPYC 7002 (c'est-à-dire les processeurs pour data center sous architecture Zen 2), ceux-là ont un patch (micro code) disponible. Pour les autres utilisateurs, des firmwares AGESA (qui font partie du BIOS) devraient arriver, mais pas avant octobre 2023, le calendrier AMD se découpe comme suit (théoriquement, si aucun re-tard n'est pris) :

• Ocotbre 2023 : Epyc Zen 2 "Rome" et Threadripper 3000 Series.
• Novembre 2023 : Threadripper PRO 3000WX Series Processors "Castle Peak" et Ryzen 4000 Series w/ Radeon Graphics “Renoir”).
• Décembre 2023 : Tout le reste.

Entre-temps, il ne sert à rien de psychoter, il vous suffira de ne pas aller sur n'importe quel site et de ne pas cliquer sur n'importe quoi (comme d'habitude).

Vous l'aurez compris, tout constructeur peut être confronté à une faille de sécurité, et celle-là est loin d'être anecdotique. Cependant, inutile de paniquer, surtout si vous faites attention à ce que vous faites avec votre PC. En plus, AMD a déclaré à Tom's Hardware ce qui suite :

Tout impact sur les performances variera en fonction de la charge de travail et de la configuration du système. AMD n’a connaissance d’aucun exploit connu de la vulnérabilité décrite en dehors de l’environnement de recherche.

En d'autres termes, patience est maitre mot, que ce soit pour une solution ou pour des benchs pour voir s'il y aura un impact (comme ça a été le cas avec Intel).

[Valiguard]

Merci pour l'info, à voir les futur patch et les pertes de perf.

[GoLLuM13]

@Valiguard merci à toi, j'ai essayé de me retenir en ne disant pas trop ce que je pense d'AMD, surtout que bien entendu, j'ai un Ryzen 3000 donc probablement pas de correctif avant décembre, youpiii 😅

[Valiguard]

@GoLLuM13 surtout que de mémoire tu avais déjà eu un soucis avec eu 😁

[GoLLuM13]

@Valiguard c'est exact, il s'agissait d'un dysfonctionnement (bug) introduit au niveau de l'AGESA, et vu leur lenteur et leur "professionnalisme" ça ne m'étonne même pas que ça prenne autant de temps 👀 en plus les dates données ce sont les dates qu'AMD cible pour sortir ces correctifs, mais après ça, il faudra que les constructeurs de cartes mères implémentent ça à leurs différents BIOS ce qui prendra encore plus de temps 😅 c'est pour ça qu'il faut rester "Zen" (désolé pour le jeu de mots 😜)

[Valiguard]

@GoLLuM13 Je pense passer par tes conseils en fin d'année pour ma futur hypothétique config, même si on n'est pas a l’abri de surprise entre temps 😂

[GoLLuM13]

@Valiguard en fin d'année, il devrait y avoir un refresh chez les deux, donc on verra d'ici là ce que ça donnera en termes de performances