Le timing pour la publication des failles peut parfois tourner au casse-tête. Preuve en est avec AMD qui a mis à disposition en début de semaine des correctifs pour des failles de sécurité dans le micrologiciel des puces Epyc. La société a précisé que le problème pouvait entraîner la perte de la fonction Secure Encrypted Virtualization (SEV). L'inconvénient est que les détails de ces vulnérabilités ont été publiés par Asus dans le cadre d'une mise à jour bêta du Bios à la fin janvier. AMD n’était pas préparé et a mis un certain temps pour publier ses patchs.
Ce laps de temps aurait pu être préjudiciable à la cybersécurité des entreprises. Les spécialistes avaient exhorté les administrateurs à mettre en place des mesures d’isolement réseau et de blocage des mises à jour des correctifs en attendant la réponse d’AMD. Ce dernier avait relativisé la capacité à utiliser les brèches, « l’exécution de l'attaque nécessite un accès au système au niveau de l'administrateur local, ainsi que le développement et l'exécution d'un micrologiciel malveillant. »
Une application des patchs qui va prendre du temps
En raison de la nature des correctifs publiés, les utilisateurs doivent maintenant attendre que les OEM et d’autres partenaires mettent en œuvre les patchs dans le firmware spécifique de leur matériel. « Cette situation va peser sur les équipementiers des fournisseurs de matériel et cela peut entraîner un retard dans l'adoption », a déclaré John Price, CEO de la société de sécurité SubRosa, basée à Cleveland. Un avis partagé par Flavio Villanustre, responsable de la sécurité de LexisNexis Risk Solutions en estimant que les retards seront différents en fonction de la rapidité du fournisseur à appliquer les correctifs.
Matt Kimball, vice-président et analyste principal chez Moor Insights & Strategy considère lui qu’AMD a bien géré la situation. « Il est bon de voir AMD travailler avec sa communauté pour résoudre rapidement ces vulnérabilités. La quantité de travail nécessaire pour fournir un correctif - et le tester de manière approfondie - est considérable. Il s'agit d'une pression importante sur les ressources, d'où la bonne coordination de la part d'AMD », a-t-il déclaré.
Une longue liste de puces Epyc concernées
Flavio Villansutre insiste sur le fait que les administrateurs doivent se concentrer sur l'UEFI (unified extensible firmware interface), qui est l'interface entre l’OS et le microcode. « Si l’UEFI n’est pas mis à jour le problème du microcode reviendra à chaque démarrage des serveurs », souligne l’expert. « Cette situation montre à quel point les problèmes de firmware sont devenus un élément essentiel de l'informatique moderne », a déclaré John Price. « Cela va rendre les correctifs d'urgence plus difficiles à l'avenir. Ils nécessiteront des redémarrages complets du système », conclut le spécialiste.
A noter que le second correctif évite une attaque par canal latéral basée sur le cache, qui affecte également SEV. Ce problème concerne les « processeurs AMD Epyc de 1ère génération dont le nom de code était Naples, ceux de 2ème génération dont le nom de code était Rome, ceux de 3ème génération dont le nom de code était Milan et ceux de 4ème génération dont le nom de code était Gênes ». Le fournisseur ajoute à cette liste les puces Epyc embedded (3000, 7002, 7003 et 9004).
Commentaire