Je parlais ici des 13 failles des processeurs. AMD les a reconnues et a promis que des correctifs seraient mis en place dans les prochaines semaines.
Les patchs ne devraient pas influer sur les performances des dispositifs.
Dans un communiqué de presse publié mardi passé, AMD minimise la menace en déclarant que « tout attaquant ayant un accès administratif non autorisé disposerait d’un large éventail d’attaques bien au-delà des failles identifiées dans cette recherche ».
CTS Labs, le laboratoire de recherche ayant découvert les failles, a été pointé du doigt pour la manière dont les vulnérabilités ont été divulguées.
En effet, moins de 24 heures se sont écoulées entre le moment où les chercheurs ont prévenu AMD et le moment ou ils ont révélé les détails de l’affaire au public. Cependant, les chercheurs n’ont divulgué aucune information technique sur les défauts des processeurs.
Selon Ilia Luk-Zilberman, directeur technique de CTS-Labs, le processus actuel de » divulgation responsable » pose deux problèmes importants :
- Si le chercheur donne une limite de 30/45/90 jours au fournisseur concerné, il est extrêmement rare que le fournisseur informe ses clients des vulnérabilités de sécurité non corrigées au cours de cette période, ce qui les laisse inconscients des risques potentiels.
- Si les fournisseurs ne réagissent pas ou ne corrigent pas la vulnérabilité au cours de cette période de divulgation de 90 jours, les chercheurs peuvent fièrement préférer rendre publics tous les détails techniques des défauts, mettant ainsi leurs clients en danger.
Zilberman propose avec la méthode adoptée ici un processus alternatif de « divulgation responsable » :
- Il tient les clients au courant
- Il s’assure que le public exerce une pression suffisante pour que la société applique les correctifs le plus rapidement possible
- Il fait vérifier les failles par des experts et ne met jamais les clients en danger.
« Je pense qu’une meilleure façon de procéder serait d’informer le public le jour 0 qu’il y a des vulnérabilités et quel en est l’impact. Aviser le public et le vendeur ensemble. Et de ne jamais divulguer les détails techniques à moins qu’ils ne soient déjà fixés. Mettre toute la pression du public sur le fournisseur dès le départ, mais ne jamais mettre les clients en danger « , a déclaré M. Zilberman.
CTS Labs a également affirmé qu’AMD pourrait prendre plusieurs mois pour publier des correctifs et que certains des problèmes ne pourraient pas être corrigés.
