Introduction

Une faille de sécurité critique a été découverte dans le système de mise à jour automatique de AMD, permettant aux attaquants de réseau d'insérer du code malveillant lors des mises à jour routinières. Le chercheur qui a trouvé cette faille, Paul LaRosa, a signalé le problème à AMD et a attendu une prime de 10 000 $, mais la société a refusé de payer.

Contexte Technique

La faille de sécurité était due au fait que le système de mise à jour automatique de AMD utilisait des connexions HTTP non sécurisées pour télécharger des logiciels. Cela permettait aux attaquants de réaliser une attaque de type « man-in-the-middle » et de remplacer les téléchargements de pilotes légitimes par du code malveillant. Le système de l'utilisateur installait ensuite le code malveillant, croyant qu'il provenait d'AMD.

La faille affectait les utilisateurs qui avaient utilisé des utilitaires AMD qui géraient les mises à jour automatiques. La vulnérabilité créait une voie pour les attaquants d'obtenir une exécution de code à distance, leur permettant essentiellement de contrôler la machine de l'utilisateur à travers un processus de mise à jour qui devrait être fiable.

Analyse et Implications

AMD a reconnu la faille, mais a refusé de payer la prime, citant des exclusions de politique pour les attaques de type « man-in-the-middle ». La société a demandé à LaRosa de retarder la divulgation publique de la faille, promettant de corriger le problème dans les 90 jours. Cependant, la société a demandé plus de temps à plusieurs reprises, et le patch final est arrivé 124 jours après le signalement initial.

Cela contraste avec les meilleures pratiques de sécurité, qui recommandent de corriger les failles de sécurité critiques dans les 5-14 jours, et non après plus de quatre mois. La faille a également mis en évidence les problèmes de sécurité plus profonds qui existent chez AMD, car le logiciel mis à jour utilise toujours des sommes de contrôle CRC32 pour valider les fichiers téléchargés, ce qui n'est pas sécurisé.

Perspective

Cet incident soulève des questions sur la façon dont les grandes entreprises gèrent la sécurité, en corrigeant les problèmes immédiats, en évitant de payer les chercheurs à travers des failles de politique, et en laissant les faiblesses sous-jacentes en place. Les utilisateurs se demandent quels autres « systèmes de mise à jour sécurisés » sont vulnérables de la même manière, et si les entreprises se soucient plus de leur budget de prime que de la sécurité de leurs systèmes.