AMD : les Ryzen 5000 dotés de coeurs Zen 3 seraient vulnérables aux exploits de type Spectre

Nathan Le Gohlisse
Spécialiste Hardware
06 avril 2021 à 16h11
22
AMD Ryzen 9 5900HX © AMD
© AMD

Vous pensiez les nouveaux processeurs Ryzen 5000 d'AMD épargnés par la menace de failles similaires à Spectre ? C'est râpé. Les CPUs Ryzen de dernière génération « pourraient » bel et bien être concernés. En cause ? Le Predictive Store Forwarding (PSF).

Si vous avez suivi de près la présentation technique des processeurs Ryzen 5000, vous savez qu'en plus de leur nouvelle architecture Zen 3 et de la gravure en 7 nm assurée par TSMC, les nouvelles puces d'AMD embarquent une palanquée de technologies plus ou moins centrales, permettant d'optimiser les performances de la base matérielle. Parmi elles, le PSF : Predictive Store Forwarding.

Une technologie de prédiction qui pourrait poser problème

Dans une note de blog partagée fin mars, AMD revient plus en détail sur ce qu'est le PSF. La marque explique qu'il s'agit d'une « optimisation micro-architecturale basée sur le matériel, conçue pour améliorer les performances d'exécution du code, en prédisant les interactions entre les chargements et les sauvegardes ». Or, c'est cette technologie qui pourrait être vulnérable à des failles de type Spectre.

Comme le souligne TechPowerUp, cette annonce à demi-mots d'AMD démontre s'il le fallait encore que chaque choix de conception, en particulier au niveau micro-architectural, a ses défauts et peut résulter à la création de failles exploitables ultérieurement.

Une technologie désactivable pour un impact minime sur les performances

Dans sa note, AMD explique également que ses ingénieurs ont découvert que les logiciels basés sur le principe de l'isolation « Sandboxing » sont hautement vulnérables lorsque le PSF est actif. Le groupe a publié une enquête détaillée sur le phénomène, accessible à cette adresse .

Heureusement, cette technologie PSF peut être coupée pour limiter les risques, l'impact sur les performances étant minime : entre 0,5 et 1 % de malus selon Phoronix .

Le 5 novembre dernier, AMD commercialisait la première fournée de ses nouveaux processeurs desktop, les Ryzen série 5000. De cette première fournée, nous n’avions été en mesure de tester – en prélude à leur sortie – que les modèles « intermédiaires », les Ryzen 7 5800X et Ryzen 9 5900X. Nous prenons aujourd’hui le temps de revenir sur le petit dernier, le Ryzen 5 5600X.
Lire la suite

Modifié le 06/04/2021 à 16h11
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
15
xploitedtitan
Ce serait bien d’avoir un compte-rendu des vulnérabilités des différentes familles de CPU disponibles sur le marché, de voir la dangerosité de ces vulnérabilités (celles qui nécessitent un accès local au pc sont moins dangereuses que celles qui pourraient compromettre le pc à distance) et l’impact aux performances des solutions pour mitiger.<br /> Intel avait le plus de problèmes, mais on n’en a plus rien entendu depuis belle lurette, et ça m’étonnerait que tout soit résolu, sinon Intel s’en serait vanté pour vendre.
UncleJul
C’est bon les benchs sont sortis le marketing à touché son bonus. Bon petit détail, le matos en question c’est porte ouverte au bois de boulogne, à moins de désactiver les dix options listées ci-dessous, avec une perte maxi de 0.5 à 1% (par option).<br /> En bref…
neaufles
Rien de grave, désactivable sans pertes 1% , j’aimerais connaître les failles Intel, pour être équitable dans les infos.
Philmarc94
Les failles d’Intel n’excusent en rien celle d’AMD …
PierreKaiL
Je vois d’ici la tête du pro AMD qui envoyait ses vannes sur les failles Intel… Le plus fort étant que ce n’est pas comme si ils n’étaient pas au courant. Tous des filous, pas un pour rattraper l’autre.<br /> Une dernière question, avec leur 7nm la faille est plus petite ?<br /> Ok je sors → []
neaufles
Bien sûr.La faille AMD est là.<br /> Mais j’aimerais comparer les deux acteurs majeurs.
pascal16
Rappel, la première faille à cause du calcul prédictif était sur K6-2. AMD avait appris de ses erreurs et était passé des années plus tard à coté de pas mal de variantes spectre/meltdown, ce qui avait rassuré les professionnels sur les processeurs AMD.
Nmut
Même principe, mêmes failles… En fait c’est du au fait que l’on peut prédire le comportement des algos de prédiction pour les tromper et soit faire exécuter un code non prévu, soit accéder à des informations normalement inaccessibles.<br /> Après, les failles Intel étaient un poil plus casse-bonbon que celles d’AMD (corrections plus complexes, réduisant plus les performances et comblées de manière encore moins complète).<br /> Bon, ça reste assez théorique, il faut de la chance et du temps pour les pirates pour arriver à exploiter ces failles, monsieur et madame Toutlemonde n’ont pas grand chose à craindre de celles-ci, l’ingénierie sociale et le phishing sont infiniment plus efficaces et rentables.<br /> PS: Ta blague m’a fait sourire comme un con en visio. Tu es fier de toi? Ca m’apprendra à faire autre chose pendant les discours soporifiques de certains collègues!
clockover
La part de marché d’AMD est bien plus faible qu’Intel (à tord ou à raison là n’est pas la question) en serveur et workstation.<br /> Ca a un peu augmenté avec les Epyc et le «&nbsp;scandale&nbsp;» spectre/meltdown mais pas tant que ça.<br /> De quels professionnels parlez-vous du coup ?
pascal16
Le marché des pc d’entreprise : les postes utilisateur
clockover
Je n’ai pas les chiffres pour les postes bureautiques mais je serais très surpris qu’en entreprise les chiffres dépassent ceux du grand publique.<br /> Ce qui voudrait dire moins de 20% des PDM.<br /> Intel reprend des parts à AMD sur le marché des PC pour la première fois depuis début 2018 (clubic.com)
clockover
Même en datacentre. La part de serveurs concernés est tellement énorme…<br /> Azure, AWS, Google et tous les autres c’est clair et net qu’ils ont un paquet de machines vulnérables.
merotic
Une perte de 1% de puissance pour éviter une grosse faille de sécurité, mérite que cette technologie ne soit pas ajoutée.
Kriz4liD
C’est possible de patch cette vulnérabilité ?
Nmut
Mais un serveur peut avoir des données beaucoup plus sensibles que le PC de jeu de Kevin et donc ça peut valoir le coup de l’attaquer…<br /> @merotic<br /> Le mieux, c’est probablement une désactivation par défaut, et une activation seulement pas des spécialistes qui savent ce qu’ils font. J’ai besoin du moindre % de perf pour les simulations que j’exécute, 1%, c’est environ 2h de calcul en moins quand ma simu dure 1 semaine…
clockover
Nmut:<br /> Mais un serveur peut avoir des données beaucoup plus sensibles que le PC de jeu de Kevin et donc ça peut valoir le coup de l’attaquer…<br /> Bien sûr mais pour l’instant l’actualité n’en indique rien.<br /> Alors que dans le monde, la grande majorité des serveurs sont vulnérables.
Garden_Dwarf
Moi aussi j’ai une faille, et je suis assis dessus. Bonne chance pour rentrer.
Nmut
Vu comme ça…<br /> Ca me fait penser aux pauvres gars qui ont un business et qui n’avaient pas de backups ni de plan de secours et qui ont eu un serveur cramé chez OVH. La probabilité de ce genre d’incident est très proche de zéro, mais ils ont plombé leur business par manque de prudence/prévision…
clockover
Je reste juste factuel… pour arrêter de gober les belles promesses et les beaux discours.<br /> Je suis hébergeur de donnée de santé.<br /> Je suis plutôt pointilleux niveau sécurité, sous-traitance mais il ne faut pas se leurrer.
pecore
Si je me rappelle bien pour corriger la dernière grosse faille INTEL il fallait perdre 5% de capacité, voire plus et il l’ont fait quand même alors 0,5 à 1% à coté c’est peanuts. Surtout si ce n’est utilise que lors de l’utilisation de certains logiciels pro.
stratos
AMD a eu plusieurs failles comme intel, certaines chez AMD peuvent pas être réglé, et certainement chez intel.<br /> Après les pertes doivent êtres dans des taches bien spécifiques. intel je me rappelle que la faille impactait les server en perte de puissance mais pour un utilisateur lambda c’était invisible comme pour du jeux vidéos<br /> Bref c’est l’informatique
beubeu
Bof, Intel on perd 5% voir plus par lot de 2 failles découvertes, et ici on en a une seule pour 0.5-1%… Mafois les pro AMD ne vont pas aller se pendre pour si peu je pense.
Voir tous les messages sur le forum

Lectures liées

Intel : le package de l'i9-12900K est fou, mais... quel intérêt ?
Le Core i9-12900K 'Alder Lake' ne serait pas un rêve d'overclockeur
Encore un peu plus pessimiste qu'AMD, Intel voit la pénurie durer au moins jusqu'en 2023
La DDR5 « LEGO » de chez Galax dévoile de premiers benchs
Nouveau MacBook Pro : pas de support d'eGPU malgré le Thunderbolt 4
Les MacBook Pro 2021 en M1 Max disposent d'un mode
Offre Fnac du jour : les adhérents bénéficient de 20€ crédités tous les 150€ d’achats, à vous les meilleurs produits tech !
La DDR5 jusqu'à 60 % plus chère que la DDR4
L'excellent Lenovo Ideapad 3 chute à un prix digne du Black Friday chez Darty !
Apple : le GPU du M1 Max est 3 fois plus rapide que celui du M1, bench à l'appui !
Haut de page