Un chercheur en cybersécurité a découvert une faille critique dans un logiciel d’AMD, poussant l’entreprise à publier un correctif. Malgré cette contribution, il n’a pas reçu la prime de 10 000 dollars qu’il espérait obtenir.
Face à la menace cyber, nombre d’entreprises technologiques mettent en place des programmes de primes pour les chercheurs qui parviennent à découvrir des vulnérabilités sur leurs produits. Comme AMD qui propose un programme de bug bounty via la plateforme Intigriti. Les récompenses peuvent monter jusqu’à 30 000 dollars pour les vulnérabilités les plus critiques. Encore faut-il que la faille détectée soit éligible…
Un chercheur découvre une faille critique dans l’outil de mise à jour d’AMD
Un chercheur néo-zélandais connu sous le pseudonyme de Paul vient d’en faire l’amère expérience. Il y a quelques mois, il identifie une vulnérabilité d’exécution de code à distance (RCE) dans AutoUpdate, un outil chargé de gérer automatiquement les mises à jour des pilotes et composants d’AMD sur les PC. Son fonctionnement repose sur une chaîne de requêtes en plusieurs étapes.
Dans un premier temps, il récupère un fichier de configuration XML via une requête HTTPS. Ce fichier contient ensuite l’ensemble des liens de téléchargement des exécutables de mise à jour. Or ces liens sont tous fournis en HTTP non chiffré. Par conséquent, un attaquant présent sur le même réseau, ou une entité ayant accès au FAI de la victime, peut intercepter les requêtes via une attaque de type MITM et substituer l’exécutable légitime par un fichier malveillant.
124 jours entre le signalement de la faille et le déploiement du correctif par AMD
Autre constat du chercheur : AutoUpdate n’effectue aucune validation des fichiers téléchargés, qui sont exécutés immédiatement après leur récupération, d’après l’analyse du code décompilé. Paul décide alors de détailler sa trouvaille sur son blog MrBruh et de la signaler à AMD. S’ensuivra une période de coopération marquée par une demande de retrait temporaire de sa publication et un embargo de divulgation. Au total, 124 jours se seront écoulés entre le signalement initial et la publication du correctif.
Malgré sa contribution, aucune récompense ne lui sera versée. “Malheureusement, les conditions générales de leur programme de primes aux bogues stipulent que les attaques de type man-in-the-middle sont hors de son champ d’application, et le dossier a donc été clos”, explique-t-il sur son blog. AMD exclut également de son programme “les vulnérabilités présentes dans les outils et logiciels optionnels” comme AutoUpdate.
Le chercheur confirme que le protocole HTTPS a été pleinement adopté depuis le déploiement du correctif. Alors qu’ADM assure que “les mises à jour font désormais l’objet d’une vérification de signature“, Paul estime toutefois que cette affirmation est fausse : “Ils n’effectuent qu’un contrôle CRC-32 sur le fichier exécutable téléchargé, ce qui n’est pas cryptographiquement sûr”.
