Des chercheurs ont découvert une importante faille de sécurité dans les unités de traitement graphique (GPU) des grands fabricants technologiques, dont Apple, Qualcomm et AMD. Cette vulnérabilité pourrait potentiellement permettre à des attaquants d’extraire de grandes quantités de données de la mémoire des GPU concernés.
Les GPU, un angle mort en matière de cybersécurité
Les chercheurs de la société de cybersécurité américaine Trail of Bits ont découvert une vulnérabilité baptisée LeftoverLocals dans les unités de traitement graphique (GPU) des géants de la technologie Apple, AMD et Qualcomm.
La faille, identifiée en septembre 2023 et suivie sous CVE-2023-4969, cible spécifiquement la mémoire locale des GPU. Cette dernière est utilisée pour optimiser les performances d’applications telles que les modèles d’apprentissage automatique (LLM).
La mémoire locale est une petite zone de mémoire rapide située dans le GPU. Cette partie agit comme un cache géré par logiciel que les développeurs peuvent utiliser pour optimiser les performances en stockant des données fréquemment utilisées.
Les GPU n’ont pas été conçus à l’origine avec le même degré de confidentialité des données que les unités centrales de traitement (CPU). Cela a créé une vulnérabilité de sécurité qui permet l’exfiltration potentielle d’informations sensibles.
Risque d’exposition pour les données sensibles des utilisateurs
Selon les chercheurs, cette faille pourrait potentiellement permettre à des attaquants d’extraire 5 à 180 Mo de données de la mémoire d’un GPU. Les hackers peuvent notamment voler les contenus générés par l’IA ou des algorithmes propriétaires.
Les LLM sont particulièrement sujets à cette attaque, leurs opérations d’algèbre linéaire utilisant largement la mémoire locale pour leurs performances. Cependant, toute application utilisant la mémoire locale pourrait être menacée, notamment le traitement d’images et les graphiques.
Cette vulnérabilité présente donc un risque important dans le domaine de l’IA, en particulier pour les entreprises qui se concentrent sur la formation de LLM. La faille a déjà été signalée au centre de coordination du CERT (centre d’alerte et de réaction aux attaques informatiques), afin de fédérer les industriels et de les sensibiliser au problème.
Faille dans les GPU : la réponse des grandes entreprises technologiques concernées
Face au nombre d’appareils concernés, il est difficile de fournir des correctifs pour corriger la vulnérabilité. Apple a confirmé que ses derniers processeurs A17 et M3, lancés fin 2023, corrigent cette faille. Néanmoins, de nombreux appareils antérieurs à ces puces restent menacés.
Qualcomm est en train de diffuser des mises à jour de sécurité pour ses produits, tandis qu’AMD prévoit de proposer des atténuations facultatives d’ici mars. Les fabricants d’appareils et les développeurs de GPU doivent collaborer étroitement pour fournir des mises à jour de sécurité aux utilisateurs. Google a déjà répondu en publiant des correctifs pour ses appareils Chrome OS équipés de GPU AMD et Qualcomm vulnérables.
Malgré les mesures prises par les entreprises pour contenir et éliminer cette faille, le défi de la sécurisation de la mémoire des GPU reste une préoccupation pressante, d’autant plus que ces puces sont de plus en plus intégrées aux processeurs dans les configurations de systèmes sur puce (SoC).
- Partager l'article :