Pendant près d’une décennie, AMD a offert une fonction de sécurité discrète mais puissante sur de nombreux de ses processeurs grand public : le chiffrement transparent de la mémoire sécurisée, ou TSME. Il chiffrait tout ce qui était stocké dans la mémoire système, rendant les attaques par démarrage à froid et autres exploits physiques essentiellement inutiles. Puis AMD l’a supprimée de ses puces grand public, sans même prendre la peine d’en informer personne.
La fonction, parfois commercialisée sous le nom d'AMD Memory Guard, fonctionne en générant une clé de chiffrement au démarrage via le processeur sécurisé d'AMD. Chaque octet écrit en mémoire RAM est chiffré de manière transparente, sans nécessiter d'intervention du système d'exploitation.
Ce qui s'est passé et pourquoi cela compte
AMD a introduit le TSME dès 2017, initialement en tant que fonction standard sur ses processeurs Ryzen PRO destinés aux environnements professionnels et entreprises. Au fil du temps, cette protection s'est étendue aux puces Ryzen grand public d'entrée de gamme.
Ensuite, sans aucune annonce publique ni modification de la documentation, AMD a commencé à désactiver la fonction au niveau du silicium sur certains modèles grand public non PRO. Le Ryzen AI Max+ 395 est un exemple confirmé où le TSME a été désactivé par conception.
Voici le problème : ce n’était pas une mise à jour du micrologiciel que les utilisateurs pouvaient remarquer. La fonction a été supprimée au niveau matériel, ce qui signifie qu’aucun commutateur logiciel ne pouvait la réactiver. Détecter si le TSME est actif sur une machine Windows s’avère étonnamment difficile, nécessitant potentiellement des outils basés sur Linux ou des vérifications diagnostiques spécialisées pour le confirmer.
Les implications en matière de sécurité sont réelles
Les attaques par redémarrage à froid semblent exotiques, mais elles constituent une menace bien documentée. Un attaquant ayant un accès physique à une machine peut congeler les modules RAM, les retirer et lire les données résiduelles avant qu’elles ne se dégradent. TSME neutralise cela en garantissant que les données en mémoire sont toujours chiffrées, quel que soit l’action du système d’exploitation.
Le coût en performance de cette protection est minimal. La documentation d'AMD évalue la surcharge à généralement moins de 5 %.
AMD semble établir une distinction plus nette entre ses gammes de produits PRO et non PRO. Les puces PRO conservent TSME comme fonction standard. Les puces grand public, même haut de gamme, ont cette fonction désactivée au niveau du silicium. Même architecture, même procédé de fabrication, configuration de fusibles différente.
Pourquoi les utilisateurs de crypto doivent prêter attention
Si vous utilisez une interface de wallet matériel, gérez des clés privées ou exécutez un logiciel de nœud sur un système AMD grand public, cela vous concerne directement. Le chiffrement de la mémoire offre une couche de défense contre les attaques physiques ciblant les clés cryptographiques et les données sensibles stockées en RAM pendant le fonctionnement.
Les portefeuilles matériels stockent les clés dans des éléments sécurisés, mais la machine hôte effectue toujours des opérations sensibles lors de la signature de transactions, de l'initialisation du wallet et des mises à jour du firmware. Un bus mémoire non chiffré sur la machine hôte crée une surface d'attaque potentielle que TSME a été conçu pour fermer.
Pour toute personne exécutant des nœuds validateurs, une infrastructure de staking ou des opérations DeFi sur du matériel basé sur AMD, l'absence de chiffrement de la mémoire signifie qu'un accès physique à la machine pourrait potentiellement exposer des clés privées, des phrases secrètes ou des jetons de session présents en mémoire. Cela est particulièrement pertinent pour les opérateurs dans des centres de données mutualisés où la sécurité physique est partagée plutôt qu'absolue.
Intel propose sa propre technologie de chiffrement de la mémoire, Total Memory Encryption, sur certaines lignes de processeurs. La disponibilité élargie de cette fonctionnalité sur l'ensemble de sa gamme grand public pourrait devenir un différentiateur significatif pour les acheteurs soucieux de la sécurité.
Les utilisateurs qui ont choisi AMD en partie en raison de sa posture de sécurité doivent désormais vérifier la disponibilité des fonctionnalités sur chaque puce qu'ils achètent, avec des outils qui ne sont pas simples sur le système d'exploitation de bureau le plus populaire au monde.