AMD rétablit le chiffrement mémoire sur ses processeurs grand public après la fronde des utilisateurs

AMD a déclaré qu'il réactiverait le Transparent Secure Memory Encryption (TSME) — la fonction désactivée sur les processeurs Ryzen 9000 lancés en mai — au moyen d'une mise à jour de microcode. L'entreprise a indiqué à Ars Technica que la décision avait été prise «en réponse aux retours des utilisateurs et aux contributions de la communauté de la recherche en sécurité».

TSME est une fonction qui chiffre automatiquement, au niveau matériel, les données conservées par la RAM en mémoire système. Même si un attaquant accède physiquement aux puces RAM (par exemple lors d'une attaque «cold boot» ou «evil maid»), lire des données non chiffrées devient extrêmement difficile. La fonctionnalité est depuis longtemps standard sur les processeurs serveur de la gamme EPYC, et présente sur la gamme grand public depuis 2022.

Lorsque AMD a laissé TSME désactivé par défaut sur la nouvelle gamme Ryzen 9000 (Zen 5), la communauté d'utilisateurs et les chercheurs en sécurité y ont vu une régression sérieuse. Le développeur du noyau Linux Greg Kroah-Hartman a déclaré : «Abaisser la posture de sécurité par défaut d'un appareil laisse des données exploitables sur des millions de machines».

Le commentaire d'AMD a été bref : «TSME a un petit coût en performance ; nous reconnaissons que, pour la plupart des charges grand public, ce coût n'est pas perceptible. Nous déploierons la mise à jour de microcode cet été». L'entreprise a indiqué que la principale raison du retard était un travail de vérification supplémentaire sur les attaques par canal auxiliaire du noyau.

L'impact sur les performances a fait débat. Les propres tests d'AMD montrent que TSME entraîne une baisse de 1 à 2 % sur les charges de jeu et de bureautique générale. L'écart grimpe jusqu'à 4 % sur la virtualisation et les bases de données.

L'équivalent Intel, Total Memory Encryption (TME), est activé par défaut depuis la famille Core de 12e génération (Alder Lake). Mais Intel réserve toujours la fonction TME-Multi-Key (TME-MK) à ses processeurs Xeon, ce qui permet l'isolement par chiffrement entre machines virtuelles.

Microsoft, depuis la mise à jour Windows 11 24H2, sélectionne automatiquement les systèmes équipés de TME pour la configuration du chiffrement de disque BitLocker. Le rétablissement de TSME par AMD pourrait déclencher une détection automatique similaire pour Ryzen 9000 sous Windows.

Pour les acheteurs en entreprise, cela compte. Pour un DSI, le fait que la mémoire soit automatiquement chiffrée en cas de perte ou de vol d'un ordinateur portable réduit le risque de fuite d'informations. La directive européenne NIS2 et la loi américaine Cyber Incident Reporting ont durci les obligations de notification dans ce type d'incidents.

Depuis le noyau Linux 6.10, une option permet d'activer obligatoirement TSME au démarrage (`mem_encrypt=on`). Avec le nouveau microcode d'AMD, cette option fonctionnera de manière cohérente sur Ryzen 9000. Côté Windows, Microsoft teste actuellement une mise à jour pilote équivalente dans ses builds Insider.

Le chercheur en sécurité Daniel Gruss (TU Graz) a déclaré à Ars Technica : «Le chiffrement mémoire n'est pas à lui seul une solution miracle, mais c'est une couche de sécurité fondamentale ; le voir désactivé par défaut en 2026 est inacceptable». La façon dont les fabricants de PC grand public traiteront la fonction dans leurs prochaines mises à jour BIOS déterminera l'efficacité réelle de la nouvelle approche d'AMD.