AMD fait face à une controverse embarrassante concernant une fonction de sécurité que de nombreux utilisateurs avancés considéraient comme disponible sur les processeurs Ryzen grand public. Cette fonctionnalité s’appelle Transparent Secure Memory Encryption (TSME) et permet de chiffrer de manière transparente l’intégralité de la mémoire RAM directement via le firmware, sans intervention du système d’exploitation. Son objectif est de réduire le risque d’attaques physiques contre la mémoire, telles que les attaques ‘cold boot’, l’extraction de modules ou l’interception de signaux sur l’interface DRAM.
Le problème ne se limite pas au fait que TSME semble avoir disparu sur certains Ryzen non professionnels après des mises à jour de firmware avec AGESA 1.2.7.0. La situation la plus critique réside dans le fait que ce changement aurait été opéré sans communication publique claire de la part d’AMD, avec des BIOS affichant encore l’option activée alors que le système ne signale plus de mémoire chiffrée. De plus, sous Windows, l’utilisateur moyen n’a pas de moyen simple de vérifier l’état de la fonctionnalité.
Une enquête initiée par Ben Kilpatrick et suivie sur plusieurs mois sur GitHub suggère que le support de TSME aurait cessé de fonctionner sur les processeurs Ryzen grand public alors qu’il reste actif sur les modèles Ryzen Pro. Selon les réponses connues à ce jour, AMD aurait indiqué par email que TSME est une fonction de sécurité réservée aux CPU Pro dans le cadre d’AMD PRO Technologies. La question clé est de savoir s’il s’agit d’une régression due à un firmware ou d’une décision stratégique de segmentation commerciale non communiquée de manière transparente.
Qu’est-ce que TSME et pourquoi est-ce important
TSME constitue une version transparente du chiffrement de mémoire d’AMD. Contrairement à SME, qui permet au système d’exploitation de marquer certaines pages mémoire comme chiffrées, TSME fonctionne directement via le firmware en chiffrant toute la RAM avec une clé unique générée au démarrage par le AMD Secure Processor. Lorsqu’elle est activée dans le BIOS et opérationnelle, cette technologie permet au système de fonctionner sans que l’utilisateur ou le système d’exploitation aient à gérer manuellement les pages chiffrées.
Son intérêt principal réside dans des scénarios où un attaquant pourrait avoir un accès physique à l’appareil ou à ses modules mémoire. Elle n’offre pas une protection contre tous les types d’attaques et ne remplace pas le chiffrement du disque dur, le Secure Boot ou une authentification robuste. Toutefois, elle ajoute une couche de sécurité importante : si quelqu’un tente d’extraire des données de la RAM hors du flux normal du système, ces données devraient être beaucoup moins exploitables.
| Technologie | Fonction | Gestionnaire |
|---|---|---|
| SME | Chiffrement ciblé de pages mémoire spécifiques | Système d’exploitation ou hyperviseur |
| TSME | Chiffrement transparent de toute la mémoire | Firmware/BIOS |
| SEV | Chiffrement de mémoire de machines virtuelles | Plateforme de virtualisation et matériel |
| AMD Memory Guard | Chiffrement de mémoire pour les appareils AMD Pro | Plateforme Pro |
| Chiffrement disque | Protection des données stockées sur SSD/HDD | Système d’exploitation et TPM |
Il est important de noter que TSME était perçue comme une solution pratique pour les utilisateurs ne souhaitant pas gérer la configuration complexe du kernel, des options de démarrage ou du support spécifique au système d’exploitation. Assez simplement, si la BIOS proposait cette option et que le firmware la validait, la mémoire était censée être chiffrée automatiquement.
Découverte : l’option était dans le BIOS, mais ne fonctionnait pas
Le problème a été mis en lumière lorsque Ben Kilpatrick, utilisateur Linux soucieux de sa vie privée, a installé un nouveau système d’exploitation sur une machine équipée d’un Ryzen 7 9700X. En examinant l’état de sécurité via Host Security ID, une fonctionnalité intégrée à fwupd, il a constaté que « RAM chiffrée » était indiqué comme non supporté, alors que TSME était bien activé dans le BIOS.
Ce détail a lancé une investigation technique impliquant des utilisateurs, des ingénieurs d’AMD et le fabricant de la carte mère MSI. Les tests ont comparé différentes versions de firmware et processeurs. Selon les résultats communiqués, certains Ryzen grand public conservaient TSME actif avec d’anciens firmware, mais le support semblait disparaître avec AGESA 1.2.7.0. En revanche, les Ryzen Pro maintenaient cette capacité.
| Élément observé | Résultat |
|---|---|
| Ryzen grand public avec ancien firmware | TSME pouvait apparaître comme actif |
| Ryzen grand public avec AGESA 1.2.7.0 | TSME indiqué comme non supporté |
| Ryzen Pro | Support toujours présent |
| Option dans le BIOS | Peut encore être visible |
| Détection sous Windows | Pas d’outil facile pour l’utilisateur |
| Détection sous Linux | Requiert des outils et connaissances techniques |
Le point le plus préoccupant n’est pas la simple disparition d’une fonction, qui peut résulter de choix commerciaux ou de limitations techniques. Ce qui est grave, c’est qu’une option de sécurité puisse rester activée dans le BIOS sans que cela ne corresponde à une protection réelle en fonctionnement.
Bug de firmware ou segmentation de produit
La question cruciale demeure : AMD a-t-elle désactivé TSME par erreur sur les Ryzen grand public ou a-t-elle décidé de le réserver aux modèles Ryzen Pro et EPYC ? La différence est majeure. Si c’est un bug, il doit être corrigé. Si c’est une décision commerciale, elle doit être explicitement expliquée, car elle influence la perception de sécurité pour les utilisateurs ayant déjà acheté ces produits.
Le sujet se complique car des précédents montrent qu’AMD avait laissé entendre que TSME pouvait être supporté sur certains processeurs Ryzen non Pro si la BIOS le proposait. Ce patrimoine historique contredit la nouvelle position que l’on attribue désormais à AMD, à savoir que TSME se limiterait aux CPU Pro dans le cadre d’AMD PRO Technologies.
| Possible explication | Implication |
|---|---|
| Régression dans AGESA | AMD pourrait restaurer le support avec une nouvelle version du firmware |
| Segmentation commerciale | TSME réservé à Ryzen Pro et EPYC |
| Changement de politique non communiqué | Problème de transparence vis-à-vis des utilisateurs et des fabricants |
| Limitation de la validation | AMD pourrait préférer n’autoriser TSME que sur du matériel certifié | Erreur d’affichage dans le BIOS | Les fabricants de cartes mères devraient retirer ou clarifier l’option |
Le silence d’AMD après cette découverte n’arrange pas la situation. Un ingénieur a fini par répondre qu’il n’avait pas plus d’informations à communiquer. Si cela peut relever d’une limite technique ou d’un choix stratégique, cela laisse néanmoins les utilisateurs dans l’incertitude. Certains cherchent à savoir si leur appareil a perdu une véritable protection ou si l’option a simplement été désactivée sans leur prévenir.
Pourquoi cela ne concerne pas tous les utilisateurs de la même manière
Pour la majorité des utilisateurs domestiques, la perte de TSME ne modifie pas radicalement le niveau de risque. Les attaques physiques contre la RAM nécessitent un accès direct ou des scénarios matériels très spécifiques. Il ne s’agit pas d’une faille distante accessible depuis Internet, ni d’un bug qui rendrait tous les Ryzen potentiellement vulnérables.
Le problème est plus sérieux pour les laptops, appareils de déplacement, professionnels manipulant des données sensibles, journalistes, avocats, activistes, chercheurs, administrateurs système, utilisateurs dépendant du chiffrement de disque, ou dans des organisations où le vol ou l’incarcération physique du matériel est une menace réelle. Dans ces cas-là, le chiffrement mémoire représente une couche supplémentaire de sécurité, car les clés, jetons ou autres secrets peuvent momentanément résider en RAM.
| Profil utilisateur | Impact probable |
|---|---|
| Utilisateur domestique | Faible dans la plupart des situations |
| Joueur ou PC de loisirs | Faible |
| Laptop de déplacement, usage professionnel | Moyen selon contexte |
| Professionnels avec données sensibles | Moyen à élevé |
| Entreprises avec politiques strictes | Élevé si le chiffrement mémoire était prévu |
| Acteurs en environnement sensible ou à risque élevé | Élevé en cas d’incident physique |
| Infrastructures critiques | Devraient utiliser du matériel validé |
Ce n’est pas une lecture alarmiste de dire qu’il ne faut pas sous-estimer l’importance de la sécurité physique. Elle reste essentielle lorsque les barrières logiques seul ne suffisent pas.
TSME ne remplace pas le chiffrement de disque
Une erreur courante consiste à confondre le chiffrement de mémoire avec le chiffrement de disque. Ce sont deux couches distinctes. BitLocker, LUKS, FileVault ou autres solutions protègent les données stockées lorsque la machine est éteinte ou correctement verrouillée. En revanche, TSME protège le contenu de la RAM contre certains attaques physiques lorsqu’elle est alimentée, en veille ou dans des conditions où des secrets peuvent temporairement séjourner en mémoire.
Si un portatif est entièrement chiffré et éteint, c’est principalement le chiffrement du disque qui assure la sécurité. Lorsqu’il est allumé, déverrouillé ou en veille avec des clés présentes en mémoire, un attaquant ayant un accès physique peut tenter d’extraire des informations de la RAM. Là résident des technologies comme TSME ou AMD Memory Guard.
| Couche | Protection contre |
|---|---|
| Chiffrement de disque | Vol de SSD/HDD ou machine éteinte |
| TPM | Protection et sécurisation des clés |
| Secure Boot | Démarrage sécurisé empêchant l’exécution de code non autorisé |
| Verrouillage de session | Accès non autorisé à l’appareil |
| TSME | Potentialle lecture physique de la RAM sous certains scénarios |
| MFA | Vol de crédentiels d’accès |
| Arrêt complet | Réduction de l’exposition des secrets en RAM |
Pour les utilisateurs confrontés à une vraie menace physique, il demeure conseillé d’éteindre complètement l’appareil lors des déplacements, plutôt que de le simplement mettre en veille, de combiner chiffrement du disque, TPM, Secure Boot, mots de passe robustes et politiques d’accès strictes.
Le fond du problème : une fonction invisible pour l’utilisateur
L’aspect le plus préoccupant concerne le manque de visibilité. Une fonction de sécurité activée dans le BIOS mais dont l’état réel n’est pas facilement accessible sous Windows ou par des outils standards crée une illusion de protection. L’utilisateur peut croire bénéficier d’une défense qui, en réalité, n’est plus effective.
Sous Linux, il est possible d’enquêter via fwupd, HSI, logs et vérifications techniques avancées. Mais même là, cela reste complexe pour la majorité. Sous Windows, le problème est encore plus marqué car aucune outil intégré courant ne permet de confirmer clairement si la RAM est chiffrée par TSME.
| Problème | Conséquence |
|---|---|
| Option visible dans le BIOS | Le utilisateur pense que la protection est active |
| Firmware désactivant la protection | La protection n’existe pas réellement | Windows ne le montre pas facilement | Les utilisateurs ne détectent pas ce changement |
| Linux nécessite une vérification technique | Seuls les utilisateurs avancés peuvent s’en apercevoir |
| Absence d’information officielle claire | Pas d’attente claire quant au support réel |
| Constructeurs de cartes mères dans l’incertitude | BiOS peut afficher une option non supportée par le CPU/AGESA |
Dans le domaine de la sécurité, la transparence est aussi importante que la fonction elle-même. Une protection qui disparaît sans alerte peut être pire qu’une absence de protection, car elle induit une confiance erronée chez l’utilisateur.
AMD Pro, EPYC et la valeur commerciale de la sécurité
La position d’AMD semble cohérente avec une stratégie de marché : réserver certaines fonctions de gestion, sécurité et administration aux gammes professionnelles. AMD Pro et EPYC visent des entreprises, des flottes gérées, des stations de travail, des serveurs, et des environnements où la sécurité constitue un argument clé d’achat.
Le problème est que TSME n’était pas complètement absente de la gamme Ryzen grand public. Certaines BIOS la proposaient, des utilisateurs l’activaient, et le système semblait la prendre en charge. Si AMD voulait limiter TSME à la gamme Pro, une communication plus claire aurait été nécessaire.
| Gamme | Approche |
|---|---|
| Ryzen grand public | PC de bureau, gaming, stations personnelles |
| Ryzen Pro | Entreprises, gestion à distance, sécurité, flottes |
| Threadripper Pro | Stations de travail professionnelles |
| EPYC | Serveurs, cloud, informatique confidentielle |
| Technologies AMD Pro | Sécurité, gestion et fonctionnalités pour l’entreprise |
La segmentation n’est pas en soi illégitime. Les entreprises différencient leurs produits régulièrement. Ce qui est discutable, c’est de retirer ou de restreindre une capacité en silicium via le firmware sans une communication publique adéquate, surtout lorsque cela concerne la sécurité.
Ce que peuvent faire les utilisateurs maintenant
Les utilisateurs ayant besoin de chiffrement mémoire devraient d’abord vérifier si leur situation justifie cette mesure. Pour un PC fixe à domicile, cela peut ne pas être prioritaire. Pour un portable contenant des informations sensibles, cela peut l’être.
Sur Linux, il est conseillé d’utiliser des outils d’audit comme fwupdmgr security pour vérifier si « RAM chiffrée » apparaît comme activée, non supportée ou défaillante. Il peut aussi être utile de consulter les forums du fabricant de la carte mère, les versions de BIOS et les notes de version d’AGESA. Sous Windows, la vérification est plus complexe, et il est prudent de ne pas présumer que TSME fonctionne sur un Ryzen non-Pro sans confirmation technique fiable.
| Mesure | Recommandation |
|---|---|
| Vérifier le BIOS | Vérifier si TSME apparaît, mais ne pas se fier uniquement à cela |
| Auditer sous Linux | Utiliser des outils comme fwupd ou HSI quand c’est possible |
| Consulter le firmware | Vérifier la version d’AGESA et les notes de mise à jour de la carte mère |
| Éviter la suspension en cas de risque physique | Éteindre complètement les appareils sensibles |
| Chiffrer le disque | Utiliser BitLocker, LUKS ou FileVault selon le système |
| Activer le TPM et le Secure Boot | Renforcer la chaîne de démarrage et la sécurité des clés | Considérer Ryzen Pro ou EPYC | Si le chiffrement mémoire est une nécessité réelle |
| Demander des clarifications au fabricant | AMD et les fabricants devraient documenter de manière claire le support réel |
Pour les entreprises, la recommandation est plus directe : si le chiffrement de mémoire ou TSME faisait partie de la politique de sécurité, il faut vérifier l’inventaire matériel, la version du firmware, l’état réel de la fonction et les exigences d’achat pour l’avenir. Une simple option dans le BIOS ne suffit pas.
Une crise modérée mais symbolique
L’impact technique immédiat peut être limité pour la majorité des utilisateurs, mais la portée symbolique est significative. AMD a construit pendant des années une bonne réputation auprès des passionnés, des développeurs et des utilisateurs de Linux, notamment en proposant des processeurs compétitifs avec des fonctions avancées souvent ouvertes même au-delà du périmètre professionnel. La disparition peu visible d’une fonctionnalité de sécurité nuit à cette confiance.
Cela rappelle aussi une réalité inconfortable : le matériel moderne dépend énormément du firmware. Une CPU peut disposer d’une capacité physique, mais c’est le firmware qui décide si cette capacité est exposée, activée ou bloquée. L’acheteur ne contrôle pas toujours ce que son hardware peut faire après une mise à jour.
Cette dépendance deviendra de plus en plus centrale. La sécurité, la virtualisation, le démarrage sécurisé, la gestion énergétique, les atténuations, les accélérateurs et d’autres fonctionnalités professionnelles évoluent dans une zone où silicium, firmware, BIOS et OS négocient en permanence. Si une couche change sans transparence, l’utilisateur reste dans l’ignorance.
AMD doit clarifier ce qui s’est passé
AMD dispose encore d’une possibilité raisonnable de mettre fin à la controverse. Si la modification est une régression, elle doit reconnaître cela et la corriger. Si c’est une décision liée au produit, elle doit être documentée explicitement, en précisant quels CPU supportent TSME, depuis quelles versions de firmware, dans quelles conditions, et ce que doivent faire les utilisateurs qui avaient déjà activé cette option. Si la fonction n’a jamais été officiellement validée sur Ryzen grand public, cela doit être indiqué clairement.
La pire solution consisterait à laisser cette question dans le flou. En matière de sécurité, l’ambiguïté nuit à la confiance. Les utilisateurs avancés acceptent que certaines fonctions soient réservées au matériel professionnel, mais pas qu’une capacité disparaisse sans préavis alors que la BIOS continue à la proposer comme active.
Ce cas ne rend pas les Ryzen grand public totalement vulnérables, mais soulève une question légitime : lorsque la sécurité repose sur du firmware et une stratégie commerciale, comment l’utilisateur peut-il savoir quelle protection il possède réellement ?
C’est là la principale leçon : le chiffrement de mémoire n’est pas qu’une question technique. C’est une promesse de sécurité. Et si cette promesse évolue, le fabricant doit le dire clairement.
Questions fréquentes
Que s’est-il passé avec TSME sur Ryzen grand public ?
Des utilisateurs et chercheurs ont constaté que TSME n’apparaît plus comme supporté sur certains Ryzen après firmware avec AGESA 1.2.7.0, tout en restant fonctionnel sur les modèles Ryzen Pro.
Qu’est-ce que TSME ?
TSME, Transparent Secure Memory Encryption, est une fonction qui chiffre de façon transparente toute la mémoire RAM via une clé générée au démarrage par le AMD Secure Processor.
Est-ce une vulnérabilité distante ?
Non. La principale menace concerne les attaques physiques contre la mémoire, telles que le cold boot, l’extraction de modules ou l’écoute de l’interface DRAM. Elle ne permet pas de cibler directement un PC depuis Internet.
Qui est le plus concerné ?
Les utilisateurs de portables sensibles, les professionnels manipulant des données confidentielles, journalistes, activistes, entreprises à risque physique, et toute organisation utilisant le chiffrement mémoire comme exigence.
AMD a-t-elle fourni une explication officielle ?
AMD n’a pas publié de description technique détaillée. La seule réponse connue indique que TSME fait partie des technologies AMD PRO et s’applique aux CPU Pro, mais sans préciser si le changement est dû à une erreur, à une politique ou à un manque de validation.
Comment savoir si TSME est actif ?
Sous Linux, cela peut être vérifié avec des outils comme fwupd ou HSI, mais cela requiert des compétences techniques. Sur Windows, il n’existe pas d’outil grand public simple pour confirmer son statut.
Que faire si le chiffrement mémoire est nécessaire ?
Il est conseillé d’utiliser du matériel officiellement supporté pour cette fonction, comme Ryzen Pro ou EPYC, de maintenir le firmware à jour, d’activer le chiffrement de disque, le TPM et le Secure Boot, et d’éteindre complètement l’appareil en cas de risque physique.
Sources :
Ars Technica
Tom’s Hardware
Documentation AMD Developer
White Paper AMD Memory Encryption
White Paper AMD Memory Guard
Documentation du kernel Linux
fwupd
GitHub AMDESE
MSI
TechSpot
PC Perspective
via : tomshardware
