AMD a confirmé l'existence d'une faille de sécurité critique dans ses derniers processeurs basés sur l'architecture Zen 5. Cette faille affecte le générateur de nombres aléatoires matériel et peut entraîner la génération de clés cryptographiques avec une aléatorité limitée, ce qui représente une menace réelle pour la sécurité des utilisateurs. Les développeurs de Reds ont identifié le problème sous la référence AMD-SB-7055 et l'ont classé comme une vulnérabilité critique. Ce bug affecte l'instruction RDSEED, qui génère des nombres aléatoires à partir de l'entropie de l'environnement, contrairement à RDRAND qui repose sur des modèles déterministes. RDSEED est crucial dans les applications cryptographiques exigeant une imprévisibilité totale des données. Cependant, une situation a été détectée sur les processeurs Zen 5 : l’instruction RDSEED renvoie la valeur non aléatoire « 0 », signalant à tort la réussite de l’opération. De ce fait, les applications utilisant RDSEED peuvent recevoir des données incorrectes, qu’elles considèrent comme valides, ouvrant ainsi la voie à d’éventuelles attaques cryptographiques. Ce problème affecte les implémentations RDSEED 16 bits et 32 bits, tandis que la version 64 bits ne semble pas vulnérable, bien qu’AMD n’ait pas expliqué cette différence.

Le bogue a été initialement repéré par un ingénieur de Meta, qui l'a signalé sur la liste de diffusion du noyau Linux. Il s'est avéré reproductible : il suffisait d'exécuter un thread utilisant intensivement RDSEED tandis qu'un autre processus occupait environ 90 % de la RAM. La communauté Linux a réagi rapidement et, en quelques jours, un correctif a été publié, désactivant temporairement RDSEED sur tous les processeurs Zen 5 afin de prévenir d'éventuelles attaques. Ce problème affecte tous les systèmes AMD basés sur l'architecture Zen 5, notamment :

Ryzen 9000 (ordinateur de bureau),
Ryzen AI Max 300 (ordinateur portable),
Threadripper 9000,
Ryzen Z2 (appareils mobiles),
EPYC 9005 (serveur).

AMD a déjà commencé le déploiement de correctifs, et des mises à jour sont disponibles pour les processeurs EPYC, tandis que les correctifs de sécurité pour les chipsets grand public (Ryzen et Threadripper) devraient être publiés le 25 novembre 2025. Le processus de distribution des correctifs devrait durer jusqu'en janvier 2026, en fonction du mode de fonctionnement du processeur. Il convient de noter que ce n'est pas la première fois qu'un générateur de clés aléatoires matériel pose problème à AMD. Des problèmes similaires, bien que techniquement différents, étaient déjà survenus avec l'APU Cyan Skillfish (architecture Zen 2), pour lequel il avait également été décidé de bloquer la fonctionnalité RDSEED sous Linux pour des raisons de sécurité. Heureusement, AMD publiera prochainement des mises à jour du microcode AGESA qui corrigeront ce problème pour tous les processeurs Zen 5. En attendant (pour les puces qui ne disposent pas encore de cette fonctionnalité), AMD recommande aux utilisateurs de revenir à la version 64 bits non affectée de RDSEED ou d'utiliser le firmware d'origine.