Nvidia recommande aux clients de l’une de ses gammes de GPU de réduire les performances jusqu’à 10 % afin de protéger les utilisateurs contre des exploits qui pourraient permettre à des pirates de saboter des projets de travail et éventuellement de provoquer d’autres compromissions.
Cette décision fait suite à une attaque menée par une équipe de chercheurs universitaires contre le RTX A6000 de Nvidia, un GPU largement utilisé pour les calculs de haute performance et disponible sur de nombreux services en nuage. Une vulnérabilité découverte par les chercheurs ouvre le GPU au Rowhammer, une classe d’attaque qui exploite les faiblesses physiques des modules de puces DRAM qui stockent les données.
Rowhammer permet aux pirates de modifier ou de corrompre les données stockées dans la mémoire en accédant rapidement et de manière répétée – ou en martelant – une rangée physique de cellules de mémoire. En frappant de manière répétée des rangées soigneusement choisies, l’attaque induit des inversions de bits dans les rangées voisines, ce qui signifie qu’un zéro numérique est converti en un ou vice versa. Jusqu’à présent, les attaques Rowhammer n’ont été démontrées que contre les puces de mémoire des unités centrales, utilisées pour des tâches informatiques générales.
Comme une lésion cérébrale catastrophique
Les choses ont changé la semaine dernière, lorsque des chercheurs ont dévoilé GPUhammer, la première attaque Rowhammer réussie sur un GPU discret. Traditionnellement, les GPU étaient utilisés pour le rendu des graphiques et le craquage des mots de passe. Ces dernières années, les GPU sont devenus des outils de travail pour des tâches telles que le calcul haute performance, l’apprentissage automatique, les réseaux neuronaux et d’autres utilisations de l’IA. Aucune entreprise n’a autant profité de l’essor de l’IA et du calcul intensif que Nvidia, qui est devenue la semaine dernière la première entreprise à atteindre une valorisation de 4 000 milliards de dollars. Bien que les chercheurs aient démontré leur attaque uniquement contre le A6000, il est probable qu’elle fonctionne contre d’autres GPU de Nvidia, ont indiqué les chercheurs.
L’exploit de preuve de concept des chercheurs a permis d’altérer des modèles de réseaux neuronaux profonds utilisés dans l’apprentissage automatique pour des applications telles que la conduite autonome, les soins de santé et l’imagerie médicale pour l’analyse des scans IRM. GPUHammer renverse un seul bit dans l’exposant d’un poids de modèle – par exemple dans y, où une virgule flottante est représentée par x fois 2.y. L’inversion d’un seul bit peut augmenter la valeur de l’exposant de 128. Le résultat est une modification du poids du modèle d’un énorme 2128Gururaj Saileshwar, professeur adjoint à l’université de Toronto et coauteur d’un article universitaire démontrant l’attaque, explique que la précision du modèle passe de 80 % à 0,1 %.