Récemment, un chercheur en sécurité a accusé AMD de mauvaise gestion des failles de sécurité signalées par lui. Il a non seulement fallu 124 jours pour terminer le correctif, mais il a également modifié les termes du programme de bug bounty par la suite, utilisant cela comme prétexte pour refuser de lui verser le bonus de 10 000 dollars qu'il aurait dû recevoir, déclenchant ainsi de nombreux doutes dans l'industrie.

Selon certaines informations, le chercheur en sécurité portant le nom en ligne « MrBruh » voyait fréquemment la fenêtre de la console du programme de mise à jour AMD apparaître sur son PC de jeu nouvellement assemblé. Il s'est donc méfié du logiciel de mise à jour automatique et a commencé l'ingénierie inverse. Les résultats de l'analyse montrent que bien que le programme de mise à jour AMD obtienne la liste de mises à jour via le protocole HTTPS, le lien réellement utilisé pour télécharger le fichier exécutable de mise à jour utilise HTTP en texte brut, et aucune vérification efficace du certificat ou de la signature n'est effectuée avant l'exécution. Cela signifie que tant qu'un attaquant peut se trouver dans le même environnement réseau ou contrôler la liaison en amont, il existe une possibilité de remplacer le fichier de mise à jour d'AMD par un programme exécutable malveillant via une attaque de l'homme du milieu, et le programme de mise à jour lui-même s'exécute avec des privilèges élevés, ce qui peut entraîner des risques d'exécution de code à distance.
MrBruh a découvert la vulnérabilité le 27 janvier et a officiellement soumis le rapport via le programme de bug bounty d'AMD le 6 février. AMD a ensuite clôturé le rapport au motif que le problème « sortait du cadre du plan » et qu'il impliquait un scénario d'attaque de l'homme du milieu et affectait les « outils facultatifs », donc aucune prime ne serait émise. Cependant, la vulnérabilité a depuis été officiellement numérotée CVE-2026-40677 et a reçu un score CVSS 4.0 de 7,7, indiquant que sa gravité n'est pas faible. L'ensemble du processus, depuis le signalement jusqu'à l'application des correctifs et la levée, a duré 124 jours, l'interdiction de divulgation ayant pris fin le 9 juin.
Après le refus initial d'AMD, MrBruh a publié publiquement un article d'analyse technique, qui a attiré l'attention de communautés telles que Hacker News. Alors que l'opinion publique fermentait, l'équipe interne de réponse aux incidents de sécurité des produits (PSIRT) d'AMD a repris contact avec lui, lui disant que le problème était toujours en cours d'évaluation, et lui a demandé de supprimer temporairement l'article public, affirmant que son comportement de divulgation ne semblait pas être conforme aux termes pertinents du programme de récompense des vulnérabilités.


Une enquête menée par le média matériel Gamers Nexus a montré qu'AMD avait ensuite ajusté la formulation des règles de son programme de récompense des vulnérabilités. Les nouvelles conditions stipulent clairement que même si un rapport de sécurité est jugé inéligible aux récompenses ou n'entre pas dans le champ d'application du programme, les chercheurs ne sont pas autorisés à publier des informations sur les vulnérabilités sans le consentement écrit d'AMD. En d’autres termes, AMD a été accusé d’avoir d’abord nié la validité des vulnérabilités et les primes en vertu des anciennes règles, puis de les avoir modifiées après coup, puis de s’être retourné et d’accuser le chercheur d’avoir violé une clause qui n’avait pas encore été écrite à l’époque.
À l'heure actuelle, AMD a publiquement reconnu l'existence de cette vulnérabilité dans son bulletin de sécurité officiel et a signé M. Bruh dans l'article. L'annonce indique que des versions telles qu'AMD Ryzen Master 2.14.3, AMD µProf 5.3 et AMD Management Console 14.0.0 ont terminé l'atténuation. AMD a déclaré aux chercheurs que toutes les communications de mise à jour ont désormais été entièrement basculées vers HTTPS et qu'un processus de vérification de signature a été ajouté au processus de mise à jour. Cependant, M.Bruh a souligné après avoir retesté que bien qu'il ait confirmé l'utilisation de HTTPS, il n'a trouvé qu'une vérification CRC32 sur le fichier exécutable téléchargé, ce qui ne constitue pas une vérification de signature cryptographique au sens de sécurité.
En outre, le chercheur a également mentionné qu'il existe une autre faille liée à la redirection dans le programme de mise à jour qui peut empêcher son propre processus de mise à jour de se dérouler normalement. Sur la base des problèmes ci-dessus, MrBruh recommande aux utilisateurs de désinstaller complètement le logiciel AMD actuel et de télécharger manuellement la dernière version directement depuis le site officiel d'AMD afin de réduire les risques potentiels.
Cet incident a non seulement révélé les risques de sécurité liés à la conception du mécanisme de mise à jour automatique d'AMD, mais a également déclenché une discussion sur la manière dont les grands fabricants traitent les groupes de recherche en sécurité. Les critiques du monde extérieur estiment que, depuis l'exclusion initiale du problème du programme de récompense jusqu'à la modification ultérieure des règles pour restreindre la divulgation, la méthode de traitement d'AMD pourrait nuire à la confiance de la communauté de la sécurité dans son système de divulgation des vulnérabilités.