NVIDIA recommande une atténuation des clients de l’une de ses gammes de produits GPU qui dégraderont les performances jusqu’à 10% dans le but de protéger les utilisateurs contre les exploits qui pourraient permettre aux pirates de saboter des projets de travail et éventuellement de provoquer d’autres compromis.
Cette décision vient en réponse à une attaque d’une équipe de chercheurs universitaires a démontré contre le RTX A6000 de NVIDIA, un GPU largement utilisé pour l’informatique haute performance disponible à partir de nombreux services cloud. Une vulnérabilité que les chercheurs ont découverte ouvre le GPU à Rowhammer, une classe d’attaque qui exploite la faiblesse physique des modules de puce DRAM qui stockent les données.
Rowhammer permet aux pirates de changer ou de corrompre les données stockées en mémoire en accédant rapidement et à plusieurs reprises – ou le martèlement – une rangée physique de cellules de mémoire. En martelant à plusieurs reprises les lignes soigneusement choisies, l’attaque induit des flips de bits dans les lignes voisines, ce qui signifie qu’un zéro numérique est converti en un ou vice versa. Jusqu’à présent, les attaques de Rowhammer n’ont été démontrées que contre les puces mémoire pour les processeurs, utilisées pour les tâches informatiques générales.
Comme des lésions cérébrales catastrophiques
Cela a changé la semaine dernière alors que les chercheurs ont dévoilé GPUhammer, la première attaque de Rowhammer réussie connue sur un GPU discret. Traditionnellement, les GPU ont été utilisés pour rendre les graphiques et les mots de passe de fissuration. Ces dernières années, les GPU sont devenus les chevaux de bataille des tâches telles que l’informatique haute performance, l’apprentissage automatique, le réseautage neuronal et d’autres utilisations de l’IA. Aucune entreprise n’a profité davantage du boom de l’IA et du HPC que NVIDIA, qui est devenue la semaine dernière la première entreprise à atteindre une évaluation de 4 billions de dollars. Alors que les chercheurs ont démontré leur attaque contre l’A6000, il travaille probablement contre d’autres GPU de NVIDIA, ont déclaré les chercheurs.
L’exploit de la preuve de concept des chercheurs a été en mesure de falsifier des modèles de réseaux de neurones profonds utilisés dans l’apprentissage automatique pour des choses comme la conduite autonome, les applications de soins de santé et l’imagerie médicale pour l’analyse des analyses d’IRM. GPUhammer retourne un seul bit dans l’exposant d’un poids de modèle – par exemple en y, où un point flottant est représenté comme X Times 2y. Le flip à un bit peut augmenter la valeur des exposants de 16. Le résultat est une modification du poids du modèle par 216, la précision du modèle dégradant de 80% à 0,1%, a déclaré Gururaj Saveshwar, professeur adjoint à l’Université de Toronto et co-auteur d’un document académique démontrant l’attaque.
