Google a versé 600 dollars. Six cents dollars pour une découverte qui pourrait exposer des millions d’ordinateurs équipés de cartes graphiques NVIDIA. Des chercheurs de l’université de Toronto viennent de démontrer qu’un simple défaut dans la mémoire d’un GPU suffit à prendre le contrôle total d’une machine, protections activées ou non. Leur attaque fonctionne sur les cartes de serveurs comme sur celles qui font tourner vos jeux.
Quand la mémoire de votre carte graphique déraille
L’attaque s’appelle GPUBreach. Pour la comprendre, une image suffit : imaginez une bibliothèque où les livres sont rangés si près les uns des autres que secouer violemment une étagère fait tomber des lettres sur les pages voisines. C’est le principe du Rowhammer, un phénomène connu depuis 2014 sur la mémoire des processeurs. En sollicitant intensément certaines cellules de mémoire GDDR6 (la mémoire vive des cartes graphiques), les chercheurs provoquent des inversions de bits : un zéro qui devient un un, ou l’inverse.
Transposer Rowhammer au GPU change la donne. La carte graphique gère ses propres tables de pages mémoire, des répertoires internes qui indiquent où stocker chaque donnée. En corrompant ces répertoires, l’équipe de Toronto a obtenu un accès en lecture et en écriture à l’ensemble de la mémoire du GPU, y compris les données traitées par d’autres programmes.
Trois rebonds pour atteindre le cœur du système
GPUBreach ne se contente pas de fouiller la carte graphique. L’attaque rebondit vers le processeur central en trois temps. D’abord, corrompre les tables de pages du GPU pour accéder à la mémoire d’autres processus. Ensuite, utiliser les capacités d’accès direct à la mémoire (DMA) du GPU pour cibler des vulnérabilités dans le pilote NVIDIA installé sur le système. Enfin, exploiter ces failles du pilote pour obtenir un accès « root », le niveau d’autorisation le plus élevé sur un ordinateur.
Résultat : un attaquant qui part d’un simple programme exécuté sur le GPU se retrouve maître de la machine entière. Chris S. Lin, premier auteur de l’étude et doctorant à Toronto, a coordonné la divulgation auprès de NVIDIA dès le 11 novembre 2025. Google, AWS et Microsoft ont été informés dans la foulée.
Le verrou censé empêcher ça ne sert plus à rien
Les systèmes modernes disposent d’un composant matériel appelé IOMMU, conçu pour empêcher un périphérique comme un GPU d’accéder librement à la mémoire du processeur. Deux travaux de recherche concurrents présentés au même colloque, GDDRHammer et GeForge, avaient besoin de désactiver cette protection pour fonctionner.
GPUBreach s’en passe. L’équipe de Toronto contourne l’IOMMU en s’attaquant directement aux failles de sécurité du pilote NVIDIA, sans rien désactiver. C’est la première attaque GPU Rowhammer qui prend le contrôle complet d’un système avec toutes les protections standard en place. Un détail technique qui change tout : la menace ne se limite plus aux configurations mal protégées.
Clés quantiques volées, modèles d’IA sabotés
Les chercheurs ont démontré trois scénarios qui dépassent la théorie. Premier cas : extraire des clés secrètes de cuPQC, la bibliothèque de chiffrement post-quantique de NVIDIA, censée résister aux futurs ordinateurs quantiques. Deuxième cas : modifier silencieusement les instructions de calcul dans cuBLAS, la bibliothèque d’algèbre linéaire utilisée par la quasi-totalité des modèles d’intelligence artificielle, pour dégrader leur précision sans laisser de trace visible. Troisième cas : récupérer les poids d’un grand modèle de langage (LLM) exécuté sur le même GPU.
Pour les fournisseurs de cloud comme AWS, Google Cloud ou Azure, où plusieurs clients partagent les mêmes machines physiques, le risque saute aux yeux. Un locataire malveillant pourrait espionner ou saboter les calculs de ses voisins sans jamais quitter son espace alloué. Dans un contexte où les entreprises confient leurs données les plus sensibles aux GPU de centres de données pour entraîner ou faire tourner leurs modèles d’IA, la surface d’attaque s’élargit considérablement.
Aucun correctif pour les PC de bureau
NVIDIA a été prévenu le 11 novembre 2025, cinq mois avant la publication prévue. L’entreprise a indiqué qu’elle pourrait mettre à jour son avis de sécurité existant sur Rowhammer, rapporte CyberInsider. Google a versé une prime de 600 dollars pour la découverte, selon le site officiel de GPUBreach. Pas exactement le montant qu’on associe à une faille capable de compromettre des millions de machines.
La seule parade technique connue est la mémoire ECC (Error Correcting Code), capable de corriger les inversions de bits. Elle équipe les GPU de serveurs comme le RTX A6000 utilisé dans les démonstrations. Elle est absente des cartes grand public : les GeForce RTX 3060, RTX 4070 ou RTX 5080 que des millions de joueurs, de créateurs et de professionnels utilisent chaque jour n’en disposent pas. Les chercheurs sont formels : aucune mesure d’atténuation complète n’existe pour les systèmes de bureau et les portables.
Un problème qui dépasse la marque au caméléon
GPUBreach sera présenté le 13 avril au 47e IEEE Symposium on Security and Privacy à Oakland, le colloque de référence mondiale en sécurité informatique. Le code source et les outils de reproduction seront publiés le même jour.
La portée dépasse NVIDIA. Rowhammer cible la mémoire GDDR6, un standard que partagent AMD et Intel dans leurs propres GPU. Si la démonstration vise les cartes au caméléon, rien ne garantit que la concurrence soit épargnée. En 2014, quand Rowhammer ciblait la RAM des processeurs, l’industrie avait mis des années à développer des parades efficaces. Douze ans plus tard, le même défaut resurgit sur les cartes graphiques, avec un enjeu supplémentaire : ces puces font tourner les modèles d’IA les plus sensibles de la planète, du diagnostic médical aux systèmes de défense.
Le code sera public dans six jours. Les correctifs, eux, n’existent pas encore. Et les 600 dollars de Google ne suffiront probablement pas à rassurer les millions d’utilisateurs concernés.
