La Chine accusée d'espionnage chez Amazon et Apple via Supermicro, de multiples démentis

Les failles 0-day c'est Has-been
La Chine accusée d'espionnage chez Amazon et Apple via Supermicro, de multiples démentis

Et si les Chinois avaient installé des micropuces sur des cartes mères serveur de dizaines de sociétés (et d'organisations gouvernementales) pour espionner les réseaux ? C'est l'histoire racontée par Bloomberg impliquant notamment Amazon, Apple et surtout le fabricant Supermicro.

Bloomberg vient de publier une longue enquête qui fait beaucoup de bruit, et pour cause : les services de renseignement chinois auraient développé et intégré dans des cartes mères de Supermicro une minuscule puce permettant d'espionner les réseaux internes. Pour rappel, ce fabricant est leader dans le domaine des produits à destination des serveurs.

La micropuce ne serait pas plus grosse qu'une « pointe de crayon aiguisée » et ressemblerait à certains composants que l'on retrouve sur les cartes mères. Nos confrères ajoutent qu'elle intégrerait « de la mémoire, une capacité de mise en réseau et une puissance de traitement suffisante pour une attaque ». Ce, alors que le vice-président Mike Pence s'en prend aux relations entre les entreprises du secteur des nouvelles technologies et la Chine.

Face à ces accusations, les parties impliquées ont toutes publié un démenti. C'est notamment le cas d'Apple qui surprend en communiquant de manière plus active qu'à son habitude. Cela n'empêche pas la nouvelle d'avoir un fort impact en bourse.

Des micropuces espionnes ajoutées sur le PCB de cartes mères

Cette puce serait ajoutée par des sous-traitants chinois de Supermicro lors de la fabrication des cartes mères, ces derniers ayant été soudoyés ou ayant fait l'objet de pressions par des agents de l’Armée populaire de libération (APL). Les cartes sont ensuite intégrées à des serveurs et livrées un peu partout dans le monde, y compris à de grosses entreprises, des services de renseignements, des gouvernements, etc. 

« Lors de l’installation et de la mise en marche d’un serveur, la micropuce modifiait le cœur du système d’exploitation pour qu’il puisse accepter des modifications. La puce pourrait également contacter des ordinateurs contrôlés par les attaquants à la recherche d'instructions supplémentaires » explique Bloomberg. 

De manière générale, un piratage matériel au plus bas niveau est bien plus efficace et dangereux d'un piratage logiciel. Cette affaire, si elle se confirme, montre à quel point des maillons comme la chaîne d'approvisionnement sont sensibles et nécessitent la plus grande attention. De quoi poser la question de la délocalisation et du savoir-faire en la matière.

SuperMicro SuperMicro
Crédits : Bloomberg

Une histoire qui remonte à 2015, lors du rachat d'Elemental Technologies

Cette histoire remonterait à 2015, mais ne serait toujours pas terminée aujourd'hui et une enquête serait toujours en cours selon nos confrères. À l'époque, Amazon se penchait sur l'acquisition de la start-up Elemental Technologies, à l'origine de Badaboom, pour renforcer son service Prime Video. Ses serveurs auraient été assemblés par Supermicro

Avant de procéder au rachat, une société tierce avait été mandatée pour effectuer une analyse approfondie de sécurité : « les testeurs ont trouvé une micropuce minuscule, pas plus grosse qu'un grain de riz, qui ne faisait pas partie du design original des cartes ». Amazon aurait alors signalé sa découverte aux autorités américaines.

17 sources, une trentaine de sociétés seraient concernées

Selon des sources anonymes mais présentées comme proches du dossier, ce piratage affecterait une trentaine d'entreprises, dont une grande banque, des organisations gouvernementales et Apple. Selon trois sources chez la marque à la Pomme, le fabricant aurait également trouvé des micropuces sur des cartes mères Supermicro durant l'été 2015. 

Au total, nos confrères affirment que cette histoire est corroborée par pas moins de 17 sources différentes (provenant du gouvernement et des entreprises concernées). Mais tant Amazon, qu'Apple et Supermicro réfutent en bloc.

De fausses accusations pour Apple, Amazon et Supermicro

« À aucun moment, passé ou présent, nous n’avons rencontré le moindre problème lié à du matériel modifié ou à des puces malveillantes ajoutées dans les cartes mères Supermicro des systèmes d'Elemental ou d'Amazon. Nous n'avons pas non plus engagé d'enquête avec le gouvernement » affirme le géant des services cloud dans un communiqué. « Il y a tellement d'inexactitudes dans cet article en ce qui concerne Amazon qu'elles sont difficiles à compter », ajoute-t-elle.

Une réponse d'une violence rare, qui se retrouve également chez Apple, plutôt habitué aux réponses discrètes ou aux courts communiqués, notamment dans ce genre d'affaires. Ainsi, la société affirme n'avoir « jamais trouvé dans ses serveurs de puces destinées à engendrer une modification de ses équipements ou à créer intentionnellement des vulnérabilités ». Elle ajoute dans un communiqué être « Profondément déçue que, dans leurs relations avec nous, les journalistes de Bloomberg n'aient pas été ouverts à la possibilité que leurs sources fassent erreur ou soient mal informées ».

Apple lance une autre piste : « Notre meilleure hypothèse est qu'ils confondent cette histoire avec un incident précédemment rapporté en 2016 dans lequel nous avons découvert un pilote infecté sur un seul serveur Supermicro dans un de nos laboratoires. Il a été déterminé que cet événement ponctuel était accidentel et non une attaque ciblée ».

Même son de cloche chez Supermicro auprès de Bloomberg : « Nous n’avons trouvé aucune preuve pour étayer les allégations d’installation de puces malveillantes ou de modification de matériel ». Dans un communiqué, la société « réfute fermement » ses accusations. Des déclarations et réponses reprises par Bloomberg dans un second article.  

En plus des sociétés que nous avons précédemment citées, se trouve une déclaration du ministère chinois des Affaires étrangères. Il commence par affirmer que « la Chine est un fervent défenseur de la cybersécurité [...] La sécurité de la chaîne d'approvisionnement dans le cyberespace est une question d'intérêt commun ». « Nous espérons que les parties feront moins d'accusations gratuites, mais mèneront des discussions et une collaboration plus constructive afin que nous puissions travailler ensemble à la construction d'un cyberespace paisible, sûr, ouvert, coopératif et ordonné » ajoutent les officiels.

Déjà des demandes d'une enquête de la SEC

Le site spécialisé ServeTheHome (STH), proposant des services d'analyse aux professionnels, dit avoir enquêté de son côté. Pour s'imposer, il affirme « examiner plus de plateformes serveur » que n'importe qui, y compris celles de Supermicro.

Premier point pour eux : « Il doit bien sûr y avoir beaucoup plus qu’une simple puce. Cette puce doit exploiter les signaux électriques pour l’alimentation et le transfert de données. Cela signifie qu’il faut non seulement insérer un composant, mais également des câbles pour circuits imprimés ».

« C’est franchement un peu étrange d’un point de vue technique. Où ces puces pourraient-elles être situées », se demande STH. Le vecteur d'attaque le plus probable selon eux serait de s'en prendre au BMC (Baseboard Management Controller), mais ne serait pas suffisant pour une ampleur décrite par Bloomberg.

ServeTheHome revient aussi sur le fond de l'histoire et son déroulement : « Les serveurs Supermicro sont achetés pour des contrats militaires américains et sont utilisés à ce jour [...] Si le FBI, ou d'autres responsables des services de renseignement, avaient des raisons de croire que le matériel Supermicro était compromis, on s'attendrait à ce qu'il faille moins de quelques années pour que cette situation s'arrête ».

Dans sa conclusion, STH réclame une enquête de la SEC « auprès de toute personne ayant récemment vendu à découvert des actions de Supermicro ». Puisque les sociétés incriminées ne se sont pas contentées d'un simple « pas de commentaire », mais d'une réfutation vigoureuse et sans ambiguïté, elle souhaite aussi que le régulateur enquête sur le sujet.

Plongeons en série

Car les actions des sociétés du secteur jouent au yo-yo... et c'est peu de le dire. Supermicro perd ainsi 41 % en bourse, passant de 21,40 dollars par action à 12,60 dollars seulement. Lenovo aussi souffre avec 15,77 % de moins, tandis la situation est plus calme pour Apple (-1,76 %) et Amazon (-2,22 %).

Quelle que soit l'issue de cette histoire, elle rappelle en tout cas que la sécurité des serveurs est un problème et doit être traitée avec toute la rigueur nécessaire... au risque de voir l'avenir d'une société basculer du jour au lendemain.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

82 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 05/10/18 à 08:48:21

« C’est franchement un peu étrange d’un point de vue technique. Où ces puces pourraient-elles être situées », se demande STH. Le vecteur d'attaque le plus probable selon eux serait de s'en prendre au BMC (Baseboard Management Controller), mais ne serait pas suffisant pour une ampleur décrite par Bloomberg.

Mais carrément, c’est tellement plus discret, simple et efficace de modifier un firmware très bas niveau que l’integration d’une puce paraît vraiment bizarre, pour pas dire idiot.
D’un autre côté, la Chine maîtrisant toutes les chaînes de production électronique du monde, ou quasi, ça serait idiot de ne pas en avoir profité.

Bref, cette histoire est à la fois pas étonnante sur le fond et à la fois très étrange sur la forme... franchement, ça mérite qu’on attende d’en savoir plus et de rester prudent sur les conclusions.

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 05/10/18 à 08:49:49

Ce que je vois, c'est une puce intégrée dans un package de résistance CMS 0603. Donc avec uniquement deux connecteurs. Ça n'est pas suffisant pour l'alimentation, la récupération de données et le transfert de ces données.
Autant ce type d'espionnage est dangereux, autant une carte est tellement complexe que rajouter une telle puce après routage en n'ayant que la carte sous les yeux, c'est tout bonnement impossible.
Je croyais à cette histoire au début, maintenant j'ai de plus en plus de doutes.

Avatar de euromix Abonné
Avatar de euromixeuromix- 05/10/18 à 08:52:57

Une puce chinoise de la taille d'un grain de riz lol, il y a des rédacteurs qui s'éclatent 

Avatar de wanou Abonné
Avatar de wanouwanou- 05/10/18 à 08:53:34

Cela ressemble fort à un scénario de film. Le coup de la puce que l'on colle sur un circuit imprimé à un emplacement non prévu et qui trouve là tout ce qu'il faut pour s'alimenter et pile les bon signaux pour s'interfacer au système, c'est du raccourci hollywoodien.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 05/10/18 à 08:56:43

Mais puisqu'on te dit que ce sont des chinois du FBI !!! Ils peuvent tout faire ! Il y a une vingtaines d'années ils avait bien foutu un GPS dans l'alimentation ATX !

#souvenir

Édité par CryoGen le 05/10/2018 à 08:56
Avatar de winster Abonné
Avatar de winsterwinster- 05/10/18 à 09:01:32

Publiredaction sponsorisée par Donald Trump....

Avatar de Gagyn Abonné
Avatar de GagynGagyn- 05/10/18 à 09:09:31

winster a écrit :

Publiredaction sponsorisée par Donald Trump....

 + 1

Il suffit qu'un journal agite le spectre de toutes les peurs pour qu'une société (peut-être honnête) perde 41% de sa valeur en bourse.
On entend régulièrement des sociétés chinoises accusées de piratage, mais dans ce cas, pourquoi nos armées / gouvernements continuent-ils de se fournir en matériel électronique dont certains composant seront forcément chinois ? Plus paranoïaque que les services de renseignements, y'a pas... Ce n'est pas pour ça que ce n'est pas impossible, c'est juste difficile à croire.

Avatar de ricozed Abonné
Avatar de ricozedricozed- 05/10/18 à 09:09:46

Donc cette puce "de la taille d'un grain de riz" intègrerait "de la mémoire, une capacité de mise en réseau et une puissance de traitement suffisante pour une attaque ».
ça parait tout de même assez difficile à croire.
Cela ressemble à un article de complotistes avec des explications tirées par les cheveux.
 Je pencherai plutôt (jusqu'à preuve du contraire)  du côté de ServeTheHome concernant la réaction de la CIA s'il y a vait un doute (comme pour les équipements huawei par ex) , to be continued....

Avatar de pierreonthenet Abonné
Avatar de pierreonthenetpierreonthenet- 05/10/18 à 09:22:56

C'est un journal fiable Bloomberg?
Parce que là, ça pue grave le fake tout de même... Et vu la guerre économique que se livre les USA et la Chine, je serais pas étonné que ça serve les intérêts des uns au détriment des autres.

Avatar de Haken Trigger Abonné
Avatar de Haken TriggerHaken Trigger- 05/10/18 à 09:26:56

Je veux bien croire que des puces semblables existent. IBM a bien réussi à faire un PC minuscule (de l'ordre de quelques millimètres cube) donc une puce de cette taille pour faire des traitements toujours identiques, pourquoi pas.
Maus de là à penser que de telles puces pourraient être fabriquées en masse dans trou de budget pour intégrer ça dans une multitude de cartes ? Faut arrêter. Pour le coup, je pense que la meilleure défense pour SuperMicro serait de dire "ah cette puce vous fait peur ? Voilà ce que c'est.". Au moins, tout le monde serait content. Mais sur ce coup, l'histoire d'espionnage, même Ian Fleming ne l'aurait pas trouvée celle-là.

Il n'est plus possible de commenter cette actualité.
Page 1 / 9

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact