Selon Bloomberg, l’affaire de la puce-espionne sur les cartes mères Supermicro ne serait qu’une petite partie de l’iceberg. Malgré les nombreuses contestations, nos confrères persistent et signent, en s’appuyant sur de nouvelles déclarations et sources. Pas de quoi convaincre Supermicro, qui dément formellement les nouvelles accusations.
Il y a un peu moins de deux ans et demi, Bloomberg publiait une longue enquête portant sur les services de renseignements chinois qui auraient développé et intégré dans des cartes mères Supermicro – largement utilisées dans le monde des serveurs – des micropuces-espionnes.
Apple, Amazon et Supermicro se sont rapidement inscrits en faux et ont demandé à nos confrères de se rétracter, ce qu’ils n’ont jamais fait. Le fabricant de cartes mères a lancé une enquête indépendante qui n’a relevé « aucun matériel malveillant sur les cartes mères ».
Petite révision sur les accusations et démentis
D’autres se sont ajoutés à la liste des sceptiques face à cette révélation. Les services de renseignements anglais et américains ont par exemple affirmé n’avoir « aucune raison de douter des informations détaillées publiées par AWS [Amazon Web Services, ndlr] et Apple ». Même son de cloche à la Sécurité intérieure des États-Unis (DHS).
Quelques jours plus tard, Rob Joyce (conseiller pour la cybersécurité à la NSA) affirmait n’avoir « rien vu » et craignait « que nous poursuivions des fantômes ». De son côté, Octave Klaba nous expliquait avoir « passé beaucoup de temps » sur cette histoire, là encore sans rien trouver, etc. Idem sur le site spécialisé ServeTheHome (STH) pour qui « les détails techniques du prétendu piratage de Bloomberg sont inexacts et/ou invraisemblables ».
Depuis, c’est le calme plat. Chacun campe sur ses positions : aucune société n’a apporté la preuve formelle de la présence d’une puce-espionne sur une carte mère Supermicro, tandis que Bloomberg n’a fait aucune rétractation. Nos confrères au contraire affirmaient avoir une « nouvelle preuve de piratage de matériel Supermicro chez un opérateur américain ».
Une nouvelle saison du feuilleton débute, avec un nouvel article de nos confrères – « The Long Hack : Comment la Chine a exploité un fournisseur de technologie américain » – où ils donnent de nouveaux détails et sources… un article suivi rapidement d’un démenti de Supermicro.
Bloomberg brandit de nouvelles accusations (et sources)…
Dans leur introduction, nos confrères mettent en avant trois éléments pour poser le décor. En 2010 tout d’abord, « le département de la Défense a trouvé que des milliers de ses serveurs envoyaient des données de réseaux militaires vers la Chine ». En cause, un bout de code « caché » dans le BIOS des machines.
Second élément en 2014, lorsqu’Intel a « découvert qu'un groupe de piratage chinois de haut vol avait pénétré dans son réseau ». Enfin en 2015, quand le FBI (Federal Bureau of Investigation) a « averti plusieurs entreprises que des agents chinois avaient caché une puce avec une porte dérobée dans les serveurs d'un fabricant ».
Dans les trois cas, ces attaques distinctes auraient en commun d’impliquer la Chine et le fabricant Supermicro. Selon Bloomberg, les experts en cybersécurité américains auraient découvert le pot aux roses il y a des années, mais les autorités auraient décidé de garder leurs conclusions secrètes pour essayer de contrer les attaques et « en apprendre davantage sur les capacités de la Chine ».
En s’appuyant sur des déclarations de quatorze sources proches du dossier (d’anciens responsables du renseignement), Bloomberg ajoute que cette situation aurait ainsi « fait l'objet d'un contrôle fédéral pendant une grande partie de la dernière décennie ». Ce serait notamment le cas du FBI depuis 2012.
Pour appuyer son propos, Bloomberg cite Jay Tabb, un ancien haut responsable du Federal Bureau of Investigation : l’affaire « Supermicro illustre parfaitement à quel point les entreprises américaines sont susceptibles de subir une potentielle altération néfaste des produits qu'elles font fabriquer en Chine […] C’est un exemple du pire scénario si vous n’avez pas une supervision complète de l’endroit où vos appareils sont fabriqués ».
Il ne donne aucun détail sur une éventuelle enquête en cours, et affirme que « le gouvernement chinois fait cela depuis longtemps, et les entreprises doivent en être conscientes […] La Silicon Valley en particulier doit cesser de prétendre que cela ne se produit pas ». Il ne confirme pas directement les allégations concernant la présence de puces-espionnes.
… Supermicro le renvoie dans les cordes
La réponse de Supermicro ne s’est pas fait attendre. Un communiqué a été mis en ligne, sur la même lignée qu’il y a deux ans et demi : « L'histoire de Bloomberg est un mélange d'allégations disparates et inexactes qui remontent à de nombreuses années ».
La société réaffirme n’avoir « jamais été contacté par le gouvernement américain, l'un de [ses] partenaires ou clients au sujet des enquêtes présumées […] Au contraire, plusieurs agences gouvernementales américaines, dont Bloomberg affirme qu'elles ont ouvert des enquêtes, continuent d'utiliser nos produits depuis des années ».
Supermicro se dit d’autant plus surprise que les accusations remonteraient à dix ans. Pour l’entreprise, « Bloomberg essaye de faire revivre son histoire de 2018, fausse et largement discréditée ». Les réponses de la société sont intégrées dans l’enquête de nos confrères.
Bloomberg ne démord pas, ça durerait depuis dix ans
Dans le reste de son article, Bloomberg revient plus en détail sur ses prétendues découvertes. Pour appuyer leurs dires, nos confrères affirment s’être entretenus avec « plus de 50 personnes des forces de l'ordre, de l'armée, du Congrès, des agences de renseignement et du secteur privé »… une grande majorité sous couvert d’anonymat. Elles étaient pour rappel 17 en 2018.
Le site rappelle que plusieurs voix se sont fait entendre pour demander une rétraction (Apple, Amazon, Supermicro, des officiels américains…), mais nos confrères persistent et signent. Ils ajoutent même que leur première analyse ne serait que la partie émergée de l’iceberg :
« À la lecture de nouveaux rapports, il semble évident que la publication [initiale] de Bloomberg Businessweek n'avait mis en lumière qu'une partie des événements, dans lesquels les responsables américains ont d'abord soupçonné, puis enquêté, surveillé et essayé de contrôler des manipulations répétées de la Chine sur les produits Supermicro ».
Déclaration choc : « C'est réel […] et le gouvernement le sait »
Comment nos confrères expliquent-ils le mutisme de Supermicro (et des autres) ? Tout simplement, car le grand public et surtout les parties concernées n’auraient pas été informés de l'enquête de contre-espionnage du FBI. C’est en tout cas la déclaration de « trois anciens responsables américains ». Le sceau du secret serait partiellement levé lors de réunions « secrètes » pour mettre en garde des acteurs tiers triés sur le volet.
Bloomberg publie ensuite des déclarations de Mike Janke (Data Tribe, BlackPhone et ancien Navy SEAL), une de ses sources acceptant d’être citée sur certains points. Il confirmerait sans détour la situation : « C'est réel […] et le gouvernement le sait ».
Mais comment le sait-il ? « [Via] deux sociétés de sécurité que je conseillais et qui ont été informées par la division de contre-espionnage du FBI qui enquêtait sur la découverte de puces malveillantes ajoutées aux cartes mères Supermicro ».
Était-il une des personnes directement « briefées » ou bien s’agit-il de propos rapportés par d’autres ? Ce n’est pas précisé et c’est potentiellement un souci dans le cheminement et la compréhension de l’information (nous y reviendrons).
Une puce « planquée » entre les couches d’une carte mère ?
C’est au tour de Mike Quinn (ex-Cisco pendant 23 ans et de passage deux ans chez Microsoft) d’entrer en piste : il « a déclaré avoir été informé de l'ajout de puces sur les cartes mères Supermicro par des responsables de l'US Air Force », expliquent nos confrères.
Il travaillait alors pour une entreprise (non citée) répondant à un appel d’offres pour des contrats avec l'armée de l'air « et les responsables voulaient s'assurer qu'aucun projet n'inclurait des équipements de Supermicro », ajoute Bloomberg.
Il explique que « ce n’était pas un simple gars qui volait une carte-mère et soudait une puce dans sa chambre d’hôtel, c’était directement intégré sur le produit final ». La fameuse puce-espionne était, selon Mike Quinn, « mélangée » aux couches du PCB de la carte mère.
Une source – là encore anonyme – de The Register met en avant une autre hypothèse : la puce-espionne pourrait être cachée sous une autre puce, qui a elle toute sa place sur la carte mère. Cette technique rendrait la supercherie bien plus difficilement détectable : « Si vous créez quelque chose qui ne devrait pas être là, un passage aux rayons X peut le révéler […] Mais si cela ne change que légèrement la forme et la taille du silicium existant, c'est plus difficile à détecter ».
« Il n'est pas difficile d'ajouter un petit circuit, et il n'y a pas de différence tangible à l'observation ». Il faudra pour le moment se contenter de sa parole puisqu’aucune preuve n’a été apportée. On peut évidemment se demander comment elle a fait pour passer inaperçue aux différentes vagues de vérifications qui ont eu lieu en 2018. Des sociétés avec de gros moyens et de gros enjeux sur la sécurité de leurs clients se sont lancées dans des analyses très poussées… sans rien trouver jusqu’à présent.
Et si tout cela n’était qu’un « malentendu » technique ?
Toutes ces belles paroles de Bloomberg sont, cette fois encore, fortement remises en doute par certains experts. Pwn All The Things n’y va pas avec le dos de la cuillère contre nos confrères dans un long thread Twitter. Le compte soulève une piste pour expliquer la situation :
« c’est une source qui a mal compris un briefing défensif du FBI sur les activités des chaînes d'approvisionnement de Chine, qui l'a divulgué à la presse, et Bloomberg n'a *encore* pas réussi à faire le travail nécessaire pour vérifier ces affirmations sensationnelles, car ils confondent des références impressionnantes avec une expertise dans le domaine ».
Bref, Bloomberg se serait (trop) laissé impressionner par le CV de certaines sources, alors qu’elles n’auraient pas forcément toute l’expertise technique pour comprendre les tenants et les aboutissants de cette affaire. Certaines sources pourraient par exemple se mélanger les pinceaux entre une modification logicielle (via le fimware) et matérielle (via l’ajout d’une puce), ce qui n’est pas du tout la même chose. Impossible pour autant de dire si c’est le cas.
Pwn All The Things regrette notamment que la traçabilité de l’information ne soit pas plus indiquée, par exemple pour savoir « le nombre de personnes non techniques par lesquelles sont passées ces informations avant d'arriver à la source » finale. Bref, cette histoire semble « trop grosse », d’autant plus avec les démentis massifs et détaillés qui ont rapidement suivi.
Après, certaines fuites d’informations ont permis de se faire une idée – parfois surprenante – des capacités et des moyens mis en œuvre par des agences de renseignements. C’est notamment le cas des agissements de la NSA.
Pwn All The Thing appelle Bloomberg et ses sources à publier des documents permettant de prouver leurs dires et « ridiculiser » au passage Apple, Amazon, le FBI, la NSA, le DHS Department of Homeland Security (Département de la Sécurité intérieure des États-Unis) et l’ODNI (Office of the Director of National Intelligence) qui ont contredit ouvertement la version de Bloomberg. Pour le moment, rien de tel n’a été fait à notre connaissance.
La morale de cette histoire est…
A contrario, The Register va dans le sens de Bloomberg, toujours en se basant sur leur source qui souhaite elle aussi garder l’anonymat : « J'ai physiquement eu des preuves entre mes mains » sur l’existence d’un matériel compromis, affirme-t-elle à nos confrères, mais sans préciser quelle en était la nature. « Je l'ai vu de plusieurs gouvernements », ajoute-t-elle.
En guise de conclusion, cette même personne explique qu’il « est important d'être conscient que ce genre de choses se produit ». Si par « ce genre de chose » on parle d’espionnage à haut niveau par des États, alors on ne peut qu’être sur la même longueur d’onde et c’est certainement le point le plus important à retenir.
Dans tous les cas – que Bloomberg ait raison ou non – l’espionnage numérique ne doit pas être pris à la légère, peu importe le vecteur d’attaque. On se souviendra du débat sur le matériel 5G Huawei interdit dans certains pays, sous la pression des États-Unis qui parlent – sans apporter de preuve – de risques pour la sécurité nationale.
De leur côté, les entreprises l’ont généralement bien compris et appliquent des règles strictes d’hygiène numérique, en surveillant par exemple les flots de données entrants et sortants, réalisant des audits de sécurité par des tiers, etc. Le risque zéro n’existe pas, et personne ne pourrait d’ailleurs l’affirmer ; il faut en permanence surveiller et s’adapter.
