Selon Bloomberg, l’affaire de la puce-espionne sur les cartes mères Supermicro ne serait qu’une petite partie de l’iceberg. Malgré les nombreuses contestations, nos confrères persistent et signent, en s’appuyant sur de nouvelles déclarations et sources. Pas de quoi convaincre Supermicro, qui dément formellement les nouvelles accusations.
Il y a un peu moins de deux ans et demi, Bloomberg publiait une longue enquête portant sur les services de renseignements chinois qui auraient développé et intégré dans des cartes mères Supermicro – largement utilisées dans le monde des serveurs – des micropuces-espionnes.
Apple, Amazon et Supermicro se sont rapidement inscrits en faux et ont demandé à nos confrères de se rétracter, ce qu’ils n’ont jamais fait. Le fabricant de cartes mères a lancé une enquête indépendante qui n’a relevé « aucun matériel malveillant sur les cartes mères ».
Petite révision sur les accusations et démentis
D’autres se sont ajoutés à la liste des sceptiques face à cette révélation. Les services de renseignements anglais et américains ont par exemple affirmé n’avoir « aucune raison de douter des informations détaillées publiées par AWS [Amazon Web Services, ndlr] et Apple ». Même son de cloche à la Sécurité intérieure des États-Unis (DHS).
Quelques jours plus tard, Rob Joyce (conseiller pour la cybersécurité à la NSA) affirmait n’avoir « rien vu » et craignait « que nous poursuivions des fantômes ». De son côté, Octave Klaba nous expliquait avoir « passé beaucoup de temps » sur cette histoire, là encore sans rien trouver, etc. Idem sur le site spécialisé ServeTheHome (STH) pour qui « les détails techniques du prétendu piratage de Bloomberg sont inexacts et/ou invraisemblables ».
Depuis, c’est le calme plat. Chacun campe sur ses positions : aucune société n’a apporté la preuve formelle de la présence d’une puce-espionne sur une carte mère Supermicro, tandis que Bloomberg n’a fait aucune rétractation. Nos confrères au contraire affirmaient avoir une « nouvelle preuve de piratage de matériel Supermicro chez un opérateur américain ».
Une nouvelle saison du feuilleton débute, avec un nouvel article de nos confrères – « The Long Hack : Comment la Chine a exploité un fournisseur de technologie américain » – où ils donnent de nouveaux détails et sources… un article suivi rapidement d’un démenti de Supermicro.
Bloomberg brandit de nouvelles accusations (et sources)…
Dans leur introduction, nos confrères mettent en avant trois éléments pour poser le décor. En 2010 tout d’abord, « le département de la Défense a trouvé que des milliers de ses serveurs envoyaient des données de réseaux militaires vers la Chine ». En cause, un bout de code « caché » dans le BIOS des machines.
Second élément en 2014, lorsqu’Intel a « découvert qu'un groupe de piratage chinois de haut vol avait pénétré dans son réseau ». Enfin en 2015, quand le FBI (Federal Bureau of Investigation) a « averti plusieurs entreprises que des agents chinois avaient caché une puce avec une porte dérobée dans les serveurs d'un fabricant ».
Dans les trois cas, ces attaques distinctes auraient en commun d’impliquer la Chine et le fabricant Supermicro. Selon Bloomberg, les experts en cybersécurité américains auraient découvert le pot aux roses il y a des années, mais les autorités auraient décidé de garder leurs conclusions secrètes pour essayer de contrer les attaques et « en apprendre davantage sur les capacités de la Chine ».
En s’appuyant sur des déclarations de quatorze sources proches du dossier (d’anciens responsables du renseignement), Bloomberg ajoute que cette situation aurait ainsi « fait l'objet d'un contrôle fédéral pendant une grande partie de la dernière décennie ». Ce serait notamment le cas du FBI depuis 2012.
Pour appuyer son propos, Bloomberg cite Jay Tabb, un ancien haut responsable du Federal Bureau of Investigation : l’affaire « Supermicro illustre parfaitement à quel point les entreprises américaines sont susceptibles de subir une potentielle altération néfaste des produits qu'elles font fabriquer en Chine […] C’est un exemple du pire scénario si vous n’avez pas une supervision complète de l’endroit où vos appareils sont fabriqués ».
Il ne donne aucun détail sur une éventuelle enquête en cours, et affirme que « le gouvernement chinois fait cela depuis longtemps, et les entreprises doivent en être conscientes […] La Silicon Valley en particulier doit cesser de prétendre que cela ne se produit pas ». Il ne confirme pas directement les allégations concernant la présence de puces-espionnes.
… Supermicro le renvoie dans les cordes
La réponse de Supermicro ne s’est pas fait attendre. Un communiqué a été mis en ligne, sur la même lignée qu’il y a deux ans et demi : « L'histoire de Bloomberg est un mélange d'allégations disparates et inexactes qui remontent à de nombreuses années ».
La société réaffirme n’avoir « jamais été contacté par le gouvernement américain, l'un de [ses] partenaires ou clients au sujet des enquêtes présumées […] Au contraire, plusieurs agences gouvernementales américaines, dont Bloomberg affirme qu'elles ont ouvert des enquêtes, continuent d'utiliser nos produits depuis des années ».
Supermicro se dit d’autant plus surprise que les accusations remonteraient à dix ans. Pour l’entreprise, « Bloomberg essaye de faire revivre son histoire de 2018, fausse et largement discréditée ». Les réponses de la société sont intégrées dans l’enquête de nos confrères.
Bloomberg ne démord pas, ça durerait depuis dix ans
Dans le reste de son article, Bloomberg revient plus en détail sur ses prétendues découvertes. Pour appuyer leurs dires, nos confrères affirment s’être entretenus avec « plus de 50 personnes des forces de l'ordre, de l'armée, du Congrès, des agences de renseignement et du secteur privé »… une grande majorité sous couvert d’anonymat. Elles étaient pour rappel 17 en 2018.
Le site rappelle que plusieurs voix se sont fait entendre pour demander une rétraction (Apple, Amazon, Supermicro, des officiels américains…), mais nos confrères persistent et signent. Ils ajoutent même que leur première analyse ne serait que la partie émergée de l’iceberg :
« À la lecture de nouveaux rapports, il semble évident que la publication [initiale] de Bloomberg Businessweek n'avait mis en lumière qu'une partie des événements, dans lesquels les responsables américains ont d'abord soupçonné, puis enquêté, surveillé et essayé de contrôler des manipulations répétées de la Chine sur les produits Supermicro ».
Déclaration choc : « C'est réel […] et le gouvernement le sait »
Comment nos confrères expliquent-ils le mutisme de Supermicro (et des autres) ? Tout simplement, car le grand public et surtout les parties concernées n’auraient pas été informés de l'enquête de contre-espionnage du FBI. C’est en tout cas la déclaration de « trois anciens responsables américains ». Le sceau du secret serait partiellement levé lors de réunions « secrètes » pour mettre en garde des acteurs tiers triés sur le volet.
Bloomberg publie ensuite des déclarations de Mike Janke (Data Tribe, BlackPhone et ancien Navy SEAL), une de ses sources acceptant d’être citée sur certains points. Il confirmerait sans détour la situation : « C'est réel […] et le gouvernement le sait ».
Mais comment le sait-il ? « [Via] deux sociétés de sécurité que je conseillais et qui ont été informées par la division de contre-espionnage du FBI qui enquêtait sur la découverte de puces malveillantes ajoutées aux cartes mères Supermicro ».
Était-il une des personnes directement « briefées » ou bien s’agit-il de propos rapportés par d’autres ? Ce n’est pas précisé et c’est potentiellement un souci dans le cheminement et la compréhension de l’information (nous y reviendrons).
Une puce « planquée » entre les couches d’une carte mère ?
C’est au tour de Mike Quinn (ex-Cisco pendant 23 ans et de passage deux ans chez Microsoft) d’entrer en piste : il « a déclaré avoir été informé de l'ajout de puces sur les cartes mères Supermicro par des responsables de l'US Air Force », expliquent nos confrères.
Il travaillait alors pour une entreprise (non citée) répondant à un appel d’offres pour des contrats avec l'armée de l'air « et les responsables voulaient s'assurer qu'aucun projet n'inclurait des équipements de Supermicro », ajoute Bloomberg.
Il explique que « ce n’était pas un simple gars qui volait une carte-mère et soudait une puce dans sa chambre d’hôtel, c’était directement intégré sur le produit final ». La fameuse puce-espionne était, selon Mike Quinn, « mélangée » aux couches du PCB de la carte mère.
Une source – là encore anonyme – de The Register met en avant une autre hypothèse : la puce-espionne pourrait être cachée sous une autre puce, qui a elle toute sa place sur la carte mère. Cette technique rendrait la supercherie bien plus difficilement détectable : « Si vous créez quelque chose qui ne devrait pas être là, un passage aux rayons X peut le révéler […] Mais si cela ne change que légèrement la forme et la taille du silicium existant, c'est plus difficile à détecter ».
« Il n'est pas difficile d'ajouter un petit circuit, et il n'y a pas de différence tangible à l'observation ». Il faudra pour le moment se contenter de sa parole puisqu’aucune preuve n’a été apportée. On peut évidemment se demander comment elle a fait pour passer inaperçue aux différentes vagues de vérifications qui ont eu lieu en 2018. Des sociétés avec de gros moyens et de gros enjeux sur la sécurité de leurs clients se sont lancées dans des analyses très poussées… sans rien trouver jusqu’à présent.
Et si tout cela n’était qu’un « malentendu » technique ?
Toutes ces belles paroles de Bloomberg sont, cette fois encore, fortement remises en doute par certains experts. Pwn All The Things n’y va pas avec le dos de la cuillère contre nos confrères dans un long thread Twitter. Le compte soulève une piste pour expliquer la situation :
« c’est une source qui a mal compris un briefing défensif du FBI sur les activités des chaînes d'approvisionnement de Chine, qui l'a divulgué à la presse, et Bloomberg n'a *encore* pas réussi à faire le travail nécessaire pour vérifier ces affirmations sensationnelles, car ils confondent des références impressionnantes avec une expertise dans le domaine ».
Bref, Bloomberg se serait (trop) laissé impressionner par le CV de certaines sources, alors qu’elles n’auraient pas forcément toute l’expertise technique pour comprendre les tenants et les aboutissants de cette affaire. Certaines sources pourraient par exemple se mélanger les pinceaux entre une modification logicielle (via le fimware) et matérielle (via l’ajout d’une puce), ce qui n’est pas du tout la même chose. Impossible pour autant de dire si c’est le cas.
Pwn All The Things regrette notamment que la traçabilité de l’information ne soit pas plus indiquée, par exemple pour savoir « le nombre de personnes non techniques par lesquelles sont passées ces informations avant d'arriver à la source » finale. Bref, cette histoire semble « trop grosse », d’autant plus avec les démentis massifs et détaillés qui ont rapidement suivi.
Après, certaines fuites d’informations ont permis de se faire une idée – parfois surprenante – des capacités et des moyens mis en œuvre par des agences de renseignements. C’est notamment le cas des agissements de la NSA.
Pwn All The Thing appelle Bloomberg et ses sources à publier des documents permettant de prouver leurs dires et « ridiculiser » au passage Apple, Amazon, le FBI, la NSA, le DHS Department of Homeland Security (Département de la Sécurité intérieure des États-Unis) et l’ODNI (Office of the Director of National Intelligence) qui ont contredit ouvertement la version de Bloomberg. Pour le moment, rien de tel n’a été fait à notre connaissance.
La morale de cette histoire est…
A contrario, The Register va dans le sens de Bloomberg, toujours en se basant sur leur source qui souhaite elle aussi garder l’anonymat : « J'ai physiquement eu des preuves entre mes mains » sur l’existence d’un matériel compromis, affirme-t-elle à nos confrères, mais sans préciser quelle en était la nature. « Je l'ai vu de plusieurs gouvernements », ajoute-t-elle.
En guise de conclusion, cette même personne explique qu’il « est important d'être conscient que ce genre de choses se produit ». Si par « ce genre de chose » on parle d’espionnage à haut niveau par des États, alors on ne peut qu’être sur la même longueur d’onde et c’est certainement le point le plus important à retenir.
Dans tous les cas – que Bloomberg ait raison ou non – l’espionnage numérique ne doit pas être pris à la légère, peu importe le vecteur d’attaque. On se souviendra du débat sur le matériel 5G Huawei interdit dans certains pays, sous la pression des États-Unis qui parlent – sans apporter de preuve – de risques pour la sécurité nationale.
De leur côté, les entreprises l’ont généralement bien compris et appliquent des règles strictes d’hygiène numérique, en surveillant par exemple les flots de données entrants et sortants, réalisant des audits de sécurité par des tiers, etc. Le risque zéro n’existe pas, et personne ne pourrait d’ailleurs l’affirmer ; il faut en permanence surveiller et s’adapter.
Commentaires (30)
#1
supermicro est coté en bourse ? qqn veut faire baisser l’action pour ensuite faire une OPA hostile (ou les couler purement et simplement) ?
#2
Je ne comprends pas. s’il y avait des puces ajoutées pourquoi ne pas démonter une carte pour le voir? Bloomberg a largement les moyens de le faire faire non?
#3
Une question que je me pose, c’est comment exploiter cette micropuce si on admet qu’elle est présente ?
Je vois mal un micropuce en capacité de faire du port-mirroring (renvoyer tout le trafic réseau) et ce serait facilement détectable.
Peut-être qu’elle pourrait faciliter la prise de contrôle ou l’élévation des privilèges ?
#3.1
Il existe des micropuces aux capacités incroyables, on le sait depuis les révélations de Snowden.
Néanmoins je vois mal autant d’acteurs américains et chinois cacher la vérité : si ce sont les américains qui espionnent, les chinois le diraient et si les chinoins espionnaient, les américains le diraient. Donc si les deux camps sont d’accord, il y a de quoi douter.
Bloomberg semble vouloir avoir “son” scandale, mais ça n’est pas la seule fois où ça fait pschit.
#3.2
Je me suis posé les mêmes questions que vous
Ma (courte et naïve) réflexion serait qu’une telle manipulation ne serait possible et utiles que si les pares-feux et équipements réseaux sont eux aussi compromis et subtilement programmés pour laisser passer ces flux sans laisser aucune trace. Tous. Y compris ceux des opérateurs de réseaux dont les stats doivent correspondre à celles de la défense sous peine de révéler le pot aux roses.
C’est imaginable en théorie, mais vachement audacieux comme mécanisme d’attaque, il suffirait d’un routeur / pare-feu qui tracerait le trafic réel pour faire apparaitre la manipulation…
#3.3
Ou plus simple, corrompre un site officiel et l’utiliser comme serveur de commande et de contrôle (C&C).
Ainsi, les flux “malveillant” pourront transiter depuis la puce ou l’OS compromis vers une IP officielle et vue comme légitime.
C’est l’idée derrière les attaques de type “Supply chain attacks” : l’attaquant compromet une dépendance d’un site, permettant de compromettre ensuite le site ou ses utilisateurs.
#4
Il faut que Bloomberg continue de gratter pour trouver la puce !
#5
ça parait assez douteux comme accusation. J’ai l’impression que personne ne sait de quoi il parle. Pour le coté hw : Comment c’est possible “d’injecter” une puce dans un pcb comme ça ? Est-ce qu’ils se rendent compte de la complexité d’élaboration d’un PCB ? Il faudrait que des dizaines de personnes soient au courant chez SuperMicro. On ne peut pas souder un truc qui envoit direct des info par je ne sais pas quel moyen.
Prenon un cas hypothétique d’injection de paquet via le lien ethernet : il faudrait au moins intercepter ce qui passe sur le PHY, avec une couche MAC sur la puce, traiter les données pour réinjecter des paquets ni vi ni connu. Ce n’est plus une “micro-puce” là, c’est presque un SoC complet qu’il faudrait ajouter, avec l’ensemble de l’électronique qui va avec (alimentation, resistance, etc)
Pour le coté sw c’est un peu pareil, comment du code ajouté dans le bios peut accéder à tout le système comme ça. À la rigueur, si le driver ethernet est présent tu peux peut être faire un dump de la ram, mais quel est l’intêret de le faire au démarrage ?
#6
Lorsque l’affaire avait été révélée la première fois, certains chercheurs ont essayé de voir si le concept était plausible. En résumé pour que ça se fasse il faut que la chaine d’approvisionnement des puces chez supermicro soit corrompue. Autrement dit, quelqu’un détourne le vrai chargement de chipset, et le remplace par des puces modifiées. Supermicro installe les puces pensant qu’elles sont vraies et à la fin ça se retrouve sur le produit fini.
Avec de (très) gros moyens, c’est plausible de fraiser l’arrière d’une “grosse” puce, et de poser un microcontrôleur parasite qui va espionner quelques entrées et sorties. Si on recouvre le tout de résine, la puce semble tout ce qu’il y a de plus normal.
Mais ça ne peut pas être un gros SOC, c’est plutôt un tout petit système qui lorsqu’il reçoit LA bonne commande, permet d’ouvrir une brèche.
#6.1
Bloomberg avait parlé d’une puce rajoutée sur des pistes d’un bus de communication.
Puce dont on a un rendu 3D mais…. toujours pas d’exemplaire sous la main.
EDIT : je suis le seul aàà avoir des bugs dans le champ de texte de nxi ? Lettres en double, inversées etc. Sur firefox Android. Ja’i testé plusieurs claviers.
#7
La grande question c’est surtout: QUI irait s’emmerder à faire ça avec du hardware quand c’est mille fois plus simple et infiniment plus discret avec du software ?
#7.1
Bin, là, la réponse est assez simple : Le hardware est fabriqué en Chine, sous-traité à plusieurs entreprises pour un seul produit (et ils se sous-traitent ça entre eux en plus).
Le software, soit on parle de petits firmwares OTP flashé potentiellement en usine, mais on n’aura pas accès à beaucoup de possibilités en piratant ces softwares, soit on parle du firmware/OS principal (southbridge, linux embarqué, etc) et là c’est en général flashé par le fabricant / intégrateur.
#8
Pour le coup autant je suis convaincu du problème du cyberespionnage et au fait qu’ajouter des composants espions soit plausible, autant dans le cas présent je n’y crois pas une seconde.
#9
OK donc, comme le soulève PwnAllTheThings, il s’agit d’un complot de la RPC et de SuperMicro, couvert par Apple, Amazon, le FBI, la NSA, le DHS et l’ODNI, aucun des 6 derniers n’ayant les capacités techniques ou financières de vérifier leurs PCB.
ça se tient.
#9.1
Sans oublier la marmotte qui emballe le chocolat.
#9.2
Et qui injecte du café a l’intérieur des couches du chocolat
#10
On est bien d’accord que c’est à la base plus simple de développer du soft que du hard.
Pour la discrétion c’est autre chose, comme le hardware fournit une abstraction au software, un hardware malveillant va généralement fournir la même abstraction au software, et sera donc indétectable par celui-ci.
Pour ceux que ça intéresse, voila un papier de recherche présentant une technique d’attaque au niveau des dopants du circuits (donc très bas), qui d’après eux est extrêmement difficile à détecter, même au niveau hardware. Un des deux exemples d’application est l’affaiblissement d’un générateur de nombres aléatoires, ce qui n’implique pas pour l’attaquent de contrôler son circuit.
Je ne crois pas que cette technique ait été détecté dans la nature, mais ça donne une idée de ce qui est faisable.
#11
Ca ressemble plus a une manœuvre politique / économique qu’autre chose.
Dans un domaine technique on s’attend a du tangible. Pas de bol.
Bon ça arrange qui du coup? Certains états pour redynamiser leurs marchés intérieurs? Ptet bien.
#12
J’ai l’impression que Supermicro n’est en bourse que depuis un an et quelques. Donc ça n’est pas une manipulation de marché.
Mais il va falloir que ces entreprises et les autorités de régulation de marché se posent réellement la question du but de ces annonces. Parce que ça m’a clairement l’air malveillant.
Si ça n’était pas le cas, Bloomberg aurait d’abord contacté Supermicro, pour éviter que l’info ne soit publique, et que les pirates n’aient pas le temps d’effacer leurs traces avant un audit de Supermicro.
Avec un tel article (celui de 2018), ils ont clairement gueulé “hé, les pirates, on arrive, cachez-vous !”
#13
Sauf qu’on n’est pas chez Disney et les complots sont plus compliqués que ça. Déjà parce que ce que le public pense et sait, on s’en fout (donc aucune raison qu’ils “disent” quoi que ce soit) tant qu’on ne cherche pas à manipuler l’opinion de masse pour en obtenir un résultat politique. Donc si effectivement il y a une guerre espionnage/contre-espionnage, avec des batailles perdues, ce ne sont pas des informations qui seront à crier sur les toits, et il est possible que Bloomberg soit en train de saboter une opération de contre-espionnage en dévoilant le jeu des étatsuniens, lesquels ne peuvent que tenter de nier qu’ils sauraient quelque chose (mais en vain, car en face, ils savent qu’ils savent…). Ou ça peut être encore plus compliqué que ça.
Ou plus simple : du pur complotisme, une couche de plus ajoutée par un grand média contre la Chine (mais dans ce cas, on serait dans la manipulation politique et on s’attendrait à un matraquage, pas un débat).
#13.1
Evidemment ça peut être plus compliqué, et j’oublie parfois qu’on a changé d’administration aux USA. Jusqu’à il n’y a pas longtemps, c’était toujours la faute des Chinois, et jamais des Russes. Néanmoins, je pense que les USA (ou d’autres) ne manqueraient pas de signaler une opération chinoise de grande envergure, mais je peux me tromper.
Pour ma part, je pense que Bloomberg fait plutôt la chasse au scoop et n’a pas la rigueur d’un NextINpact
…
#14
Mais tout le monde sait que il y a un GPS dans l’iMac.
GPS iMac
#15
Ou plus simplement qui bloque le fonctionnement : le même effet qu’une IEM mais de l’intérieur par le simple envoi d’une suite de data…
#16
[quote] Déclaration choc : « C’est réel […] et le gouvernement le sait[/quote]
Cette phrase me fait penser à certains complotistes sur Twitter. Après avoir sorti une « info » sans preuves, certains finissent leur tweet par ces mots.
#16.1
Une grosse erreur de nous autres complotistes que de supposer que tout le monde sait, au pouvoir, qu’ils voient la même chose que nous mais cachent la vérité. Alors qu’ils n’ont que des journées de 24h, comme nous, avec des agendas super remplis, et qu’ils doivent faire confiance aux médias et à des notes ou rapports pour s’informer, et donc être tenus dans une bulle de désinformation comme la majorité des gens.
#17
Pour ceux qui connaissent, toute cette histoire me fait penser à l’affaire Genoa dans (l’excellente) série The Newsroom (avec Bloomberg qui joue le rôle de ACN).
#18
Les barbouses découvrent l’IPMI….. et ça se peut qu’il y aie des failles dedans (dans le matériel chinois comme dans l’américain d’ailleurs)
#19
La morale de l’histoire, ne jamais faire confiance a la chine.
#19.1
Non la vrais morale c’est de ne faire confiance a aucune puissance étrangère, c’est pas comme si les USA n’espionnai pas tous le monde pour leurs intérêts.
#20
Tiens, maintenant que cette affaire est remise “au goût du jour”, je peux enfin mettre le doigt sur certains éléments qui me dérangeaient et pourquoi ils me dérangeaient :
Donc, le département informatique de l’armée américaine laisserait des MILLIERS de serveurs contenant ou ayant accès à des données sensibles exposés à Internet? 🤔