Et si les Chinois avaient installé des micropuces sur des cartes mères serveur de dizaines de sociétés (et d'organisations gouvernementales) pour espionner les réseaux ? C'est l'histoire racontée par Bloomberg impliquant notamment Amazon, Apple et surtout le fabricant Supermicro.
Bloomberg vient de publier une longue enquête qui fait beaucoup de bruit, et pour cause : les services de renseignement chinois auraient développé et intégré dans des cartes mères de Supermicro une minuscule puce permettant d'espionner les réseaux internes. Pour rappel, ce fabricant est leader dans le domaine des produits à destination des serveurs.
La micropuce ne serait pas plus grosse qu'une « pointe de crayon aiguisée » et ressemblerait à certains composants que l'on retrouve sur les cartes mères. Nos confrères ajoutent qu'elle intégrerait « de la mémoire, une capacité de mise en réseau et une puissance de traitement suffisante pour une attaque ». Ce, alors que le vice-président Mike Pence s'en prend aux relations entre les entreprises du secteur des nouvelles technologies et la Chine.
Face à ces accusations, les parties impliquées ont toutes publié un démenti. C'est notamment le cas d'Apple qui surprend en communiquant de manière plus active qu'à son habitude. Cela n'empêche pas la nouvelle d'avoir un fort impact en bourse.
Des micropuces espionnes ajoutées sur le PCB de cartes mères
Cette puce serait ajoutée par des sous-traitants chinois de Supermicro lors de la fabrication des cartes mères, ces derniers ayant été soudoyés ou ayant fait l'objet de pressions par des agents de l’Armée populaire de libération (APL). Les cartes sont ensuite intégrées à des serveurs et livrées un peu partout dans le monde, y compris à de grosses entreprises, des services de renseignements, des gouvernements, etc.
« Lors de l’installation et de la mise en marche d’un serveur, la micropuce modifiait le cœur du système d’exploitation pour qu’il puisse accepter des modifications. La puce pourrait également contacter des ordinateurs contrôlés par les attaquants à la recherche d'instructions supplémentaires » explique Bloomberg.
De manière générale, un piratage matériel au plus bas niveau est bien plus efficace et dangereux d'un piratage logiciel. Cette affaire, si elle se confirme, montre à quel point des maillons comme la chaîne d'approvisionnement sont sensibles et nécessitent la plus grande attention. De quoi poser la question de la délocalisation et du savoir-faire en la matière.
Crédits : Bloomberg
Une histoire qui remonte à 2015, lors du rachat d'Elemental Technologies
Cette histoire remonterait à 2015, mais ne serait toujours pas terminée aujourd'hui et une enquête serait toujours en cours selon nos confrères. À l'époque, Amazon se penchait sur l'acquisition de la start-up Elemental Technologies, à l'origine de Badaboom, pour renforcer son service Prime Video. Ses serveurs auraient été assemblés par Supermicro
Avant de procéder au rachat, une société tierce avait été mandatée pour effectuer une analyse approfondie de sécurité : « les testeurs ont trouvé une micropuce minuscule, pas plus grosse qu'un grain de riz, qui ne faisait pas partie du design original des cartes ». Amazon aurait alors signalé sa découverte aux autorités américaines.
17 sources, une trentaine de sociétés seraient concernées
Selon des sources anonymes mais présentées comme proches du dossier, ce piratage affecterait une trentaine d'entreprises, dont une grande banque, des organisations gouvernementales et Apple. Selon trois sources chez la marque à la Pomme, le fabricant aurait également trouvé des micropuces sur des cartes mères Supermicro durant l'été 2015.
Au total, nos confrères affirment que cette histoire est corroborée par pas moins de 17 sources différentes (provenant du gouvernement et des entreprises concernées). Mais tant Amazon, qu'Apple et Supermicro réfutent en bloc.
De fausses accusations pour Apple, Amazon et Supermicro
« À aucun moment, passé ou présent, nous n’avons rencontré le moindre problème lié à du matériel modifié ou à des puces malveillantes ajoutées dans les cartes mères Supermicro des systèmes d'Elemental ou d'Amazon. Nous n'avons pas non plus engagé d'enquête avec le gouvernement » affirme le géant des services cloud dans un communiqué. « Il y a tellement d'inexactitudes dans cet article en ce qui concerne Amazon qu'elles sont difficiles à compter », ajoute-t-elle.
Une réponse d'une violence rare, qui se retrouve également chez Apple, plutôt habitué aux réponses discrètes ou aux courts communiqués, notamment dans ce genre d'affaires. Ainsi, la société affirme n'avoir « jamais trouvé dans ses serveurs de puces destinées à engendrer une modification de ses équipements ou à créer intentionnellement des vulnérabilités ». Elle ajoute dans un communiqué être « Profondément déçue que, dans leurs relations avec nous, les journalistes de Bloomberg n'aient pas été ouverts à la possibilité que leurs sources fassent erreur ou soient mal informées ».
Apple lance une autre piste : « Notre meilleure hypothèse est qu'ils confondent cette histoire avec un incident précédemment rapporté en 2016 dans lequel nous avons découvert un pilote infecté sur un seul serveur Supermicro dans un de nos laboratoires. Il a été déterminé que cet événement ponctuel était accidentel et non une attaque ciblée ».
Même son de cloche chez Supermicro auprès de Bloomberg : « Nous n’avons trouvé aucune preuve pour étayer les allégations d’installation de puces malveillantes ou de modification de matériel ». Dans un communiqué, la société « réfute fermement » ses accusations. Des déclarations et réponses reprises par Bloomberg dans un second article.
En plus des sociétés que nous avons précédemment citées, se trouve une déclaration du ministère chinois des Affaires étrangères. Il commence par affirmer que « la Chine est un fervent défenseur de la cybersécurité [...] La sécurité de la chaîne d'approvisionnement dans le cyberespace est une question d'intérêt commun ». « Nous espérons que les parties feront moins d'accusations gratuites, mais mèneront des discussions et une collaboration plus constructive afin que nous puissions travailler ensemble à la construction d'un cyberespace paisible, sûr, ouvert, coopératif et ordonné » ajoutent les officiels.
Déjà des demandes d'une enquête de la SEC
Le site spécialisé ServeTheHome (STH), proposant des services d'analyse aux professionnels, dit avoir enquêté de son côté. Pour s'imposer, il affirme « examiner plus de plateformes serveur » que n'importe qui, y compris celles de Supermicro.
Premier point pour eux : « Il doit bien sûr y avoir beaucoup plus qu’une simple puce. Cette puce doit exploiter les signaux électriques pour l’alimentation et le transfert de données. Cela signifie qu’il faut non seulement insérer un composant, mais également des câbles pour circuits imprimés ».
« C’est franchement un peu étrange d’un point de vue technique. Où ces puces pourraient-elles être situées », se demande STH. Le vecteur d'attaque le plus probable selon eux serait de s'en prendre au BMC (Baseboard Management Controller), mais ne serait pas suffisant pour une ampleur décrite par Bloomberg.
ServeTheHome revient aussi sur le fond de l'histoire et son déroulement : « Les serveurs Supermicro sont achetés pour des contrats militaires américains et sont utilisés à ce jour [...] Si le FBI, ou d'autres responsables des services de renseignement, avaient des raisons de croire que le matériel Supermicro était compromis, on s'attendrait à ce qu'il faille moins de quelques années pour que cette situation s'arrête ».
Dans sa conclusion, STH réclame une enquête de la SEC « auprès de toute personne ayant récemment vendu à découvert des actions de Supermicro ». Puisque les sociétés incriminées ne se sont pas contentées d'un simple « pas de commentaire », mais d'une réfutation vigoureuse et sans ambiguïté, elle souhaite aussi que le régulateur enquête sur le sujet.
Plongeons en série
Car les actions des sociétés du secteur jouent au yo-yo... et c'est peu de le dire. Supermicro perd ainsi 41 % en bourse, passant de 21,40 dollars par action à 12,60 dollars seulement. Lenovo aussi souffre avec 15,77 % de moins, tandis la situation est plus calme pour Apple (-1,76 %) et Amazon (-2,22 %).
Quelle que soit l'issue de cette histoire, elle rappelle en tout cas que la sécurité des serveurs est un problème et doit être traitée avec toute la rigueur nécessaire... au risque de voir l'avenir d'une société basculer du jour au lendemain.
