Bloomberg a fait état en octobre d’une prétendue arnaque chinoise visant à espionner les entreprises américaines, dont Apple et Amazon, avec une minuscule puce cachée sur les cartes mères des supermicros. Les entreprises ont nié cela et ont été défendues par le ministère américain de la sécurité intérieure et le Royaume-Uni. Cette fois, un audit indépendant commandé par Supermicro est arrivé à la même conclusion.
Pour résumer : un rapport prétend qu’Amazon et Apple ont trouvé une mystérieuse puce sur les cartes mères de Supermicro qui pourrait télécharger un code malveillant et l’exécuter sur le système d’exploitation. Il servirait à espionner les centres de données, à voler les secrets d’affaires et l’adresse IP.
La puce devait avoir la taille d’un grain de riz et a été implantée par l’Armée populaire de libération – c’est-à-dire les forces armées chinoises – pour s’introduire par des portes dérobées dans le réseau de 30 entreprises américaines. Apple et Amazon l’auraient signalé au FBI pour une enquête secrète.
Sommaire
Supermicro, Apple et Amazon nient l’espionnage par puce
“Après une analyse complète et une série de tests fonctionnels, la société de recherche n’a trouvé absolument aucune preuve de l’existence de matériel malveillant sur nos cartes mères”, écrit Charles Liang, PDG de Supermicro, dans une lettre aux clients.
L’audit a permis de tester des échantillons de cartes mères anciennes et actuelles, y compris des modèles vendus à Apple et à Amazon, et d’analyser les activités logicielles suspectes. Selon Reuters, elle a été menée par Nardello Co, fondée par l’ancien procureur américain Daniel Nardello.
Selon M. Liang, aucune agence gouvernementale ni aucun client “ne nous a jamais informés qu’ils avaient trouvé du matériel malveillant dans nos produits ; et nous n’avons jamais vu aucune preuve de cela dans nos produits.
Les entreprises mentionnées par Bloomberg nient aussi catégoriquement avoir été espionnées par une puce en provenance de Chine. Selon une déclaration d’octobre, “Apple n’a jamais trouvé de puces malveillantes, de “manipulations matérielles” ou de vulnérabilités implantées intentionnellement sur l’un de ses serveurs”. “Nous ne sommes soumis à aucune forme de secret ou autre restriction légale dans nos réponses”.
Amazon affirme qu'”à aucun moment, passé ou présent, nous ne rencontrons de problèmes liés à du matériel modifié ou à des puces malveillantes sur les cartes mères Supermicro dans un système Elemental ou Amazon. (Elemental est une startup acquise par Amazon qui a développé la Prime Video).
Les experts des ANS et de la sécurité doutent de l’utilité des rapports
Le ministère américain de la sécurité intérieure a défendu Amazon et Apple, en déclarant dans un communiqué : “comme nos partenaires au Royaume-Uni, le Centre national de la cybersécurité, nous n’avons pour l’instant aucune raison de douter des déclarations des entreprises citées dans l’histoire.
Rob Joyce, conseiller principal de la NSA, affirme qu’il n’a aucune information pour étayer le rapport de Bloomberg. Il explique à Cyberscoop : “Je ne trouve aucun lien avec les allégations de l’article. J’ai d’excellents contacts et je n’ai toujours pas de piste à suivre du côté du gouvernement [américain]. Nous sommes juste confus.
Les experts en matière de sécurité voient également l’affaire avec scepticisme. L’attaque consisterait à modifier les cartes mères pour qu’elles fonctionnent avec les implants d’espionnage, puis à s’assurer qu’elles continuent de fonctionner même après des mises à jour légitimes du micrologiciel.
Steve Lord, un chercheur spécialisé dans les invasions de matériel, explique à Ars Technica : “Une fois découverte, cette attaque serait rendue inutilisable pour chaque carte touchée car elle serait remplacée. En outre, cette porte dérobée devrait être soigneusement conçue pour fonctionner même après de futures mises à jour (légitimes) du micrologiciel, car l’implant pourrait causer des dommages et entraîner une perte de capacité et une éventuelle découverte.
Supermicro avait plusieurs lacunes en matière de logiciels
Dans la lettre aux clients, Supermicro explique les mesures de sécurité pour leurs cartes mères. Il teste les produits à toutes les étapes de la fabrication, ne donne accès à la conception complète des plaques à aucun employé (pour éviter toute falsification) et contrôle régulièrement les entreprises qui fabriquent les pièces.
Cela n’empêche pas les cartes mères de Supermicro d’avoir des failles de sécurité. Les chercheurs ont découvert un certain nombre de vulnérabilités en 2013 et 2014 impliquant quelques problèmes de base : par exemple, il était possible de mettre à jour le microprogramme sans fournir de signature numérique, ce qui permettait d’installer des versions non autorisées.
“Il serait très bête pour quelqu’un d’ajouter une puce alors qu’une modification non durable du micrologiciel suffirait”, déclare l’expert en sécurité H. D. Moore à Ars Technica. Les chercheurs affirment dans une étude de 2013 que les lacunes logicielles des cartes mères de Supermicro “suggèrent l’incompétence ou l’indifférence à l’égard de la sécurité des clients”. Les attentats décrits par Bloomberg se seraient produits en 2014 et 2015.
