C’est comme dans un film : une couverture de Bloomberg Businessweek a révélé jeudi (4) un prétendu plan utilisé par des espions chinois pour infiltrer près de 30 sociétés américaines, dont Amazon, Apple et une grande banque américaine.
L’astuce consistait à cacher une puce de la taille d’un grain de riz, capable d’altérer le cœur du système d’exploitation, de briser les protections de sécurité et d’exécuter des codes malveillants, sur les cartes mères utilisées dans les serveurs des grandes entreprises. Mais les personnes impliquées nient toute attaque.
Sommaire
Tout a commencé avec l’achat d’une start-up par Amazon
Le problème a commencé à être découvert en 2015 par Amazon. À l’époque, la société de Jeff Bezos étudiait l’achat d’une start-up, Elemental Technologies, pour développer ce qui est aujourd’hui l’Amazon Prime Video. Elle a demandé un audit pour tester la sécurité de la start-up avant de conclure l’affaire ; l’une des procédures consistait à envoyer les serveurs d’Elemental pour analyse par le contractant au Canada.
C’est là que l’audit a trouvé une mystérieuse puce qui ne faisait pas partie du design original des cartes mères, fabriquée par Supermicro, une société basée en Californie, mais qui sous-traite tout dans des usines chinoises, bien sûr. Après une enquête, on a découvert que cette puce n’était pas du tout innocente : elle pouvait communiquer avec une machine distante, télécharger un code malveillant et l’exécuter sur le système d’exploitation, faisant ainsi place à l’espionnage.
Cela a été possible parce que la puce, censée être installée par l’armée chinoise, était connectée à un contrôleur de carte mère qui permet une connexion à distance en cas de panne. Autrement dit, il pouvait agir avant même qu’une protection logicielle n’entre en action, et quel que soit le système d’exploitation du serveur.
Apple a également signalé l’affaire au FBI pour avoir découvert la puce malveillante en mai 2015 après avoir “détecté une activité réseau étrange et des problèmes de micrologiciels” selon Bloomberg. A tel point que la société de Tim Cook, qui possédait plus de 7 000 serveurs Supermicro, aurait remplacé toutes les machines “en quelques semaines”.
Imaginez maintenant l’ampleur du gâchis : Supermicro est l’un des plus grands fournisseurs de composants de serveurs au monde, et ses cartes mères sont ou ont été utilisées dans des machines d’Amazon, d’Apple et d’autres géants américains. Selon les enquêteurs américains, l’attaque a touché près de 30 entreprises, dont une banque.
Les entreprises disent que ce n’était pas du tout le cas
Les entreprises concernées ont nié l’attaque.
Amazon déclare à Bloomberg qu’elle n’avait pas connaissance de modifications ou de puces malveillantes, et nie avoir collaboré avec le FBI pour enquêter sur les serveurs problématiques. Il indique également que l’audit a révélé des vulnérabilités dans les cartes mères de Supermicro, mais qu’elles n’étaient pas liées au matériel ou aux puces, et que les défaillances ont été corrigées avant l’acquisition d’Elemental.
Apple affirme n’avoir connaissance d’aucune enquête du FBI, et n’a jamais trouvé de puces malveillantes, manipulé du matériel, ou planté intentionnellement des vulnérabilités sur un serveur. Il indique également que le rapport est inexact.
Supermicro nie avoir cessé d’être le fournisseur de tout client en raison de ce type de problème. Dans une note, il indique qu’il n’a été contacté par aucun organisme gouvernemental et qu’il n’a pas connaissance d’une quelconque enquête sur l’affaire. L’action de la société a chuté de plus de 60% jeudi (4).
Mais Bloomberg a maintenu le contenu du rapport : le véhicule affirme que six agents de la sécurité nationale américaine ont détaillé la découverte des puces malveillantes et l’enquête sur l’affaire ; deux personnes au sein d’Amazon Web Services (AWS) ont fourni des informations détaillées sur l’attaque ; et trois fonctionnaires d’Apple et quatre fonctionnaires américains ont confirmé que l’affaire s’était réellement produite.
Quelle histoire !