Y a-t-il sur les serveurs d’Apple et d’Amazon des micropuces « malveillantes », déposées là à des fins d’espionnage et autres joyeusetés par rien de moins que les services de renseignement chinois. Mais cette affaire révélée par Bloomberg est démentie par les principaux concernés.
Dans un long article publié hier, les journalistes de Bloomberg Businessweek font état d’une découverte surprenante. Des puces, grandes de quelques millimètres, installées sur les cartes mères de la société Supermicro, un des plus importants fournisseurs aux Etats-Unis. En 2015, Amazon songe à racheter Elemental, étoile montante de la compression vidéo, et commissionne une société tierce afin qu’elle audite la sécurité de la cible du rachat.
C’est alors, selon Bloomberg, que sont découverts les premiers signes d’un méchant problème de sécurité sur les serveurs d’Elemental, serveurs assemblés par Supermicro. Elemental, averti, envoie quelques serveurs pour une analyse plus poussée. Les testeurs découvrent alors « une toute petite puce, pas beaucoup plus grosse qu'un grain de riz, qui ne faisait pas partie du design original des serveurs ». Amazon prévient les autorités américaines sans tarder, d’autant que les serveurs d’Elemental étaient utilisés par le Pentagone ou encore la CIA…
Une enquête top-secrète
« Les enquêteurs ont déterminé que les puces permettaient aux attaquants de créer une porte furtive vers n'importe quel réseau incluant les machines modifiées » rapporte Bloomberg. Panique à bord ! Selon l’une des sources anonymes, près d’une trentaine d’entreprises, dont une banque, des sous-traitants du gouvernement et accessoirement Apple sont « éventuellement affectés ». Et tous ont pour point commun de se fournir chez Supermicro.
A partir de l’entreprise de San Jose, les enquêteurs remontent jusqu’à ses fournisseurs et à leurs sous-traitant chinois. « Les enquêteurs ont constaté que les puces avaient été insérées dans des usines gérées par des sous-traitants en Chine, selon plusieurs personnes proches du dossier » soulignent les journalistes. Pour une autre source, cela ne fait aucun doute : Pékin est coupable. Et Bloomberg est encore plus précis : il s’agit là d’une campagne montée par une unité spéciale de l’armée chinoise qui procède en contraignant les fabricants à intégrer les puces espionnes à leurs produits.
« La Supply Chain mondiale est compromise »
Concrètement, ces « implants » servent à manipuler les instructions de fonctionnement qui indiquent au serveur quoi faire lorsque les données se déplacent sur une carte mère, de sorte à pouvoir notamment ouvrir l’accès au serveur à un attaquant. Mais visiblement, si les enquêteurs ont détecté des « communications » entre les serveurs altérés et ce qui semble être des attaquants, ils n’ont pu constater aucune tentative de déplacer ou de supprimer des données. Mais quand bien même « la sécurité de la supply chain mondiale a été compromise, même si les consommateurs et la plupart des entreprises ne le savaient pas encore » écrit Bloomberg.
Et c’est là que les choses se compliquent un peu plus. Supermicro, Apple et Amazon démentent totalement ces informations que ni le renseignement américain, ni les autorités chinoises, n’ont souhaité commenter. Supermicro, qui depuis l’article a perdu près de la moitié de sa valeur en bourse, explique « ne pas être au courant d’un telle enquête ». Le géant de l’e-commerce, pour sa part, dénonce comme « faux » le fait que « AWS était au courant d'une compromission avec la chaîne logistique, d'un problème de puces malveillantes ou de modifications matérielles lors de l'acquisition d'Elemental ». Apple va jusqu’à écrire « ne jamais avoir trouvé de puces malveillantes, de "manipulations matérielles" ou de vulnérabilités intentionnelles dans ses serveurs », alors que Bloomberg rapporte que la découverte par la marque à la pomme de ces micropuces en 2014 l’a conduit à mettre 7000 serveurs Supermicro au rebut.
Information démentie
Difficile de démêler le vrai du faux, l’hypothétique de la réalité dans cette affaire. Si Bloomberg assure s’appuyer sur de très nombreuses sources, le manque d’informations factuelles oblige à prendre ces révélations avec des pincettes. Comment concrètement fonctionnent ces puces ? Quels éléments concrets les relient avec le renseignement chinois ? Pourquoi ni Supermicro, ni Elemental ni la plupart de leurs clients (dont la Défense américaine et la CIA) n’ont remarqué dans leurs matériels la présence de ces espions en puissance ?
Autant de questions auxquelles l’article, pourtant long, ne répond pas. Et les démentis des principaux concernés incitent à la prudence sur cette affaire. Apple et Amazon n’ont pas commenté l’information sur la forme, comme à leur habitude, mais bien sur le fond, niant être au courant de l’enquête menée et, dans le cas d’Apple, réfutant l’existence même de « puces malveillantes » dans ses serveurs.