Apple a découvert une faille de sécurité dans les serveurs d'un fournisseur

Mickaël Bazoge |

Début 2016, Apple coupait les ponts avec un de ses fournisseurs de serveurs sur fond de problèmes de sécurité. Super Micro Computer, une société américaine qui fait fabriquer ses serveurs aux Pays-Bas, à Taïwan et à San Jose, travaillait depuis des années avec Apple pour garnir ses centres de données.

Seulement voilà, les ingénieurs de Cupertino ont repéré une faille dans le firmware livré par Super Micro, selon The Information qui a obtenu un e-mail d’Apple confirmant que « l’environnement de développement interne a été compromis ».

Le centre de données d’Apple à Maiden (Caroline du Nord).

On n’en saura pas plus sur la nature de cette faille, mais aucun vol de données n’a été constaté. Un porte-parole du constructeur a même nié la présence d’un firmware infecté sur des serveurs provenant de Super Micro. La Pomme a néanmoins retourné quelques uns des serveurs achetés auprès de ce fournisseur. « Nous surveillons constamment les attaques sur nos serveurs, et nous travaillons de près avec nos fournisseurs et nous vérifions régulièrement les équipements pour les malwares », explique ce représentant du groupe.

Apple s’appuie, ou s’appuyait, sur les serveurs de Super Micro pour, entre autres, motoriser Topsy, un service maison qui fournit aux utilisateurs les résultats de recherche d’apps sur l’App Store. Ce sont des centaines de machines qui ont été commandées par Apple auprès de ce fournisseur, qui reste malgré tout un “petit” sous-traitant qui représente tout de même plusieurs dizaines de millions de dollars d’équipement.

Après la découverte de cette faille, Apple a envoyé des ingénieurs et des avocats dans les bureaux de Super Micro afin d’obtenir des informations sur les protocoles de sécurité observés par l’entreprise. Sans révéler aucune donnée sur le problème constaté. Le constructeur californien a fourni le numéro de version du firmware douteux à Super Micro, mais ce numéro n’était pas valide.

Les micrologiciels de Super Micro, accessibles aux clients de l’entreprise depuis un FTP privé, proviennent habituellement de sous-traitants. Dans le cas qui nous intéresse ici, le firmware provenait d’un constructeur de puces réseau. Tau Leng, vice-président en charge de la technologie chez Super Micro, a même demandé à une société de sécurité indépendante de vérifier leurs processus ; le fournisseur a procédé aux améliorations demandées. Mais sans qu’Apple revienne sur sa décision.

Leng explique que seule Apple a rencontré cette faille alors que l’entreprise compte « plusieurs centaines de clients ». L’été dernier, Super Micro indiquait avoir perdu deux clients importants, sans citer Apple dont on a appris au printemps dernier qu’elle développait ses propres serveurs, justement pour éviter ces soucis de sécurité (lire : Apple voudrait fabriquer ses serveurs pour éviter tout espionnage).

avatar r e m y | 

Le retour des XServe ???

avatar occam | 

@r e m y

Des racks de 256 iPad Pro mis en batterie, puisqu'ils peuvent remplacer si avantageusement des ordis conventionnels...

avatar r e m y | 

@occam

Ah oui c'est vrai qu'ils ont testé les racks de Mac mini, les racks de MacPro, mais pas encore les racks d'iPadPro...

avatar C1rc3@0rc | 

Bah si t'enleve l'ecran, la batterie, la puce wifi/bt, le touch ID, et encore 2-3 trucs inutiles, et que tu interconnecte le tout, en fait on arrive a une carte ARM comme en sont equipés les centres telecom, infrastructures telecom et reseaux depuis plus de 20 ans. Y a meme des serveurs ARM qui feraient du HPC pour le coup, donc la voie de l'iPad pour faire tourner les datacenter d'Apple,... ma foi c'est plus credible qu'avec des Mac Pro.
En plus, le probleme avec Super Micro, ça expliquerait beaucoup de choses avec iCloud et Itunes...
;)

avatar occam | 

@C1rc3@0rc

;)
Sérieusement, les ARM pour serveurs, je suis plutôt pour.

Et imagine-t-on une autre entreprise qu'Apple qui, les ayant sous la main et maîtrisant assez bien la technologie, ne les utiliserait pas pour autre chose que des tablettes ?
Au moins comme spin-out, ou spin-off ?
Ne serait-ce que pour faire évoluer son logiciel dans une autre niche écologique ?

avatar reborn | 

@occam

Un serveur n'est pas un ordi conventionnel..

avatar LolYangccool | 

Bin, ça peut si...
Tu peux très bien prendre un ordinateur conventionnel et en faire un serveur en installant un OS serveur dessus. J'ai mon DS1515+ + un serveur fait de cette manière avec un Ubuntu Server. ;)

avatar reborn | 

@LolYangccool

En terme de fiabilité un serveur est au dessus

avatar LolYangccool | 

N'importe quoi ! Tu vas arrêter de sortir des bêtises plus grosses que toi ?
N'importe quel ordinateur peut servir de serveur, ce qui rends une machine serveur c'est le logiciel, pas le matériel. Après on peut adapter le matériel pour que ce soit plus approprié (RAID hard par exemple), mais ce n'est pas du tout une nécessité absolue et ce n'est pas ça qui rends la machine serveur, surtout qu'on peut faire du RAID sur un poste client, pour reprendre l'exemple du RAID.

Je peux te faire une capture des infos systèmes de mon dédié sous Ubuntu Server, tu verras que c'est un PC classique qui était vendu dans le commerce il y a quelques années.

avatar reborn | 

🙄🤦🏼‍♂️

je parle de vrai serveurs, pas ta bécane domestique que t'as transformé en NAS.

Les processeurs Xeon, Nvidia Quadro, RAM SSD, etc..

Ce sont des composants certes identique a ceux que l'ont retrouve dans les PC du commerce, mais avec un cahier des charges plus exigeant. Conçu pour fonctionner dans des conditions requise par les serveurs

avatar LolYangccool | 

Je n'ai pas transformé un PC en NAS mais en serveur dédié, c'est pas tout à fait la même chose, c'est donc un vrai serveur, identique ou presque à ceux que tu peux louer chez OVH/Kimsufi.
Mon site tourne sur mon dédié, et il tourne ma fois plutôt pas mal, j'ai quelques centaines de visiteurs unique chaque jour, c'est pas énorme en soit, mais ça tiens le coup.
(J'achèterai une autre machine plus performante quand ce sera nécessaire).

Tu demanderas à mes serveurs comment ils se portent depuis 5 ans qu'ils tournent non stop ou presque ! Ils fonctionnent comme un charme, et pourtant, j'utilise de simples disques durs WD, même pas RED avec un simple DD externe de 6To pour les backups quotidiens de mon NAS.

avatar reborn | 

@LolYangccool
D'accord, donc toute ces gammes de produits pro ne servent à rien au final car ta machine tient très bien le coup ?

Ce sont les meilleurs morceaux de silicium qui sont sélectionné pour ces composants. D'où le prix un peu abusé aussi..

Oui moi aussi je laisse mon PC allumé h24 et il fonctionne très bien. Mais il y a d'autres réalités que les nôtre à prendre en compte.

avatar fixb | 

C'est idiot de dire que n'importe quel ordinateur peut faire office de serveur.
Un vrai serveur doit avoir du matériel dupliqué (alimentation, réseaux, ...), un système de ventilation très puissant (pour tenir de grosses charges), des composants ultra stables (mémoire ECC, CPU type Xeon, ...)...

Et ton Ubuntu ... /LOL
Ce n'est pas vrai OS de serveur (il y a plein de merdes installées par défaut).
En général pour Linux, Red Hat ou Debian. Parfois, FreeBSD ou NetBSD ...

avatar EBLIS | 

Le matériel entre quand-même beaucoup en jeu surtout niveau fiabilité de fonctionnement et sécurité, entre les disques ultra rapides devant tourner h24, les alims redondantes, les procos capables d'encaisser plus de requêtes, la facilité d'échange ou de d'intervention. Là on parle pas d'un serveur perso mais de data centers capables de gérer des millions d'utilisateurs simultanément.

avatar LolYangccool | 

Oui, mais je maintiens que tout ça en soit, est optionnel pour avoir un serveur.
Après, bien sur, suivant le volume d'utilisateurs, ça devient plus ou moins requis.
Mais à la base, c'est vraiment optionnel.

avatar bugman | 

@LolYangccool

Optionnel pour ton besoin. Bien sûr. Je suppose que si ton serveur tombe en rade ce n'est pas la mort. Pour une société comme Apple c'est juste inconcevable. C'est un peu comme si tu disais que le RAID est optionnel dans un NAS et que cela fonctionne de toutes façons tres bien avec un seul disque. Bein oui, effectivement... jusqu'au moment où. Dans certains domaines le doute n'est pas permis.

avatar fixb | 

Trop drôle ce Yangccool. Il mérite bien son préfixe Lol.
Il fait tourner un ordi 24/24 avec Oubountou et il s'imagine gérer un data center.

Pour un vrai serveur, ce n'est pas du tout optionnel.

Tu ne fais rien avec le tiens.

Avec un vrai serveur chez toi, t'aurais déjà pleuré devant ta facture EDF.

avatar XiliX | 

@LolYangccool

Ah non là c'est toi qui raconte des conneries. Ce n'est pas parce qu'on peut faire fonctionner un OS serveur qu'il devient un "vrai" serveur.

Un "vrai" serveur doit pouvoir avoir des redondances des composants critiques comme alimentations, réseau...etc
Des disques remplaçables à chaud... etc etc

avatar icecubee5 | 

Tout le monde parle de serveur, c est bien mais un serveur de quoi? De patate, de chocolat,...?

On sert un service pas du matériel. Un serveur DHCP, DNC, WEB, NFS,...
Un "serveur" n'est rien d'autre qu'une machine (qui peut tt a fait être virtualisé, ce qui se fait de plus en plus d'ailleurs via des serveurs Esxi par exemple pour des raisons de HA et de coût).

Actuellement sur mon mac j'ai pour dès besoins de test 4 Os Serveurs (Windows 2016, 2012r2, 2008r2 et freebsd) pour respectivement un serveur AD+DNS, un serveur DHCP, un replica AD et un serveur NFS+Apache+mySql.
Donc oui un serveur est une machine lambda. Après pour des raisons de redondance, de HA,... on pourra doubler voir plus les alims, les cartes réseaux, le systèmes de stockage, etc

avatar bugman | 

@icecubee5

Un serveur est avant tout une machine pouvant encaisser une certaine charge et être disponible (dans l'ideal) 100% du temps.
Ce qui différencie cette machine d'un PC "de Mr Toulemonde" c'est juste ça. Le reste, la partie logiciel, peut même dans certain cas être géré par un Pi ! Un microprocesseur, apres tout c'est fait pour ca, lire un programme. Sauf que j'ai jamais vu de Zoe en Formule-E. Doit bien y avoir une raison.

avatar icecubee5 | 

@bugman

Encore une fois un serveur de quoi?
Bien évidement que l'infrastructure doit s'adapter aux besoins, cependant tu peux avoir une infrastructure de Datacenter si c'est pas faire tourner candy crush en local ça n'en fera pas un serveur pour autant.
Dans ma boite nous avons plusieurs machines physiques sur lesquels tournent des esxi qui eux mêmes hébergent des serveurs virtualisés. Et pourtant chaque VM est bien un serveur (de différente sorte) pouvant être migré à chaud sur différent esxi selon les besoins et la charges et assurant par réplicat sur un autre esxi du HA. La machine hôte (en faite toute l'architecture qu'il y a autour) et la partie serveur (services) sont deux choses différentes.

avatar bugman | 

Bein, de ce que tu veux... chocolat, bananes ou DNS...
Le principale c'est qu'il reste accessible et qu'il fourni le pourquoi il est présent.
Notre ami n'a certainement pas la structure qui permet d'enrayer la moindre attaque DoS. Son serveur, sert, certes. De grosses boites ne peuvent se permettre de se contenter de cela. Juste ce qu'il me semble normal de souligner... et là, on touche au hard (infrastructure)... obligatoirement.
Un iMac sous Ubuntu dans le bâtiment donné en illustration !?! Sérieux ?

Bah, je l'ai fais aussi du serveur sur ma bécane à la maison, mais soyons sérieux, jamais dans l'optique d'une utilisation autre qu'une formation pro... ou en amateur (pour les potes).

avatar occam | 

@reborn

« Un serveur n'est pas un ordi conventionnel...»

C'est ce que je pensais aussi, avant de voir les interminables rangées d'indicibles daubes alignées chez Google, dans leurs premières années.
Et pourtant...

avatar huexley | 

lol ou pas.

avatar R1x_Fr1x | 

Oui "fournisseur". Quand il y a des pépins, c'est toujours les autres.

D'ailleurs, c'est à cause de fournisseurs ça ? http://appleinsider.com/articles/17/02/23/cellebrite-director-says-firm-...

Ça serait cool d'en faire un papier plus détaillé pour votre audience francophone, c'est quand même sérieux comme sujet.

Avec vos légendes urbaines éternelles d'iPhones sécurisés selon qu'il soit récent ou pas, à jour ou pas.

Dire que Snowden a payé de sa liberté pour nous prévenir, mais non.

Pages

CONNEXION UTILISATEUR