Apple a découvert une faille de sécurité dans les serveurs d'un fournisseur
Début 2016, Apple coupait les ponts avec un de ses fournisseurs de serveurs sur fond de problèmes de sécurité. Super Micro Computer, une société américaine qui fait fabriquer ses serveurs aux Pays-Bas, à Taïwan et à San Jose, travaillait depuis des années avec Apple pour garnir ses centres de données.
Seulement voilà, les ingénieurs de Cupertino ont repéré une faille dans le firmware livré par Super Micro, selon The Information qui a obtenu un e-mail d’Apple confirmant que « l’environnement de développement interne a été compromis ».
On n’en saura pas plus sur la nature de cette faille, mais aucun vol de données n’a été constaté. Un porte-parole du constructeur a même nié la présence d’un firmware infecté sur des serveurs provenant de Super Micro. La Pomme a néanmoins retourné quelques uns des serveurs achetés auprès de ce fournisseur. « Nous surveillons constamment les attaques sur nos serveurs, et nous travaillons de près avec nos fournisseurs et nous vérifions régulièrement les équipements pour les malwares », explique ce représentant du groupe.
Apple s’appuie, ou s’appuyait, sur les serveurs de Super Micro pour, entre autres, motoriser Topsy, un service maison qui fournit aux utilisateurs les résultats de recherche d’apps sur l’App Store. Ce sont des centaines de machines qui ont été commandées par Apple auprès de ce fournisseur, qui reste malgré tout un “petit” sous-traitant qui représente tout de même plusieurs dizaines de millions de dollars d’équipement.
Après la découverte de cette faille, Apple a envoyé des ingénieurs et des avocats dans les bureaux de Super Micro afin d’obtenir des informations sur les protocoles de sécurité observés par l’entreprise. Sans révéler aucune donnée sur le problème constaté. Le constructeur californien a fourni le numéro de version du firmware douteux à Super Micro, mais ce numéro n’était pas valide.
Les micrologiciels de Super Micro, accessibles aux clients de l’entreprise depuis un FTP privé, proviennent habituellement de sous-traitants. Dans le cas qui nous intéresse ici, le firmware provenait d’un constructeur de puces réseau. Tau Leng, vice-président en charge de la technologie chez Super Micro, a même demandé à une société de sécurité indépendante de vérifier leurs processus ; le fournisseur a procédé aux améliorations demandées. Mais sans qu’Apple revienne sur sa décision.
Leng explique que seule Apple a rencontré cette faille alors que l’entreprise compte « plusieurs centaines de clients ». L’été dernier, Super Micro indiquait avoir perdu deux clients importants, sans citer Apple dont on a appris au printemps dernier qu’elle développait ses propres serveurs, justement pour éviter ces soucis de sécurité (lire : Apple voudrait fabriquer ses serveurs pour éviter tout espionnage).
Le retour des XServe ???
@r e m y
Des racks de 256 iPad Pro mis en batterie, puisqu'ils peuvent remplacer si avantageusement des ordis conventionnels...
@occam
Ah oui c'est vrai qu'ils ont testé les racks de Mac mini, les racks de MacPro, mais pas encore les racks d'iPadPro...
Bah si t'enleve l'ecran, la batterie, la puce wifi/bt, le touch ID, et encore 2-3 trucs inutiles, et que tu interconnecte le tout, en fait on arrive a une carte ARM comme en sont equipés les centres telecom, infrastructures telecom et reseaux depuis plus de 20 ans. Y a meme des serveurs ARM qui feraient du HPC pour le coup, donc la voie de l'iPad pour faire tourner les datacenter d'Apple,... ma foi c'est plus credible qu'avec des Mac Pro.
En plus, le probleme avec Super Micro, ça expliquerait beaucoup de choses avec iCloud et Itunes...
;)
@C1rc3@0rc
;)
Sérieusement, les ARM pour serveurs, je suis plutôt pour.
Et imagine-t-on une autre entreprise qu'Apple qui, les ayant sous la main et maîtrisant assez bien la technologie, ne les utiliserait pas pour autre chose que des tablettes ?
Au moins comme spin-out, ou spin-off ?
Ne serait-ce que pour faire évoluer son logiciel dans une autre niche écologique ?
@occam
Un serveur n'est pas un ordi conventionnel..
Bin, ça peut si...
Tu peux très bien prendre un ordinateur conventionnel et en faire un serveur en installant un OS serveur dessus. J'ai mon DS1515+ + un serveur fait de cette manière avec un Ubuntu Server. ;)
@LolYangccool
En terme de fiabilité un serveur est au dessus
N'importe quoi ! Tu vas arrêter de sortir des bêtises plus grosses que toi ?
N'importe quel ordinateur peut servir de serveur, ce qui rends une machine serveur c'est le logiciel, pas le matériel. Après on peut adapter le matériel pour que ce soit plus approprié (RAID hard par exemple), mais ce n'est pas du tout une nécessité absolue et ce n'est pas ça qui rends la machine serveur, surtout qu'on peut faire du RAID sur un poste client, pour reprendre l'exemple du RAID.
Je peux te faire une capture des infos systèmes de mon dédié sous Ubuntu Server, tu verras que c'est un PC classique qui était vendu dans le commerce il y a quelques années.
???♂️
je parle de vrai serveurs, pas ta bécane domestique que t'as transformé en NAS.
Les processeurs Xeon, Nvidia Quadro, RAM SSD, etc..
Ce sont des composants certes identique a ceux que l'ont retrouve dans les PC du commerce, mais avec un cahier des charges plus exigeant. Conçu pour fonctionner dans des conditions requise par les serveurs
Je n'ai pas transformé un PC en NAS mais en serveur dédié, c'est pas tout à fait la même chose, c'est donc un vrai serveur, identique ou presque à ceux que tu peux louer chez OVH/Kimsufi.
Mon site tourne sur mon dédié, et il tourne ma fois plutôt pas mal, j'ai quelques centaines de visiteurs unique chaque jour, c'est pas énorme en soit, mais ça tiens le coup.
(J'achèterai une autre machine plus performante quand ce sera nécessaire).
Tu demanderas à mes serveurs comment ils se portent depuis 5 ans qu'ils tournent non stop ou presque ! Ils fonctionnent comme un charme, et pourtant, j'utilise de simples disques durs WD, même pas RED avec un simple DD externe de 6To pour les backups quotidiens de mon NAS.
@LolYangccool
D'accord, donc toute ces gammes de produits pro ne servent à rien au final car ta machine tient très bien le coup ?
Ce sont les meilleurs morceaux de silicium qui sont sélectionné pour ces composants. D'où le prix un peu abusé aussi..
Oui moi aussi je laisse mon PC allumé h24 et il fonctionne très bien. Mais il y a d'autres réalités que les nôtre à prendre en compte.
C'est idiot de dire que n'importe quel ordinateur peut faire office de serveur.
Un vrai serveur doit avoir du matériel dupliqué (alimentation, réseaux, ...), un système de ventilation très puissant (pour tenir de grosses charges), des composants ultra stables (mémoire ECC, CPU type Xeon, ...)...
Et ton Ubuntu ... /LOL
Ce n'est pas vrai OS de serveur (il y a plein de merdes installées par défaut).
En général pour Linux, Red Hat ou Debian. Parfois, FreeBSD ou NetBSD ...
Le matériel entre quand-même beaucoup en jeu surtout niveau fiabilité de fonctionnement et sécurité, entre les disques ultra rapides devant tourner h24, les alims redondantes, les procos capables d'encaisser plus de requêtes, la facilité d'échange ou de d'intervention. Là on parle pas d'un serveur perso mais de data centers capables de gérer des millions d'utilisateurs simultanément.
Oui, mais je maintiens que tout ça en soit, est optionnel pour avoir un serveur.
Après, bien sur, suivant le volume d'utilisateurs, ça devient plus ou moins requis.
Mais à la base, c'est vraiment optionnel.
@LolYangccool
Optionnel pour ton besoin. Bien sûr. Je suppose que si ton serveur tombe en rade ce n'est pas la mort. Pour une société comme Apple c'est juste inconcevable. C'est un peu comme si tu disais que le RAID est optionnel dans un NAS et que cela fonctionne de toutes façons tres bien avec un seul disque. Bein oui, effectivement... jusqu'au moment où. Dans certains domaines le doute n'est pas permis.
Trop drôle ce Yangccool. Il mérite bien son préfixe Lol.
Il fait tourner un ordi 24/24 avec Oubountou et il s'imagine gérer un data center.
Pour un vrai serveur, ce n'est pas du tout optionnel.
Tu ne fais rien avec le tiens.
Avec un vrai serveur chez toi, t'aurais déjà pleuré devant ta facture EDF.
@LolYangccool
Ah non là c'est toi qui raconte des conneries. Ce n'est pas parce qu'on peut faire fonctionner un OS serveur qu'il devient un "vrai" serveur.
Un "vrai" serveur doit pouvoir avoir des redondances des composants critiques comme alimentations, réseau...etc
Des disques remplaçables à chaud... etc etc
Tout le monde parle de serveur, c est bien mais un serveur de quoi? De patate, de chocolat,...?
On sert un service pas du matériel. Un serveur DHCP, DNC, WEB, NFS,...
Un "serveur" n'est rien d'autre qu'une machine (qui peut tt a fait être virtualisé, ce qui se fait de plus en plus d'ailleurs via des serveurs Esxi par exemple pour des raisons de HA et de coût).
Actuellement sur mon mac j'ai pour dès besoins de test 4 Os Serveurs (Windows 2016, 2012r2, 2008r2 et freebsd) pour respectivement un serveur AD+DNS, un serveur DHCP, un replica AD et un serveur NFS+Apache+mySql.
Donc oui un serveur est une machine lambda. Après pour des raisons de redondance, de HA,... on pourra doubler voir plus les alims, les cartes réseaux, le systèmes de stockage, etc
@icecubee5
Un serveur est avant tout une machine pouvant encaisser une certaine charge et être disponible (dans l'ideal) 100% du temps.
Ce qui différencie cette machine d'un PC "de Mr Toulemonde" c'est juste ça. Le reste, la partie logiciel, peut même dans certain cas être géré par un Pi ! Un microprocesseur, apres tout c'est fait pour ca, lire un programme. Sauf que j'ai jamais vu de Zoe en Formule-E. Doit bien y avoir une raison.
@bugman
Encore une fois un serveur de quoi?
Bien évidement que l'infrastructure doit s'adapter aux besoins, cependant tu peux avoir une infrastructure de Datacenter si c'est pas faire tourner candy crush en local ça n'en fera pas un serveur pour autant.
Dans ma boite nous avons plusieurs machines physiques sur lesquels tournent des esxi qui eux mêmes hébergent des serveurs virtualisés. Et pourtant chaque VM est bien un serveur (de différente sorte) pouvant être migré à chaud sur différent esxi selon les besoins et la charges et assurant par réplicat sur un autre esxi du HA. La machine hôte (en faite toute l'architecture qu'il y a autour) et la partie serveur (services) sont deux choses différentes.
Bein, de ce que tu veux... chocolat, bananes ou DNS...
Le principale c'est qu'il reste accessible et qu'il fourni le pourquoi il est présent.
Notre ami n'a certainement pas la structure qui permet d'enrayer la moindre attaque DoS. Son serveur, sert, certes. De grosses boites ne peuvent se permettre de se contenter de cela. Juste ce qu'il me semble normal de souligner... et là, on touche au hard (infrastructure)... obligatoirement.
Un iMac sous Ubuntu dans le bâtiment donné en illustration !?! Sérieux ?
Bah, je l'ai fais aussi du serveur sur ma bécane à la maison, mais soyons sérieux, jamais dans l'optique d'une utilisation autre qu'une formation pro... ou en amateur (pour les potes).
@reborn
« Un serveur n'est pas un ordi conventionnel...»
C'est ce que je pensais aussi, avant de voir les interminables rangées d'indicibles daubes alignées chez Google, dans leurs premières années.
Et pourtant...
lol ou pas.
Oui "fournisseur". Quand il y a des pépins, c'est toujours les autres.
D'ailleurs, c'est à cause de fournisseurs ça ? http://appleinsider.com/articles/17/02/23/cellebrite-director-says-firm-now-doing-lawful-extraction-of-data-through-iphone-6
Ça serait cool d'en faire un papier plus détaillé pour votre audience francophone, c'est quand même sérieux comme sujet.
Avec vos légendes urbaines éternelles d'iPhones sécurisés selon qu'il soit récent ou pas, à jour ou pas.
Dire que Snowden a payé de sa liberté pour nous prévenir, mais non.
@R1x_Fr1x
Tu mélange tout, volontairement..
@reborn
C'est une méthode éculée visant à ratisser large.
Bah c'est dure de parler de ça sur le bon article vu qu'il n'existe PAS. En plus, il fait une belle introduction pour quand même avoir un vague lien avec l'article.
M. ou Mme Reborn, ça rage dure quand on balance des liens avec la moindre critique négatif de votre compagnie préférée!
@Ios_What a joke
Il mélange tout, c'est 2 problématiques différente.
Et personne n'a affirmé que l'iPhone était à 100% inviolable.
C'est juste que jusqu'a présent c'était le cas, maintenant ça ne l'est plus.
'Apple a envoyé des ingénieurs et des avocats' était il vraiment nécessaire d'envoyer des avocats ???
@hla63
Ils auraient pu envoyer des oranges, mais c'est vrais que l'avocat c'est bon aussi. Il faut bien les nourries ces ingénieurs sur place.
Les oranges viennent souvent après les avocats ;)
lol you made my day !
@hla63
Si les failles ressemblent plus à un backdoor... les avocats sont nécessaires
Un data-center à base de Mac Pro :
https://pbs.twimg.com/media/CxzwCnXVEAInfdV.jpg
@kitetrip
La version pour les pauvres... à base de Mac mini
http://www.macminicolo.net/i_mini/dropcamstill.png
C'est le mac Pro la faille en fait!
P.S : Je vous vois les rageux derrière vos écrans à vous exciter et préparer des commentaires de haine à mon égard. Préserver vos petits doigts car je lirai pas votre com ;)
.
Et ouais, plutôt que passer par "Super Micro Computer", il fallait signer avec "Informatique 2000", même gamme de nom mais plus sécurisé.
Le problème de sécurité se pose maintenant aux US avec les composants fabriqués en Chine et dont il est quasiment impossible (vu le nombre) d'assurer qu'il ne contiennent pas des portes dérobées...
C'est ça quand on perd la maîtrise de la technologie.
@NORMAN49
Lire le livre maison rouge à ce sujet
Roman basé sur ce scénario
@NORMAN49
+1, sauf que le problème ne se pose pas qu'aux États-Unis... ?
À la place de "constructeur californien" ne devrait-on pas plutôt dire "designer californien" ?
C'est bien d'identifier la faille que représente les firmwares de composants pourtant critiques en terme de sécurité comme les interfaces réseaux, mais croire que cela touche que les serveurs construits à base de composants tiers est naif. On ne compte plus les contrefaçons de routeurs Cisco et autres équipements d'infra Juniper etc, dotés de firmwares dont et la provenant et le contenu n'est pas clair...
Tout cela me semble surtout etre bien utile pour dire à un fournisseur : hop, on arrête avant la fin du contrat nous liant, comme ça on va pouvoir commencer a faire nos propres matos dès maintenant.
(En réutilisant nous aussi des composants et des firmwares tiers : je doute que Apple se lance dans la conception de ses propres Phy+Mac giga-ethernet...)