The Big Hack : Apple continue de démentir l’histoire de la puce espionne

Mickaël Bazoge |

Depuis les révélations (à moins que non ?) de Bloomberg autour des puces espionnes chinoises, c’est le branle-bas de combat chez Apple nommément cité par la publication. Et qui depuis, fait tout son possible pour démentir les allégations du journal.

Rappelons qu’Apple aurait prévenu le FBI de la découverte de toutes petites puces installées subrepticement dans des serveurs Supermicro par des sous-traitants chinois de ce constructeur. Des composants très difficiles à repérer et qui ouvrent des portes dérobées à des malandrins et des espions. Apple n’est pas seule dans ce bateau, Amazon aussi est cité dans l’article et l’entreprise dément également de manière véhémente.

Le data-center d’Apple à Mesa (Arizona).

Apple appuie sur tous les leviers possibles pour blanchir son nom dans cette histoire. La Pomme a ainsi fait appel à Bruce Sewell, son ancien directeur juridique désormais à la retraite (il a été remplacé par Katherine Adams il y a un an), qui a expliqué à Reuters que ni lui ni le FBI n’étaient au courant de cette histoire.

L’an dernier, Sewell a passé un coup de fil à James Baker, son homologue du FBI, après avoir entendu par Bloomberg qu’une enquête était en cours concernant les serveurs de Supermicro. Après avoir demandé ce qu’il en était à ses équipes, Baker a affirmé à Sewell que « personne ne savait rien de cette histoire ».

BuzzFeed a de son côté interrogé plusieurs de ses sources au sein de Cupertino, dont trois qui sont des cadres haut placés travaillant dans la sécurité et au département juridique de l’entreprise. Aucune de ces personnes ne sait expliquer les allégations de Bloomberg.

Un de ces dirigeants a affirmé que personne chez Apple n’avait vu ni trouvé de puce comme celle décrite dans l’article. « Je ne sais pas si quelque chose comme ça existe ». Il indique que le constructeur n’a jamais examiné une telle puce ni de carte-mère intégrant cette puce. « On ne nous a rien donné. Ni matériel, ni puce, ni courriels ».

Selon ces sources, Apple n’a jamais rapporté au FBI d’incident lié à une puce espionne, et l’entreprise n’a jamais été contactée par une des agences américaines à trois lettres sur le sujet. Dans cette histoire, il y a une partie qui se trompe forcément.

Bloomberg maintient ses allégations, et explique que cet article est le fruit d’une enquête qui a duré un an, durant laquelle une centaine d’interviews ont été menés. 17 sources, dont des officiels du gouvernement et des insiders dans les entreprises, ont confirmé la manipulation du matériel incriminé et d’autres éléments de cette attaque.


avatar Jymini | 

Si Apple mentait, ça finira par ce savoir car Bloomberg produira des éléments irréfutables à la place des allégations actuelles.

Si c’est Bloomberg qui ment, ils pourront assez facilement se réfugier derrière des sources les ayant induits en erreurs ou simplement arrêter de communiquer sur cette affaire.

C’est quand même assez facile d’accuser sans fournir des preuves de quoi que ce soit.

avatar machin44 | 

@Jymini

Oui mais quel intérêt pour le journal de lancer de telles accusations ? Quand on sait à quel point cela peut se retourner contre eux en cas de mensonge.

avatar fousfous | 

@machin44

Bah la ils gagnent beaucoup d'argent avec ce genre de visibilité.

Et honnêtement leurs allégations ne sont pas très fournis, ça ressemble plus à des rumeurs qu'à une vrai enquête. Ils n'ont aucuns éléments tangibles.

avatar machin44 | 

@fousfous

Mouais.
Ce qu’ils avancent me parait pas impossible.
Quoi qu’il en soit, l’évolution des nanotechnologies et la miniaturisation des composants va trop vite pour que ce genre de choses n’arrivent pas un jour ou l’autre.

avatar pagaupa | 

@machin44

Alors pourquoi pas maintenant?

avatar machin44 | 

@pagaupa

La capacité des utilisateurs de ce forum a tout mettre en œuvre pour faire dire aux autres ce qu’ils n’ont pas dit, tout ça dans une auto-déduction bien formelle est vraiment affligeante.
Impossible de discuter de quoi que ce soit sans passer par une gymnastique sophistique permanente.
Ras-le-bol.

avatar pagaupa | 

@machin44

T’ai-je fait dire quelquechose que tu n’aurais pas dit?

avatar machin44 | 

@pagaupa

J’ai cru comprendre que ta question sous-entendait une arrière pensée de ma part.
Le moindre petit doigt levé ici et c’est la case complotiste donc bon...
Si c’était pas le cas : désolé !

avatar pagaupa | 

@machin44

Ce n’était pas le cas...

avatar machin44 | 

@pagaupa

Oui c’est bien ce que j’ai cru comprendre en lisant tes autres commentaires.
Désolé.

avatar Grug | 

:D
Vos réactions ressemblent plus à des croyances qu'à des réflexions.

- Bloomberg est un média sérieux, il peut effectivement faire des erreurs
- Apple est une entreprise énorme, dont un des fers de lance est la sécurité des données de ses utilisateurs…

Tout ce que je vois c'est que cette histoire va être passionnante…

avatar tbr | 

@machin44

Comme si ces « journaliste » que je qualifierais plutôt de « gros troll » avaient besoin de vérifier.

C’est tellement dépassé comme concept...

Mais non, on tire d’abord, on discute après !

avatar LLS | 

@machin44

Ça s’appelle un clickbait

avatar occam | 

@Jymini

"C’est quand même assez facile d’accuser sans fournir des preuves de quoi que ce soit."

Nicholas Weaver explique assez bien pourquoi l’histoire publiée par Bloomberg n’est pas dépourvue de plausibilité :
https://www.lawfareblog.com/china-supermicro-hack-about-bloomberg-report

Mais indépendamment de sa véracité, la question est :
Qui profite du déballage de cette histoire et, par ricochet, qui est visé ?

avatar Bigdidou | 

@occam

« Mais indépendamment de sa véracité, la question est :
Qui profite du déballage de cette histoire et, par ricochet, qui est visé ? »

Das la mesure où c’est une histoire ancienne, qui n’a eu aucune conséquence faute de mise en œuvre, c’est la vraie question.

Pourquoi pas seulement pour le buzz ?

avatar tbr | 

@Bigdidou

Totalement. Approuvé à 100%.

Reste à savoir qui profite du crime, mais ça, nul (ici) ne le saura... ou bien l’affaire sera si enterrée que personne ne s’en alarmera et cela n’impactera qye peu le troll qui aura balancé cette rumeur, guère plus Apple qui en a vu d’autres.

avatar occam | 

@Bigdidou

"Pourquoi pas seulement pour le buzz ?"

Tout dépend de ce que vous entendez par buzz.

Du buzz pour le fun ? Improbable.
Du buzz pour mettre Bloomberg à la une ? Risqué, et hautement contre-productif.
Du buzz pour envenimer encore un peu plus l’atmosphère entre les US et la Chine ?
Je ne suis pas le seul à le penser.

Ian Bogost, de The Atlantic, explore cette hypothèse. Le titre de son article annonce le programme :
« The Chinese Motherboard Hack Is a Crisis, Even If It Didn’t Really Happen » 
https://www.theatlantic.com/technology/archive/2018/10/political-cost-chinese-hardware-hack/572383/

Ce qui me frappe à la lecture de son papier est le fait que mettre en relief la dépendance de l’industrie informatique américaine envers la Chine et la vulnérabilité qui en découle permet une lecture à double sens.
_____
Pour complotistes : l’actionnaire majoritaire de The Atlantic est désormais Emerson Collective, la fondation de Lauren Powell Jobs. (Ce qui n’empêche pas Ian Bogost de signaler que la production home made in good ole US du Mac Pro est anecdotique, insignifiante et, pour tout dire, du pipeau.

avatar debione | 

@Bigdidou
Je ne peux m'empêcher de penser que si cette histoire est de la manipulation, cela s'inscrirait parfaitement dans la politique présidentielle américaine. A savoir forcer la main à certain industriel pour qu'ils rapatrient leurs productions...

avatar Bigdidou | 

@debione

Oui, c’est vrai que ça ressemble à ce que fait Trump, ainsi que sa manière de le faire.

avatar en ballade | 

@Jymini

"C’est quand même assez facile d’accuser sans fournir des preuves de quoi que ce soit."

Un journal qui sort des arguments à la légère?

avatar Deckard | 

Quand un site informatique est devenu une clinche dans ce domaine, il faut bien presser les ragots jusqu'à la dernière goûte.

avatar pagaupa | 

Même si c’est vrai, Apple ne peut que démentir! Ce qu’elle fait toujours d’ailleurs! Dans un premier temps...

avatar icecubee5 | 

Ce que je ne comprends pas c’est quel intérêt aurait Apple à démentir vu qu’ils n’utilisent plus de serveur SuperMicro.

avatar iPop | 

@icecubee5

Question d’image de confiance. Ce qui arrive une fois, arrivé une deuxième fois.

avatar cosmoboy34 | 

Peut être que l’histoire est vrai mais qu’une enquête étant en cours ils ne peuvent pas dire qu’ils sont dessus au risque de perdre toute les pistes sur lesquelles ils travaillent. C’est bien l’information mais parfois c’est plus nocif que bénéfique aussi.

avatar asseb | 

Ce que je ne comprends pas, c’est que quand bien même cette puce aurait été installée dans les serveurs, soit elle permet une backdoor avec un accès physique aux serveurs, soit avec accès à distance, mais dans ce cas-là, j’imagine tout de même qu’Apple et Amazon surveillent les trafics de données entrants et sortants de leurs fermes de serveurs ? Et que donc un accès non autorisé serait vite démasqué ? Et qu’enfin, si ces puces permettent un accès sans fil propre, je suppose que ces data centers sont des cages de faraday et donc empêchent toute forme de communication sans fil ?

avatar noxx09 | 

Il ne faut pas oublier que, d'après Bloomberg, tout ceci n'a jamais été mis en œuvre... Donc aucun trafic de repérable.

avatar asseb | 

@noxx09

D’accord. Mais quel intérêt de mettre tout cela en place pour soit ne jamais l’utiliser, soit être sûrs d’être démasqués à la première utilisation. C’est parce que je suis persuadé du contraire que je me pose la question. Quelle était leur solution?

avatar debione | 

On peut penser qu'ils n'en n'ont jamais eu le besoin, ou qu'ils arrivent à faire sortir des données autrement... Cela peut-être simplement de l'anticipation: "Pour a un instant dire: Bon les gogos, vous vous couchez sur ce sujet ou on fout down toutes vos fermes de serveurs..."

avatar JLG01 | 

La taille du « composant discret « est comparable à un condensateur ou une résistance, donc facile à enfouir dans le fouillis habituel des cartes mères.
Reste que sont usage potentiel (et encore hypothétique) implique du trafic réseau bien difficile à masquer, quelqu’en soit le format.

avatar Jeckill13 | 

@JLG01

D’autant plus difficile si elle est implantée sur chaque carte mère de milliers de baies d’un data center. Ça doit faire quand même un paquet de données à sortir. Donc difficile a dissimuler.

avatar niclet | 

J’ai imaginé le scénario suivant:

Vu que l’administration Trump est sur le dos de la Chine avec sa guerre commerciale, il serait dans leur intérêt protectionniste de faire croire au peuple que la Chine implante des méchants micro-circuits.

Ça coïncide aussi avec la volonté de cette même administration de forcer Apple à réduire ses contrats de mains-d’œuvre en Chine.

À ce moment là, faudrait juste savoir qui a donné cette info fabriquée à Bloomberg.

Je ne sais pas si ça se tient, mais la question restera toujours: À qui ça sert? Qui en a l’intérêt.

avatar iPop | 

@niclet

Bloomberg, c’est de gauche, de droite ?
Dans tous les cas oui, à qui ça sert.

avatar thebarty | 

@niclet

Très bonnes questions !

avatar FahirN | 

@niclet

pour ajouter de l'eau à ton moulin :
trump voit aussi en jeff besos sa bète noire. il essaie depuis des mois de torpiller le contrat qui lie amazon à l'us postal.

le washington post, propriété de besos, n'en parlons même pas ; le journal a — entre autres — fait perdre les élections sénatoriales à roy moore, un candidat pro trump, dans un état, l'alabama, résolument ancré à droite. ou plus récemment, le wapo a publié les alléguations du dr ford à l'endroit de kavanaugh (désolé pour la prétérition)

enfin, les mauvaises langues disent que l'aversion de trump pour besos viendrait du fait que celui-ci est plus riche que lui et surtout parce que c'est un vrai self-made milliardaire. mais ça, ce sont les mauvaises langues qui le disent ?

avatar lesurfeurfou | 

Je suis l’actualité économico financière depuis plus de 20 ans et je n’ai pas souvenir d’une fake news de Bloomberg.

avatar tbr | 

@lesurfeurfou

Certes, mais les moutons noirs, ça existe.
Et dans ce cas, si Bloomberg est clean, il y a manifestement un problème et qq1 doit en payer les conséquences.

avatar thebarty | 

@lesurfeurfou

Tu prétends que BBG ne s’est jamais trompé ?
Je bosse avec leurs « données » depuis des années et les « erreurs » existent bel et bien.

avatar lesurfeurfou | 

@thebarty

Je confirme ce que j’ai écris

avatar Seb42 | 

Je pense qu’il n’y a pas de fumée sans feu. La réalité dépasse souvent la fiction.
Et je me souviens que Trump a dit dernièrement avoir des informations importante d’une ingerence / espionnage chinois.
Maintenant ça reste du trump. Mais quand même il y a de grandes chances d’avoir quelques choses derrière

avatar RWANITO93 | 

Ça me fait bien penser à l'effet Streisand quand même... À force de démentir on fini par se poser des questions.

avatar rikki finefleur | 

Tout d'un coup plus personne n'a acheté chez supermicro..
A se demander ce que vendait cette boite.. ^^

avatar LisbethSalander | 

Sans vouloir être une ardente defenseur de Bloomberg, c’est un journal hautement plus réputé que ne peuvent l’être bon nombre d’entre eux. Je doute qu’ils balancent l’info uniquement dans un but purement «  clickbait «

avatar thebarty | 

@LisbethSalander

Quand tu achètes (très cher) les données et infos de Bloomberg depuis des années (30 ans pour ma part), tu sais qu’ils ne sont pas à l’abris d’erreurs.

avatar iVador | 

Les démentis sont trop énergiques et vigoureux pour que cette histoire ne soit pas vraie

avatar pacou | 

Tout est possible, tout est réalisable.
Tout y compris que oui la chine peut avoir (a) intérêt à montrer qu’elle tient le monde entier par les couilles.
Tout y compris que quelqu’un peut avoir (a) intérêt que ça cesse mais pour devenir la nouvelle main qui tient le monde par les couilles.
Tout y compris que tout soit faux et que quelqu’un peut avoir (a) intérêt à ce que les grandes puissances se foutent sur la gueule. Les armes se vendent bien mais en ce moment le marché est assez monolithique : soit on vent aux sunnites, soit on vent aux chiites, souvent aux deux selon les endroits. Mais le bon vieux mondes chrétien catholique contre protestants est presque en paix, c’est fâcheux, et certains protestants aimeraient se faire des orthodoxes (suivez mon regard) amis de taoïstes maoïstes.

Donc un petit saut de puce dans des ordinateurs peut avoir de grandes conséquences, à l’image d’un petit papillon.

Si en plus l’affaire montée de toute pièce devient vrai mais que personne n’a rien vu (le FBI et la cia étant composées d’humains tout est possible) alors l’économie et La Défense mondiale sont en grand danger car une puce capable de faire générer du trafic aléatoire par des milliers de serveurs depuis l’intérieur des protections anti agression cela donne un déni de service depuis l’intérieur sans que personne n’y puisse rien, sauf erreur de ma part.

En gros c’est du poker menteur et on est au milieu avec notre vie organisée autour du numérique qu’on le veuille ou non.

avatar blogostef | 

Les malandrins mandarins. Voilà qui vient inspirer la prose sur MacG.

CONNEXION UTILISATEUR