The Big Hack, une porte dérobée matérielle dans les serveurs du monde entier

Nicolas Furno |

C’est une histoire digne d’un thriller, voire de la science-fiction : Bloomberg révèle qu’une attaque de grande ampleur aurait été menée par la Chine, contre des serveurs utilisés dans le monde entier. Par rapport aux attaques habituelles qui passent par un logiciel malveillant, celle-ci exploiterait une voie nettement plus difficile à mettre en œuvre, mais aussi bien plus facile à masquer par la suite : il s’agit d’une attaque matérielle. Une toute petite puce, installée en Chine pendant la production de cartes-mères de serveurs, créerait une porte dérobée extrêmement complexe à détecter.

Image Bloomberg.

Apple et Amazon feraient partie de la trentaine d’entreprises américaines à avoir utilisé des serveurs vérolés, d’après Bloomberg. Néanmoins, précisons d’emblée que les deux entreprises ont répondu en condamnant les informations rapportées par le journal. Leurs déclarations ne laissent aucune place au doute : ni Apple, ni Amazon n’ont eu de serveur avec une puce malveillante, et ni l’une, ni l’autre n’ont échangé avec le FBI à ce sujet. La firme de Cupertino est particulièrement véhémente, et elle regrette dans son communiqué que Bloomberg n’ait jamais considéré que ses sources puissent être mal renseignées.

Dans ces conditions, les informations rapportées par le site doivent rester au conditionnel, mais même si Amazon et Apple ne sont pas concernés par cette attaque, cela ne veut pas dire qu’elle n’existe pas pour autant. Bloomberg a rassemblé de nombreuses informations et obtenu de nombreux détails sur cette attaque, trop pour que l’on puisse l’ignorer entièrement. Par ailleurs, le site avance 17 sources anonymes qui ont confirmé l’attaque et le rôle des deux entreprises dans l’affaire.

D’après Bloomberg donc, c’est en 2015 qu’Amazon et Apple auraient découvert, chacun de leur côté, que des serveurs vendus par Super Micro Computer Inc., « Supermicro », avaient une puce supplémentaire qui n’était pas prévue, et qu’elle pouvait permettre de créer une porte dérobée. Supermicro est l’un des plus gros fournisseurs de serveurs au monde, avec plus de 900 clients dans une centaine de pays différents. Cette firme de San Jose assemble une partie de ses serveurs en Californie, mais les composants nécessaires proviennent de sous-traitants et l’essentiel vient de Chine. En particulier, les cartes-mères sont sous-traitées dans ce pays, et c’est là que la fameuse puce aurait été implantée.

Animation réalisée par Bloomberg, pour donner une idée de la taille de la puce par rapport à la carte-mère complète.

Supermicro ne serait pas à l’origine de l’attaque, l’entreprise serait victime d’une chaîne de production souvent opaque en Chine. Quand elle reçoit une commande de serveurs, elle achète les pièces à ses fournisseurs, mais il arrive que ces derniers sous-traitent encore s’ils ont trop de commandes à gérer. Et c’est là que les problèmes commencent, puisque ces petites usines peuvent être approchées afin de modifier légèrement le design et ajouter la puce. Le journal évoque plusieurs angles d’attaque, certains se faisant passer pour des représentants de Supermicro, d’autres offrant plus simplement des pots-de-vin, certains encore emploieraient des menaces à base de fermeture d’usines pour arriver à leur fin.

Depuis 2015, une enquête serait en cours pour essayer de comprendre comment l’attaque a été menée, et qui a été touché. Plusieurs puces d'origine militaire auraient été découvertes, avec un fonctionnement parfois différent et dans certains cas, des puces si petites (moins grandes qu’un grain de riz) qu’elles ont pu être glissées entre les couches de fibre de verre qui servent de support pour les composants de la carte-mère. Des puces très difficiles à détecter, d’autant qu’elles seraient souvent déguisées pour ressembler à un autre composant banal. Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position et leur rôle sur la carte-mère.

Le journal indique en effet que la puce malveillante est connectée directement au baseboard management controller (BMC), un processeur de bas niveau qui a plusieurs rôles de surveillance, mais qui permet aussi un accès complet aux données. Dans le monde des serveurs, il peut servir à reprendre le contrôle d’une machine qui ne répond plus. La puce malveillante bénéficierait ainsi d’une porte grande ouverte sur certaines fonctions, par exemple court-circuiter la vérification d’un mot de passe et rendre le serveur accessible à n’importe qui. Également à son actif, le vol des clés de sécurité, le blocage des mises à jour de sécurité ou encore la connexion à un serveur distant pour siphonner des données.

Image Bloomberg

Tout cela reste théorique, puisque ces puces n’ont a priori pas été utilisées. En tout cas, les sources de Bloomberg indiquent que ces portes dérobées n’ont pas été activées jusque-là, probablement parce que leurs auteurs gardaient cette attaque pour une occasion spéciale. Il faut dire que, comme la majorité des failles de sécurité, l’attaque perd tout son intérêt dès qu’elle est connue. Même si la taille du composant rend sa détection compliquée, il est toujours possible d’analyser chaque serveur individuellement.

C’est d’ailleurs ce qui s’est passé, d’après le journal, pour Amazon et Apple. Les deux entreprises auraient découvert l’anomalie puis éliminé par la suite tous les serveurs fournis par Supermicro. Le créateur de l’iPhone réfute totalement l’histoire, mais même si Bloomberg a raison sur la présence de serveurs vérolés en son sein, ses journalistes précisent également qu’ils n’ont jamais servi à stocker des données confidentielles. Chez Apple, la découverte de la faille aurait eu lieu avant de mettre les machines en production ; le constructeur a dans la foulée rompu ses relations avec Supermicro. Ce dernier point est confirmé par le constructeur, même s’il indique que ce n’est pas lié à la présence de puces malveillantes.

Parmi les clients de Supermicro, on trouve aussi Elemental Technologies, une firme de Portland spécialisée dans la compression vidéo et le streaming. C’est l’un des pionniers du genre et ses technologies propriétaires ont eu beaucoup de succès, notamment chez l’armée américaine et auprès des services de renseignement. Les serveurs vendus par Elemental Technologies et construits par Supermicro sont utilisés, entre autres, pour transmettre les flux vidéos des drones de surveillance de la CIA.

Image Bloomberg

L’objectif des hackers, d’ailleurs, serait d’accéder aux données sensibles des gouvernements, pas aux données personnelles des utilisateurs. Au lieu de viser précisément certaines machines, ils installeraient une porte dérobée matérielle dans tous les serveurs de l’un des fournisseurs qui travaillent avec le gouvernement et les services de sécurité américains. D’après les sources, l’enquête toujours active serait l’une des raisons qui poussent l’administration Trump à inciter le retour de la production informatique sur le sol américain.

Les autorités américaines n’ont pas souhaité répondre à Bloomberg, contrairement au ministère des Affaires étrangères chinois qui présente son pays comme une victime d’attaques et un défenseur de la cybersécurité.

avatar Linker | 

ça craint !

avatar LolYangccool | 

Ça craint et je suis inquiet pour mon serveur Dell R210 II acheté d’occasion et qui provient d’un data center.
A priori il y aurait des composants Supermicro dedans, comment vérifier le présence de cette puce ?

Merci.

avatar r e m y | 

@LolYangccool

Passe la carte mère au micro onde et achète un nouveau serveur!

avatar LolYangccool | 

@r e m y

Mon serveur est en production... Je peux pas le retirer si facilement. Il faut d’abord que je le remplace si cette puce est réellement présente.

avatar nemrod | 

Le monsieur plaisante :o

avatar pocketalex | 

@LolYangccool

Va poser ta question au comptoir du bar de ton coin

C'est aussi pertinent que de la poser dans ce forum...

avatar SebKyz | 

@LolYangccool

C’est les données gouvernemental qui craignent, t’inquiète pas il s’en foutent pas mal de tes films et de tes photos.

avatar LolYangccool | 

@SebKyz

C’est ni l’un ni l’autre qu’il y a sur ce serveur. Et ils peuvent potentiellement remonter tout mon réseau et accéder à mon NAS, les Mac, PC etc...

avatar SebKyz | 

@LolYangccool

Jette tout ce qui se connecte à Internet si tu deviens parano à cause de cet article. Tu vivras moins stressé 🤨😉

avatar LolYangccool | 

@SebKyz

Disons que si j’ai fais le choix de m’auto héberger c’est pas pour avoir les mêmes problématiques que si mes données étaient en data center. ;)

avatar EBLIS | 

Si ton serveur se gratte régulièrement c'est qu'il doit être vérolé par des puces chinoises. Pense au collier anti puces.

Je crois franchement qu'il faut d'abord que l'information soit officielle et vérifiée avant de plonger dans la parano même si je comprends parfaitement ton inquiétude.

avatar Vostorn | 

"il peut servir à reprendre le contrôle d’une machine qui ne répond plus."

Ça peut donner lieu à des scénarios digne du cinéma où la Chine se mettrait à contrôler les IA type Siri et Google.

Quand on sait la place de plus en plus importante qu'elles prennent, avec un rôle central en domotique justement

avatar iDanny | 

« Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position sur la carte-mère. »

Hein ? 🤔

avatar Dv@be | 

@iDanny

J’suis d’accord cela ne veut rien dire.

avatar IceWizard | 

@iDanny
"« Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position sur la carte-mère.
Hein ? 🤔 »"

bah oui, t'as pas lu le début de l'article ?

"C’est une histoire digne d’un thriller, voire de la science-fiction"

avatar minipapy | 

@iDanny

La tournure n’est pas très heureuse, mais j’imagine que l’auteur cherche à dire qu’il est difficile de s’apercevoir qu’on est épié car la faille vient d’une puce matérielle et pas d’un processus indésirable qui tourne sur le système d’exploitation.

avatar EBLIS | 

Il est peut être possible via le système d'exploitation en utilisant des logiciels spécialisés de voir une Map des différents composants d'une Mobo. J'ai une fois ci un tel logiciel créer un schéma d'une carte fille en la testant via les ports de tests. C'est d'ailleurs pour cette raison qu'il y en a afin de déceler les comportements de composants défectueux.

avatar Biking Dutch Man | 

QNAP vient de Taïwan, probablement qu’ils n’incluent pas la puce en question!

avatar R1x_Fr1x | 

Pas grave, ça nous empêchera pas de leur faire des iPhone double sim sur mesure et de continuer à ramper devant eux, c’est le plus gros marché au monde. Et c’est pas Erdogan. Ça passera.

avatar IceWizard | 

Même pas étonné ..

avatar JOHN³ | 

A force de construire et commander à l’autre bout de la planète...

avatar Malouin | 

Et voici en 11 mots la base d'une rumeur : "cela ne veut pas dire qu’elle n’existe pas pour autant" ! L'information est formellement démenti par Apple et Amazon... Et on continue à extrapoler et à faire des hypothèses ! C'est la base de la théorie du complot : il n'y a pas de fumée sans feu. C'est exactement cette mécanique qui autorise certains à nier le 11 septembre et à penser que les extraterrestres gouvernent le monde ! Vous me décevez.

avatar jaymcfly | 

@Malouin

Et ça ne te viendrait pas à l’esprit que les entreprises puissent démentir pour préserver leur image ?.. d’accord.
Peut importe ton point de vue, tu ne peux pas empêcher ni même reprocher aux gens de se méfier des dires des multinationales ou de quiconque.

avatar Malouin | 

@jaymcfly

Que répondre à ça ? C’est la mécanique de cette fameuse « théorie du complot » !

avatar jaymcfly | 

@Malouin

Remettre en question les choses c’est donc faire dans la théorie du complot ? Ok.

Pages

CONNEXION UTILISATEUR