The Big Hack, une porte dérobée matérielle dans les serveurs du monde entier
C’est une histoire digne d’un thriller, voire de la science-fiction : Bloomberg révèle qu’une attaque de grande ampleur aurait été menée par la Chine, contre des serveurs utilisés dans le monde entier. Par rapport aux attaques habituelles qui passent par un logiciel malveillant, celle-ci exploiterait une voie nettement plus difficile à mettre en œuvre, mais aussi bien plus facile à masquer par la suite : il s’agit d’une attaque matérielle. Une toute petite puce, installée en Chine pendant la production de cartes-mères de serveurs, créerait une porte dérobée extrêmement complexe à détecter.
Apple et Amazon feraient partie de la trentaine d’entreprises américaines à avoir utilisé des serveurs vérolés, d’après Bloomberg. Néanmoins, précisons d’emblée que les deux entreprises ont répondu en condamnant les informations rapportées par le journal. Leurs déclarations ne laissent aucune place au doute : ni Apple, ni Amazon n’ont eu de serveur avec une puce malveillante, et ni l’une, ni l’autre n’ont échangé avec le FBI à ce sujet. La firme de Cupertino est particulièrement véhémente, et elle regrette dans son communiqué que Bloomberg n’ait jamais considéré que ses sources puissent être mal renseignées.
Dans ces conditions, les informations rapportées par le site doivent rester au conditionnel, mais même si Amazon et Apple ne sont pas concernés par cette attaque, cela ne veut pas dire qu’elle n’existe pas pour autant. Bloomberg a rassemblé de nombreuses informations et obtenu de nombreux détails sur cette attaque, trop pour que l’on puisse l’ignorer entièrement. Par ailleurs, le site avance 17 sources anonymes qui ont confirmé l’attaque et le rôle des deux entreprises dans l’affaire.
D’après Bloomberg donc, c’est en 2015 qu’Amazon et Apple auraient découvert, chacun de leur côté, que des serveurs vendus par Super Micro Computer Inc., « Supermicro », avaient une puce supplémentaire qui n’était pas prévue, et qu’elle pouvait permettre de créer une porte dérobée. Supermicro est l’un des plus gros fournisseurs de serveurs au monde, avec plus de 900 clients dans une centaine de pays différents. Cette firme de San Jose assemble une partie de ses serveurs en Californie, mais les composants nécessaires proviennent de sous-traitants et l’essentiel vient de Chine. En particulier, les cartes-mères sont sous-traitées dans ce pays, et c’est là que la fameuse puce aurait été implantée.
Supermicro ne serait pas à l’origine de l’attaque, l’entreprise serait victime d’une chaîne de production souvent opaque en Chine. Quand elle reçoit une commande de serveurs, elle achète les pièces à ses fournisseurs, mais il arrive que ces derniers sous-traitent encore s’ils ont trop de commandes à gérer. Et c’est là que les problèmes commencent, puisque ces petites usines peuvent être approchées afin de modifier légèrement le design et ajouter la puce. Le journal évoque plusieurs angles d’attaque, certains se faisant passer pour des représentants de Supermicro, d’autres offrant plus simplement des pots-de-vin, certains encore emploieraient des menaces à base de fermeture d’usines pour arriver à leur fin.
Depuis 2015, une enquête serait en cours pour essayer de comprendre comment l’attaque a été menée, et qui a été touché. Plusieurs puces d'origine militaire auraient été découvertes, avec un fonctionnement parfois différent et dans certains cas, des puces si petites (moins grandes qu’un grain de riz) qu’elles ont pu être glissées entre les couches de fibre de verre qui servent de support pour les composants de la carte-mère. Des puces très difficiles à détecter, d’autant qu’elles seraient souvent déguisées pour ressembler à un autre composant banal. Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position et leur rôle sur la carte-mère.
Le journal indique en effet que la puce malveillante est connectée directement au baseboard management controller (BMC), un processeur de bas niveau qui a plusieurs rôles de surveillance, mais qui permet aussi un accès complet aux données. Dans le monde des serveurs, il peut servir à reprendre le contrôle d’une machine qui ne répond plus. La puce malveillante bénéficierait ainsi d’une porte grande ouverte sur certaines fonctions, par exemple court-circuiter la vérification d’un mot de passe et rendre le serveur accessible à n’importe qui. Également à son actif, le vol des clés de sécurité, le blocage des mises à jour de sécurité ou encore la connexion à un serveur distant pour siphonner des données.
Tout cela reste théorique, puisque ces puces n’ont a priori pas été utilisées. En tout cas, les sources de Bloomberg indiquent que ces portes dérobées n’ont pas été activées jusque-là, probablement parce que leurs auteurs gardaient cette attaque pour une occasion spéciale. Il faut dire que, comme la majorité des failles de sécurité, l’attaque perd tout son intérêt dès qu’elle est connue. Même si la taille du composant rend sa détection compliquée, il est toujours possible d’analyser chaque serveur individuellement.
C’est d’ailleurs ce qui s’est passé, d’après le journal, pour Amazon et Apple. Les deux entreprises auraient découvert l’anomalie puis éliminé par la suite tous les serveurs fournis par Supermicro. Le créateur de l’iPhone réfute totalement l’histoire, mais même si Bloomberg a raison sur la présence de serveurs vérolés en son sein, ses journalistes précisent également qu’ils n’ont jamais servi à stocker des données confidentielles. Chez Apple, la découverte de la faille aurait eu lieu avant de mettre les machines en production ; le constructeur a dans la foulée rompu ses relations avec Supermicro. Ce dernier point est confirmé par le constructeur, même s’il indique que ce n’est pas lié à la présence de puces malveillantes.
Parmi les clients de Supermicro, on trouve aussi Elemental Technologies, une firme de Portland spécialisée dans la compression vidéo et le streaming. C’est l’un des pionniers du genre et ses technologies propriétaires ont eu beaucoup de succès, notamment chez l’armée américaine et auprès des services de renseignement. Les serveurs vendus par Elemental Technologies et construits par Supermicro sont utilisés, entre autres, pour transmettre les flux vidéos des drones de surveillance de la CIA.
L’objectif des hackers, d’ailleurs, serait d’accéder aux données sensibles des gouvernements, pas aux données personnelles des utilisateurs. Au lieu de viser précisément certaines machines, ils installeraient une porte dérobée matérielle dans tous les serveurs de l’un des fournisseurs qui travaillent avec le gouvernement et les services de sécurité américains. D’après les sources, l’enquête toujours active serait l’une des raisons qui poussent l’administration Trump à inciter le retour de la production informatique sur le sol américain.
Les autorités américaines n’ont pas souhaité répondre à Bloomberg, contrairement au ministère des Affaires étrangères chinois qui présente son pays comme une victime d’attaques et un défenseur de la cybersécurité.
ça craint !
Ça craint et je suis inquiet pour mon serveur Dell R210 II acheté d’occasion et qui provient d’un data center.
A priori il y aurait des composants Supermicro dedans, comment vérifier le présence de cette puce ?
Merci.
@LolYangccool
Passe la carte mère au micro onde et achète un nouveau serveur!
@r e m y
Mon serveur est en production... Je peux pas le retirer si facilement. Il faut d’abord que je le remplace si cette puce est réellement présente.
Le monsieur plaisante :o
@LolYangccool
Va poser ta question au comptoir du bar de ton coin
C'est aussi pertinent que de la poser dans ce forum...
@LolYangccool
C’est les données gouvernemental qui craignent, t’inquiète pas il s’en foutent pas mal de tes films et de tes photos.
@SebKyz
C’est ni l’un ni l’autre qu’il y a sur ce serveur. Et ils peuvent potentiellement remonter tout mon réseau et accéder à mon NAS, les Mac, PC etc...
@LolYangccool
Jette tout ce qui se connecte à Internet si tu deviens parano à cause de cet article. Tu vivras moins stressé ??
@SebKyz
Disons que si j’ai fais le choix de m’auto héberger c’est pas pour avoir les mêmes problématiques que si mes données étaient en data center. ;)
Si ton serveur se gratte régulièrement c'est qu'il doit être vérolé par des puces chinoises. Pense au collier anti puces.
Je crois franchement qu'il faut d'abord que l'information soit officielle et vérifiée avant de plonger dans la parano même si je comprends parfaitement ton inquiétude.
"il peut servir à reprendre le contrôle d’une machine qui ne répond plus."
Ça peut donner lieu à des scénarios digne du cinéma où la Chine se mettrait à contrôler les IA type Siri et Google.
Quand on sait la place de plus en plus importante qu'elles prennent, avec un rôle central en domotique justement
« Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position sur la carte-mère. »
Hein ? ?
@iDanny
J’suis d’accord cela ne veut rien dire.
@iDanny
"« Elles peuvent aussi être très compliquées à repérer depuis le système d’exploitation, étant donnée leur position sur la carte-mère.
Hein ? ? »"
bah oui, t'as pas lu le début de l'article ?
"C’est une histoire digne d’un thriller, voire de la science-fiction"
@iDanny
La tournure n’est pas très heureuse, mais j’imagine que l’auteur cherche à dire qu’il est difficile de s’apercevoir qu’on est épié car la faille vient d’une puce matérielle et pas d’un processus indésirable qui tourne sur le système d’exploitation.
Il est peut être possible via le système d'exploitation en utilisant des logiciels spécialisés de voir une Map des différents composants d'une Mobo. J'ai une fois ci un tel logiciel créer un schéma d'une carte fille en la testant via les ports de tests. C'est d'ailleurs pour cette raison qu'il y en a afin de déceler les comportements de composants défectueux.
QNAP vient de Taïwan, probablement qu’ils n’incluent pas la puce en question!
Pas grave, ça nous empêchera pas de leur faire des iPhone double sim sur mesure et de continuer à ramper devant eux, c’est le plus gros marché au monde. Et c’est pas Erdogan. Ça passera.
Même pas étonné ..
A force de construire et commander à l’autre bout de la planète...
Et voici en 11 mots la base d'une rumeur : "cela ne veut pas dire qu’elle n’existe pas pour autant" ! L'information est formellement démenti par Apple et Amazon... Et on continue à extrapoler et à faire des hypothèses ! C'est la base de la théorie du complot : il n'y a pas de fumée sans feu. C'est exactement cette mécanique qui autorise certains à nier le 11 septembre et à penser que les extraterrestres gouvernent le monde ! Vous me décevez.
@Malouin
Et ça ne te viendrait pas à l’esprit que les entreprises puissent démentir pour préserver leur image ?.. d’accord.
Peut importe ton point de vue, tu ne peux pas empêcher ni même reprocher aux gens de se méfier des dires des multinationales ou de quiconque.
@jaymcfly
Que répondre à ça ? C’est la mécanique de cette fameuse « théorie du complot » !
@Malouin
Remettre en question les choses c’est donc faire dans la théorie du complot ? Ok.
@jaymcfly
Je ne dis pas ça mais typiquement :
- aucune preuve,
- juste une rumeur
- et, en factuel, un démenti formel des intéressés !
Ok...
Forcément qu'ils vont démentir, surtout apple. Accuser directement la Chine c'est prendre le risque énorme de se la mettre à dos et de s'en faire jater vite fais. Et adieux tout les appareils produit la bas dans ce cas :)
C'est pas la 1ière fois, ni la dernière, que timmy écarte les fesses face à la Chine. :)
@pommedor
Bien résumé
Quel sens de l’allégorie
@Malouin
Ah bon? Nos gouvernants ne sont pas extraterrestres? On s’y tromperait pourtant! ?
@pagaupa
Jusqu’au prétendant au pouvoir et leur vaccin cubain contre le cancer du Poumon ! Même mécanique...
Les puces posées pas la NSA dans le matériel Cisco, c'était il n'y a pas si longtemps....
@Malouin
« Et voici en 11 mots la base d'une rumeur »
Je suis complètement d’accord.
Et si je comprends bien, Bloomberg n’a pas une seule carte mère trafiquée en sa possession, et des « sources anonymes ».
Franchement...
Pour le moment, tout ça, c’est du vent.
Je crois Bloomberg. Inquiétant mais pas étonnant...
C'est possible, tout comme ça peut-être une grosse opération de désinformation des services américains...
Hallucinant cette histoire, digne d’un film oui... et en même temps d’une terrible banalité au sens où on est à peine surpris tellement on sait qu’il faut s’attendre à tout de la part de la Chine...
Et les routeurs, ça serait stratégique aussi! Et vu qu'ils équipent le monde entier avec...
Donc la suspicion vis à vis du matériel made in china prend du poids... ?
On est pas sorti du sable !
"C’est une histoire digne d’un thriller, voire de la science-fiction ", c'est surtout digne de la réalité, et qu'il faut prendre avec des pincettes tout le blabla des entreprises et gouvernements à propos de la sécurité et de la confidentialité dans le numérique. Pour le moment le constat c'est qu'une bonne partie des fournisseurs hightech s'est fait prendre la main dans le sac à un moment ou un autre sur des problématiques de non confidentialité, logiciels espions, ... et à destination de leurs clients.
@lmouillart
Oui, surtout quand il est déjà trop tard.
De là à imaginer qu’une telle puce équipe tous les smartphones produits en Chine...?
@powergeek
Dont Foxconn ? ?
Il y a eu des tel Android avec une puce mouchard. Même des autoradio pour dire...
Donc cee déjà fait. Bientôt les frigos...
@Un Type Vrai
Sources ?
« C’est une histoire digne d’un thriller, voire de la science-fiction «
Ce film existe.
Mais dans ça version la puce empêche tout les réseaux de communication de fonctionner.
Ce qui permet à la Chine d’envahir les pays.
Idée géniale , tout à fait possible - comme expliqué ici - Et film de hum.. série B ?
Tous mes trucs perso, sont dans mon journal intime, un cahier avec des fleurs et des poneys sur la couverture, je le planque sous mon matelas ............. nannnn, je deconnnnnne ..... ou pas ;-)
Je pense qu'il y a forcément une part de vérité dans cette information, après je pense malheureusement qu'on ne saura jamais le fin fond de l'histoire. Et ce n'est clairement pas dans l'intérêt des entreprises concernées de communiquer sur le sujet, même si pour le cas d'Apple il semblerait avoir eu plus de peur que de mal car la firme a découvert la supercherie à temps. Bref, c'est inquiétant, et je pense que ce n'est qu'une partie de l'iceberg, mais en même temps on ne peut pas être surpris. Il y a tellement d'intermédiaires dans les chaînes de production, tellement d'intérêts différents, de pays différents.
Qui croire?
Ah cette chine!
Les réponses d’Amazon et d’Apple sont complètes et circonstanciées, elles démentent et pointent des inexactitudes criantes dans les faits rapportés par Bloomberg.
« sources anonymes »
C’est bien les sources anonymes. On peut leur faire dire n’importe quoi. Elles n’ont même pas besoin d’exister.
J’ai l’impression que nous sommes face à du très mauvais journalisme. La salade va passer dans les mains des politiciens qui sauront l’instrumentaliser comme il se doit.
@Moonwalker
"Les réponses d’Amazon et d’Apple sont complètes et circonstanciées"
À lire très attentivement les communiqués d’Amazon et Apple respectivement, on s’aperçoit qu’Apple s’avance beaucoup plus, plus fermement et de façon plus catégorique qu’Amazon.
Il y a au moins deux réserves implicites qui m’intriguent dans le texte d’Amazon par leur air de clauses salvatoires :
1. « It’s untrue that AWS knew about a supply chain compromise, an issue with malicious chips, or hardware modifications when acquiring Elemental. It’s also untrue that AWS knew about servers containing malicious chips or modifications in data centers based in China,... »
2. « Additionally, in June 2018, researchers made public reports of vulnerabilities in SuperMicro firmware. As part of our standard operating procedure, we notified affected customers promptly, and recommended they upgrade the firmware in their appliances. »
(Les italiques sont miennes.)
Pages