Puces espionnes : le pire cauchemar pour la sécurité informatique
Techno

Puces espionnes : le pire cauchemar pour la sécurité informatique

De minuscules puces espionnes chinoises auraient été découvertes dans les serveurs d’entreprises importantes comme Apple et Amazon, selon une enquête explosive de Bloomberg Businessweek. Présentation d’une attaque qui met en relief les failles des procédés de fabrication de nos appareils électroniques.

« Un événement terrible ». Voilà comment le chercheur principal en sécurité chez Kaspersky Lab Kurt Baumgartner qualifie l’article de Bloomberg Business.

Dans The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies, les journalistes Jordan Robertson et Michael Riley décrivent la découverte d’une mini puce espionne de la taille d’un grain de riz dans les serveurs d’Amazon, et comment une enquête américaine aurait permis de remonter à la source pour identifier les usines chinoises d’où proviennent les pièces infectées.

Une trentaine d’entreprises américaines auraient été ciblées par ces attaques en 2015, affirme l’enquête de Bloomberg Businessweek, réalisée avec l’aide de 17 sources anonymes différentes, notamment d’anciens employés d’Apple et différentes sources gouvernementales.

« Une minuscule puce comme celle qui aurait été découverte n’est pas assez puissante pour détourner toutes les communications d’un serveur. Mais elle pourrait affaiblir ses mécanismes de défense avec le temps, ce qui pourrait avoir des conséquences fâcheuses », explique Kurt Baumgartner, rencontré par L’actualité à Montréal à l’occasion de la conférence sur la sécurité informatique Virus Bulletin.

La puce pourrait par exemple créer un accès privilégié dans le système, qui permettrait à un état étranger d’accéder aux informations confidentielles enregistrées dans les serveurs (ce qui ne semble pas s’être produit avec les serveurs contaminés découverts ici). Pour les experts intérrogés par le site The Verge, il s’agit d’un scénario catastrophe, qui serait particulièrement difficile à régler.

« C’est un genre d’attaque difficile à détecter. C’est vraiment une découverte incroyable si c’est ce qui s’est passé », poursuit le chercheur de Kaspersky.

Le « si » est nécessaire dans l’affirmation. Car même si l’enquête est crédible, Amazon, Apple et SuperMicro, les trois plus grandes victimes potentielles mentionnées par Bloomberg Businessweek, ont toutes démenti l’article avec véhémence depuis sa parution jeudi.

« Bloomberg Businessweek rapporte incorrectement qu’Apple aurait trouvé des « puces malicieuses » dans des serveurs de son réseau en 2015. Comme Apple l’a expliqué à plusieurs reprises aux reporters et éditeurs de Bloomberg au cours des 12 derniers mois, il n’y a rien de vrai dans ces affirmations », affirme Apple dans un communiqué.

Même son de cloche chez Amazon. « À aucun moment, passé ou présent, avons-nous découvert de problèmes en lien avec un matériel modifié ou une puce malicieuse dans les cartes mères de SuperMicro », indique le géant du commerce en ligne.

Dans les deux cas, le ton direct des réponses étonne. « Tout ceci est bizarre », affirme la journaliste spécialisée en sécurité informatique Kim Zetter sur Twitter. Pour elle, des communiqués aussi directs et détaillés ne sont tout simplement pas quelque chose que l’on voit lorsqu’une entreprise tente de cacher quelque chose.

Un danger important, peu importe qui dit vrai

Si on peut se fier aux premières réactions, la véracité de l’article de Bloomberg Businessweek risque d’attirer principalement l’attention des observateurs et des médias au cours des prochains jours. Mais qu’il dise vrai ou qu’il se trompe – en totalité ou en partie – change finalement peu de choses aux conclusions que l’on peut en tirer.

« Cela fait quelques années que nous sonnons l’alarme par rapport aux risques d’attaques sur les chaînes d’approvisionnement », rappelle Kurt Baumgartner, dont la firme a déjà observé des attaques logicielles sur les entreprises qui fabriquent les composantes des gadgets électroniques qui nous entourent.

« Apprendre qu’une attaque matérielle comme celle-ci soit survenue n’est pas vraiment une surprise. Les grandes entreprises sont une cible parce qu’il y a tellement d’informations en jeu, comme des communications personnelles, des données confidentielles et de la propriété intellectuelle », ajoute-t-il. Bref, des attaques matérielles du genre étaient dues pour arriver.

L’attaque ramène à l’avant-plan les dangers associés à la fabrication des appareils électroniques à l’étranger, tout particulièrement en Chine. Des méthodes sont mises en place par les entreprises pour assurer la sécurité, mais la complexité des chaînes d’approvisionnement entraîne forcément des risques.

L’attaque identifiée par Bloomberg se serait d’ailleurs produite dans les usines chinoises de sous-traitants secondaires de l’entreprise américaine SuperMicro, qui étaient utilisées lorsque les sous-traitants habituels ne suffisaient plus à remplir la demande. Les puces auraient été ajoutées aux cartes mères sous les menaces de l’Armée populaire de libération chinoise, probablement à l’insu de SuperMicro.

« Les entreprises savent qu’il y a des risques associés aux chaînes d’approvisionnement, mais elles ne peuvent pas réinventer la roue. Alors les affaires continuent », observe Kurt Baumgartner.

Un ancien représentant du gouvernement explique le dilemme à Bloomberg Businessweek de cette façon : « tu peux avoir un plus petit approvisionnement et garantir sa sécurité, ou encore avoir toute la production voulue, mais il y a des risques. Toutes les organisations ont choisi cette seconde option ».

L’article de Bloomberg est peut-être en partie faux. Mais les dangers reliés aux attaques informatiques matérielles dans les chaînes d’approvisionnement, eux, sont bien réels.