Cet article fait partie de notre guide: Tout savoir sur les attaques par rebond

« The Big Hack » d’espions chinois sur le matériel Supermicro : des questions et des enseignements

Selon Bloomberg, des cartes mères de serveurs signées Supermicro auraient été modifiées par des agents chinois. Entre démentis des victimes avancées et questions techniques, les interrogations restent nombreuses. Les risques liés à la chaîne logistique méritent cependant d’être pris au sérieux.

Selon Jordan Robertson et Michael Riley, du Bloomberg BusinessWeek, des puces – « de la taille d’un grain de riz » – absentes du schéma de conception initial de cartes mères de serveurs signées Supermicro, auraient été trouvées sur des cartes livrées à Elemental, depuis racheté par Amazon, ou encore sur des serveurs déployés chez Apple. Deux exemples parmi « près de trente entreprises, dont une banque majeure, des sous-traitants du gouvernement ».

Les puces en question sont présentées comme une porte dérobée, extrêmement difficile à détecter à défaut d’une inspection très minutieuse et d’une connaissance approfondie du matériel. Le tout animé par des éléments de code minimalistes permettant de base, tout au plus, des échanges avec des serveurs de commande et de contrôle.

L’article de nos confrères laisse ouvertes de nombreuses questions techniques. Jordan Robertson et Michael Riley font ainsi état de puces positionnées de sorte à pouvoir intercepter, jusqu’à modifier, les flux de de données alimentant le processeur : de quoi permettre à l’implant « d’injecter son propre code ou d’altérer l’ordre des instructions que le CPU devait suivre ».

Une confusion avec des vulnérabilités connues ?

Ces puces « illégales » pourraient « préparer le système d’exploitation à accepter » du code arbitraire, téléchargé sur ordre depuis une source externe, comme la charge de second niveau d’un maliciel, en somme. Mais les analystes en quête d’indicateurs comme des adresses IP menant à une éventuelle infrastructure de commande et de contrôle devront rester sur leur faim.

Quoi qu’il en soit, ces capacités remarquables seraient liées au positionnement de ces puces, « connectées au Baseboard Management Controler », un sous-système essentiel à l’administration à distance et hors bande des serveurs.

La puissance de ce dernier n’est assurément pas à négliger. Las, elle a fait l’objet de nombreux travaux de recherches. Tout récemment, Eclypsium s’est d’ailleurs penché sur des vulnérabilités affectant ce sous-système sur les cartes mères Supermicro. Et c’était loin d’être une première. Des mécanismes comparables que l’on trouve chez Intel, avec IME, ou HPE, avec iLO, ont également été affectés par des vulnérabilités. En 2013, HD Moore, chez Rapid7, publiait un guide d’attaque des BMC à l’intention des experts en tests d’intrusion. A la même époque, le Cert-US lançait une alerte sur le sujet.

Faute de précisions, les affirmations de nos confrères laissent un doute : parle-t-on véritablement de modification au long de la chaîne logistique comme la NSA en fut accusée par le passé, ou d’exploitation de vulnérabilités logicielles, à différents niveaux, connues ou inédites ?

Des experts partagés entre interrogations et suspicions

Sans véritable surprise, la communauté de la sécurité est aujourd’hui en pleine effervescence, entre ceux qui affichent leurs doutes, et ceux qui cherchent à combler les lacunes techniques du récit de nos confrères. Andréa Barisani, chez F-Secure, ne cache ainsi pas son « scepticisme », de même que Tavis Ormandi, de Google, ou encore Jeremiah Grossmann, pour ne citer qu’eux.

De l’autre côté, dans un billet de blog, le chercheur Nicholas Weaver, à Berkeley, souligne que si l’article de Bloomberg mérite de nombreuses réserves, le scénario qu’il propose n’en est pas moins plausible : « deux connexions d’une puce malicieuse suffiraient à masquer le contenu d’une SEEPROM ou SPI Flash, le remplacer, et ainsi corrompre le BMC en installant le code de la porte dérobée ». Et il existe des SEEPROM de 128 kb mesurant moins d’un millimètre sur un côté.

Des démentis sans précédent

S’il le fallait, le démenti d’Apple souligne des pratiques conformes aux recommandations de la Darpa, remontant à la fin 2012 : « avant que les serveurs ne soient mis en production chez Apple, ils sont inspectés à la recherche de vulnérabilités et de sécurité, et nous mettons à jour tous les firmwares et logiciels avec les plus récentes protections ». Amazon ne dit pas autre chose.

Face aux affirmations de Jordan Robertson et Michael Riley, Apple, Amazon et Supermicro, n’ont pas manqué de dégainer les démentis. Mais Apple fait preuve d’une absence de réserve rare. Le groupe affirme sans ambages n’avoir « jamais trouvé de puces malicieuses, de ‘manipulations matérielles’, ou de vulnérabilités implantées à dessein dans un quelconque serveur ». Pour Apple, il n’y a jamais eu rien « d’inhabituel » de découvert sur les matériels Super Micro. Et le groupe de se dire « déçu que les reporters de Bloomberg ne se soient pas montrés ouverts à la possibilité qu’eux ou leurs sources puissent être dans l’erreur ou mal informés ».

Amazon, parlant pour lui-même comme pour Elemental, ne dit pas autre chose. Loin de mâcher ses mots, le groupe assure « qu’il y a tant d’inexactitudes [dans l’article de Bloomberg] au sujet d’Amazon qu’elles sont difficiles à compter ». En tout cas, pour lui, d’histoire de matériel modifié ou de puces malicieuses, il n’y a tout simplement pas. Pas plus qu’il n’y a d’enquête en cours.

Un sujet de fond noyé dans le sensationnel…

En fait, comme pour Apple, la vraie surprise tient au ton utilisé pour le message : particulièrement direct, il s’avère fortement éloigné du langage aseptisé utilisé pour un démenti classique, porteur d’une dimension potentiellement juridique. Steve Schmidt, RSSI d’AWS, va même jusqu’à qualifier l’une des affirmations de Bloomberg « d’absurde ».

De son côté, Super Micro affirme n’avoir jamais trouvé de puces malicieuses, ni avoir eu vent d’une telle découverte par l’un de ses clients, et renvoie justement aux déclarations d’Apple et d’Amazon. Sans manquer de préciser n’avoir jamais été contacté « par la moindre agence gouvernementale, domestique ou étrangère, au sujet » des allégations de nos confrères.

D’aucuns trouveront sûrement que l’article de Bloomberg tombe à point nommé, apportant de l’eau au moulin des tenants d’une approche économique ultra-nationaliste sur fond de guerre commerciale, ainsi qu’aux plus défiants qui trouveront bien là que le menace, même si elle n’est pas avérée, suffit à justifier l’élévation de barrières aux frontières, en vertu de la sécurité nationale. Un peu comme avec Kaspersky, en somme. Une pierre, deux coups. Avec une nuance : si pour l’éditeur russe, la collusion a été invoquée, pour le constructeur chinois, c’est la compromission de sous-traitants, dans quatre usines, qui l’est.

La sécurité de la chaîne logistique

Mais ni un tel regard, ni le sensationnalisme adopté par nos confrères ne devraient occulter un message profond, sérieux, et lui avéré, sur les risques liés à la chaîne logistique de l’IT. Car pour Nicholas Weaver, même si ce qu’ont décrit Jordan Robertson et Michael Riley « s’avérait être une fausse alerte, il cela n’en serait pas moins un brusque rappel à la réalité ».

L’an dernier, deux épisodes ont impliqué la chaîne logistique du logiciel : CCleaner et NotPetya. Dans les deux cas, la menace est passée par la chaîne logistique du logiciel. Le premier a affecté près de 2,3 millions d’utilisateurs à travers le monde. Et selon les dernières découvertes d’Avast, le déploiement d’un logiciel enregistreur de saisies au clavier était prévu par les attaquants. Mais il n’a pas eu lieu. Plus récemment, l’affaire Dofoild/MediaGet a de nouveau souligné l’importance du sujet et la réalité de la menace. Et que dire de Schneider Electric qui a livré à certains clients, un temps, des clés USB contaminées par un maliciel durant la production ?

Pour approfondir sur Cybercriminalité

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close