The Big Hack chinois : les affirmations de Bloomberg un peu plus fragilisées

Bloomberg BusinessWeek l’affirmait la semaine dernière : des cartes mères de serveurs signées Supermicro auraient été modifiées par des agents chinois sur les lignes d'assemblage. Déjà fortement mises en doute, ces allégations apparaissent aujourd’hui sévèrement fragilisées.

Il y a tout d’abord plusieurs « dirigeants d’Apple, parlant sous condition d’anonymat à BuzzFeed News, afin de pouvoir s’exprimer librement », dont trois, présentés comme très haut placés dans les équipes sécurité et juridique du groupe, qui ne cachent pas leur incompréhension. L’un d’entre eux ne pourrait être plus clair : « nous avons essayé de trouver s’il y avait quoi que ce soit, quoi que ce soit, qui transpire qui soit même vaguement proche [des allégations de Bloomberg BusinessWeek]. Nous n’avons rien trouvé ». Mais cela ne s’arrête pas là.

Il y a tout d’abord cette précision que Joe Grand (hardware hacker et fondateur de Grand Idea Studio), s’est senti obligé d’apporter. Nos confrères l’ont cité dans leur dossier : « trouver un implant matériel bien fait, du niveau d’un Etat-nation, ce serait comme voir une licorne sauter au-dessus d’un arc-en-ciel ». A cette remarque, Jordan Robertson et Michael Riley répliquent : « mais c’est justement ce que les enquêteurs des Etats-Unis ont trouvé ». Le sensationnel est là dans toute sa grandeur.

FWIW, my quote in the @business article was given over a year ago as to the difficulty and unlikeliness of finding a properly instrumented hardware implant. I've not seen any proof of this specific alleged attack.

— Joe Grand (@joegrand) October 8, 2018

Joe Grand précise, sur Twitter, le contexte : « ma citation a été donnée il y a plus d’un an [pour souligner] la difficulté et le caractère improbable de trouver un implant matériel proprement instrumenté ». Et d’ajouter : « je n’ai vu aucune preuve de cette attaque présumée en particulier ».

Surtout, il y a cet échange que Patrick Gray de Risky.biz a eu avec Joe Fitzpatrick, une autre des personnes nommément identifiées du dossier de Bloomberg BusinessWeek, expert en matériel informatique. Celui-ci indique avoir été en contact avec Jordan Robertson depuis la mi-2017 au sujet de ce dossier, entre deux présentations sur les implants matériels malicieux : « j’ai passé beaucoup de temps avec lui à expliquer comment [ils] fonctionnent ».

Mais à la lecture de l’article de Jordan Robertson et Michael Riley, patatras. Certes, Joe Fitzpratick n’est pas exactement surpris qu’il n’y ait pas là de détails techniques robustes – « c’est écrit pour une audience non technique ». Pour lui, le malaise est ailleurs : « tous les détails vaguement techniques semblent avoir été pris des conversations que j’ai eues sur la manière dont les implants fonctionnent théoriquement, et comment fonctionnait l’appareil que j’ai présenté à Black Hat il y a deux ans ». D’où un étonnement profond : « que 100 % de ce que je lui ai dit soit confirmé par ses sources ». Pour lui, Jordan Robertson et Michael Riley « ont soit d’excellentes sources, soit il se passe quelque chose d’autre ». Mais il y a plus.

Fin août, Jordan Robertson a dévoilé à Joe Fitzpatrick d’autres volets de son enquête. Ce qu'il a alors entendu « n’avait aucun sens pour moi », assure Joe Fitzpatrick. Et d’expliquer à Jordan Robertson que le niveau de compromission qu’il décrit peut être obtenu « de très nombreuses manières différentes, matérielles, logicielles, firmware… l’approche [via implant matériel au long de la chaîne logistique] n’est pas logique, ne passe pas à l’échelle ».

L’expert s’interroge, exprime son scepticisme, et demande à notre confrère s’il est sûr que ses sources disposent bien du niveau de compréhension adéquat pour formuler ce qu’elles avancent. Car pour lui, il serait bien plus simple de compromettre un sous-système d’administration de serveur (BMC) par la voie logicielle, celle de son firmware…

Joe Fitzpatrick demande également à voir des photos des fameux implants. Mais selon lui, Jordan Robertson n’en a aucune à partager : tout ce qu’il a, ce sont ses sources qui assurent les lui décrire. Alors l’illustration de puce malicieuse de la taille d’un grain de sable ? Rien de plus que celle d’un exemple avancé par Joe Fitzpratick, mais sans aucun lien établi avec l’affaire.

It is not about wether individual parts of the story could possibly exist, they can, which is why it seems believable, it is about accuracy in tech reporting. It is about Fake News. Fake News must be challenged wether political or tech, it can not be allowed to stand.

— Space Rogue (@spacerog) October 8, 2018

Sollicité par Patrick Gray, Jordan Robertson a refusé de commenter les propos de Joe Fitzpatrick et renvoyé vers un porte-parole de Bloomberg BusinessWeek. L’un d’eux a assuré à nos confrères de BuzzFeed News que le dossier est « le résultat de plus d’un an d’enquête, durant laquelle nous avons conduit plus d’une centaine d’entretiens ». Et de maintenir, droit dans ses bottes, ce qui a été publié.

Quoi qu’il en soit, pour certains, l’histoire de l’implant matériel chinois dans les cartes mères de Supermicro pour serveur est tout simplement « fausse ». Un expert hautement reconnu du matériel informatique – qui a préféré garder l’anonymat – nous a d’ailleurs indiqué sans ambages considérer que les allégations de nos confrères de Bloomberg BusinessWeek autour de ces fameuses « puces illégales » relèvent du « fake ».