« Big Hack chinois » : Bloomberg persiste malgré des critiques toujours plus soutenues

Bloomberg BusinessWeek persiste, malgré les critiques dont font l’objet ses affirmations initiales, selon lesquelles des cartes mères de serveurs signés Supermicro auraient été modifées par des agents chinois sur les lignes d’assemblage.

Selon nos confrères, « un opérateur télécoms majeur aux Etats-Unis a découvert, au mois d’août, du matériel Supermicro modifié dans son réseau et l’a supprimé ». Cette affirmation, Jordan Robertson et Michael Riley indiquent l’appuyer sur les propos d’un expert travaillant pour l’opérateur en question, Yossi Appleboum, co-Pdg de Sepio Systems. Ce dernier aurait « fourni documents, analyse et d’autres preuves de la découverte », qui ne sont que partiellement reproduits par nos confrères.

Yossi Appleboum s’est manifesté auprès de Jordan Robertson et Michael Riley à la suite de la publication de leurs premiers articles sur les menaces qui pèseraient sur la chaîne logistique de Supermicro. Mais cette fois-ci, il n’est pas question de puce de la taille d’un grain de riz qui viserait à détourner le sous-système d’administration de serveurs : l’interface réseau serait concernée.

Selon nos confrères, « la technologie de Sepio a détecté que le serveur Supermicro altéré apparaissait sur le réseau comme deux machines en une ». Tant pis si ce n’est pas, en soi, suffisant pour trahir une compromission, il faudra se contenter de cela et ne surtout pas attendre, encore une fois, d’indicateurs comme des adresses IP de systèmes distants, par exemple.

This is technical gibberish, telling techies nothing. Is it one MAC address or two? Or two IP addresses on one MAC address? Networking isn't so complex that you have to avoid sufficient details. pic.twitter.com/vQR78ANvdH

— Robᵉʳᵗ Graham X Max (@ErrataRob) October 9, 2018

Un indice, toutefois, selon Jordan Robertson et Michael Riley : « un signe clé de l’implant est que le connecteur Ethernet altéré a des bords en métal au lieu de l’habituel plastique. Ce métal est nécessaire pour dissiper la chaleur générée par la puce cachée à l’intérieur, qui se comporte comme un mini-ordinateur ». Une description qui n’a pas manqué de susciter des moqueries sur Twitter.

Au final, plus que d’apporter de l’eau à leur moulin, les dernières affirmations de nos confrères au surtout suscité l’ire croissante de nombreux experts, jusqu’à Robert Lee, de Dragos, spécialiste de la sécurité des systèmes industriels. Ce dernier est ainsi revenu sur des articles passés de Jordan Robertson et Michael Riley, dans son domaine d’expertise, pour en critiquer, sans ménagement, la pertinence.

Yossi Appleboum apparaît particulièrement « mécontent » et dit « haïr ce qui est arrivé à cette histoire ». A nos confrères de Serve The Home, il assure avoir trouvé des implants malicieux « chez plusieurs fournisseurs, pas seulement Supermicro », ni uniquement dans des serveurs, et « dans différentes variations», y compris dans des commutateurs réseau. Pour Appleboum, l’accent a été mis sur Supermicro alors qu’il aurait fallu souligner qu’il « s’agit d’un problème global », touchant de manière généralisée aux chaînes logistiques.

Plusieurs opérateurs américains ont répondu par la négative aux dernières allégations de Jordan Robertson et Michael Riley : AT&T, Sprint, T-Mobile, Verizon, CenturyLink, Cox Communications, ou encore Comcast.

Lors d’une audition sénatoriale, le directeur du FBI, Christopher Ray, a appelé « à la prudence avec ce que vous lisez », en réponse à des questions sur les allégations de Bloomberg BusinessWeek. Kirstjen Nielsen, secrétaire du ministère de l’Intérieur américain, le DHS, a indiqué pour sa part ne pas disposer « d’indice confortant cet article ». Rob Joyce, le patron de l’agence américaine du renseignement, la NSA, a quant lui exprimé, devant la chambre du commerce, « de graves préoccupations sur là où [ces allégations] nous ont conduits ». Et d’ajouter : « j’ai peur que l’on ne soit en train de chasser des fantômes ».

Et pourtant, le contexte pourrait être propice à porter ou supporter de telles allégations, qu’elles soient fondées ou non, même partiellement : le ministère américain de la Justice vient de porter des accusations d’espionnage économique à l’encontre d’un ressortissant chinois, qui a été extradé de la Belgique vers les Etats-Unis. Baptisé Yanjun Xu, il est haut gradé au sein du ministère chinois de la sécurité de l’Etat, et accusé d’avoir cherché à dérober des « informations très sensibles » à des entreprises du secteur aéronautique.

Interrogé au sujet des allégations de Bloomberg BusinessWeek aux Assises de la Sécurité, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), s’est montré extrêmement circonspect : « si c’est vrai, c’est énorme. Si c’est faux, c’est énorme aussi ». Il explique que des matériels ayant subi des altérations physiques malicieuses ont déjà été observés, comme « des lecteurs de cartes bancaires avec des composants en trop », évoquant « des précédents qui nous rendent paranoïaques ». Pour autant, il se garde bien de toute conclusion, « faute de disposer de quoi évaluer » les allégations.