« The Big Hack » chinois sur Supermicro, ou quand la réalité importe peu

Les affirmations de Jordan Robertson et Michael Riley, selon lesquelles la chaîne de sous-traitance de Supermicro aurait été compromise par des espions chinois, ont fait l’effet d’une petite bombe dans la communauté de la cybersécurité. Ce n’est pas une surprise compte tenu du renom de leur magazine, Bloomberg BusinessWeek, et du sujet. Le contexte de guerre commerciale entre les Etats-Unis et la Chine n’est pas non plus sans aider. Ces affirmations sont cependant loin de faire l’unanimité.

Car dans l’article principal du dossier de nos confrères, il y a un peu de tout et de rien, comme certains le relèvent. Suffisamment de technique pour donner l’impression du sérieux, pas trop pour éviter de perdre le lecteur béotien, mais assez tout de même pour que l’expert ait envie de creuser. Et pas gratuitement : pour en fait chercher à rapprocher des allégations à peine étayées et fortement contredites d’une possible réalité. Autrement dit, nombre d’experts jouent depuis hier à la souris dans son moulin en essayant de combler des lacunes qu’il revenait à nos confrères de combler, lors de l’écriture de leur article.

Parallèlement, le peu de temps que pourrait éventuellement utiliser la rationalité pour avoir l’ombre d’un début de chance de l’emporter, sur l’émotion générée par le sensationnel de l’histoire, s’écoule, passe, et puis s’échappe. Peu importe aussi la véhémence, ô combien inhabituelle au demeurant, des dénégations d’Amazon, d’Apple et de Supermicro – malgré le passage certain de ces textes par les fourches caudines de leurs services juridiques.

Quelle que soit la réalité matérielle de l’histoire, c’est bien une émotion qui restera dans de nombreux esprits : les questions de sécurité nationale viendront s’ajouter aux tensions politico-économiques existantes, apportant de l’eau au moulin de tous ceux qui prônent l’élévation de barrières commerciales. Accessoirement, l’exaspération de certains outre-Atlantique vis-à-vis de ce qu’ils perçoivent comme d’arrogants GAFA californiens n’aidera probablement pas à les rendre audibles.

Cela ne manque pas de renvoyer à un autre thriller techno-géopolitique : celui dans lequel Kaspersky s’est trouvé empêtré à son corps défendant. Si la défiance était déjà bien présente en juillet 2017, c’est à cette époque-là que Jordan Robertson et Michael Riley ont accusé l’éditeur d’avoir travaillé pour le renseignement russe dans le cadre d’un projet de système anti-DDoS. Mais de manière tout sauf anodine.

Dans un message relatif à ce projet de solution anti-DDoS apparaît le terme de « contre-mesures actives ». Nos confrères l’ont interprété comme une référence à des formes de contre-offensive, avant, d’une certaine façon, de se reprendre. Ils expliquaient ainsi que les contre-mesures actives recouvrent deux choses : des techniques classiques comme le reroutage du trafic malveillant, mais aussi la fourniture « au FSB [Service fédéral de sécurité de la Fédération de Russie] de renseignements en temps réels sur la localisation des attaquants ». Bloomberg allait plus loin : l’éditeur « envoie des experts pour accompagner le FSB et la police russe lorsqu’ils conduisent des raids ». Mais il n’était plus question de contre-attaquer les attaquants.

Comme aujourd’hui Amazon, Apple et Supermicro, Kaspersky n’a pas manqué de contredire nos confrères avec véhémence. Mais a-t-il été pour autant audible ? L’histoire dit le contraire. Au mois de septembre suivant, la sénatrice démocrate du New Hampshire, Jeanne Shaheen, menait une nouvelle charge. Quelques jours plus tard, le ministère de l’Intérieur américain demandait à toutes les administrations publiques des Etats-Unis de répertorier sous 30 jours leurs déploiements de produits signés Kaspersky avant de planifier leur remplacement.

Car peu importe que les allégations soient avérées ou pas : le doute raisonnable suffit à justifier la mesure de bannissement aux yeux de certains, aussi injuste que cela puisse paraître à d’autres. Quoi qu’il en soit aujourd’hui, l’avenir ne manquera pas de dire si l’histoire se répète ou pas, et dans quelle mesure.