Supermicro annonce qu'aucune trace de puces espionnes chinoises n'a été trouvée sur ses cartes mères
Après une investigation

Le , par Bill Fassinou

113PARTAGES

14  0 
Le fabricant de matériel informatique Supermicro Computer Inc a déclaré à ses clients mardi dernier que le groupe Nardello & Co, un cabinet d'investigation externe, n'avait trouvé aucune preuve de l'existence d'un matériel malveillant dans ses cartes mères actuelles ou anciennes. Dans une lettre adressée à ses clients, la société californienne de San Jose, a déclaré ne pas être surprise du résultat de l'examen demandé en octobre dernier, à la suite d'un article paru dans Bloomberg selon lequel des espions du gouvernement chinois auraient corrompu les cartes mères de Supermicro afin d'écouter leurs clients. Le groupe a testé des échantillons de cartes mères de la production actuelle et des versions vendues à Apple Inc et Amazon.com Inc, indexés dans l'article de Bloomberg. Le groupe a également examiné les logiciels et les fichiers de conception sans détecter la présence de composants ou de signaux non autorisés.

En effet, en octobre dernier, le media informatif américain Bloomberg a rendu publique une information selon laquelle la Chine aurait infiltré près de 30 entreprises américaines. Baptisée « The Big Hack » par le media américain, cette opération pourrait aisément s’inscrire parmi les plus grandes campagnes d’espionnage commercial d’un État envers un autre. Le hack aurait été découvert vers la fin du printemps 2015, au cours d’une procédure d’enquête pré-acquisition d’Amazon sur une startup américaine connue à l’époque sous la dénomination « Elemental Technologies ». Pour mener à bien ladite procédure, Amazon aurait engagé une entreprise pour examiner les protocoles et les standards de sécurité de la startup, selon une source de Bloomberg proche du dossier.


Les premiers résultats de l’enquête auraient été si inquiétants que l’entreprise de Jeff Bezos aurait décidé d’examiner de plus près le produit phare de la startup : des serveurs gérant la compression vidéo assemblés par Supermicro, un des plus grands fournisseurs mondiaux de cartes mères de serveurs. Elemental a donc envoyé quelques-uns de ses serveurs à l’entreprise tierce qu’Amazon a engagée pour gérer la procédure d’enquête. Les examens conduits par la suite sur ces serveurs auraient révélé la présence de micro-puces qui ne faisaient pas partie du design original des cartes. Bloomberg explique que l’objectif de la présence de ces micro-puces était de créer un point d’entrée dans les systèmes des entreprises afin de pouvoir récupérer éventuellement des informations. « Au cours de l'enquête top secret qui a suivi, et qui reste ouverte plus de trois ans plus tard, les enquêteurs ont découvert que les puces permettaient aux attaquants de créer une "porte furtive" vers n'importe quel réseau incluant les dispositifs piratés.

Les enquêteurs ont aussi découvert que les puces avaient été insérées dans des usines gérées par des sous-traitants en Chine », rapporte le quotidien américain. Il est cohérent de présumer que tous les serveurs assemblés par Supermicro aient pu être compromis. Afin de donner une idée de l’ampleur et de la gravité, rappelons que juste les serveurs d'Elemental sont utilisés dans le Département de la justice, dans des opérations de drones de la CIA et dans les réseaux des navires de la Navy. Rappelons également qu’Elemental n’est qu’un grain de sable parmi les centaines de clients de Supermicro. Immédiatement après la révélation de Bloomberg, plusieurs entreprises, notamment Apple, se sont faites entendre et ont nié en bloc les allégations de Bloomberg.

« La sécurité et l’intégrité de nos produits étant notre priorité absolue, nous avons entrepris une enquête approfondie avec l’aide d’un important cabinet d’enquêtes tiers. Un échantillon représentatif de nos cartes mères a été testé, comprenant le type spécifique de carte mère décrit dans l'article [de Bloomberg] et les cartes mères achetées par les sociétés référencées dans l'article, ainsi que des cartes mères fabriquées plus récemment. Aujourd’hui, nous souhaitons partager avec vous les résultats de ces tests. Après un examen approfondi et une série de tests fonctionnels, le cabinet d’enquête n’a trouvé aucune trace de matériel malveillant sur nos cartes mères », peut-on lire dans la lettre.

La lettre et une vidéo d'accompagnement décrivaient en détail les procédures de sécurité de la chaîne logistique de Supermicro, notamment les tests répétitifs des produits au cours de la fabrication, la supervision et l'inspection des fabricants de Supermicro au cours de la fabrication, la compartimentalisation de l'accès aux données de conception des cartes de Supermicro et des audits réguliers des fournisseurs. « La complexité de la conception de notre carte mère constitue une garantie supplémentaire. Tout au long de notre chaîne d'approvisionnement, chacune de nos cartes est testée à plusieurs reprises par rapport à sa conception, afin de détecter toute aberration et de rejeter toute carte qui ne correspond pas à sa conception », ont écrit les dirigeants de Supermicro.


Apple, Amazon et les responsables américains et britanniques ont tous déclaré qu'ils n'avaient aucune connaissance d'attaque matérielle via Supermicro. En effet, quelques semaines plus tard après la publication de Bloomberg, Tim Cook, PDG d'Apple au cours d’une interview téléphonique avec le site informatif américain BuzzFeed, a demandé à ce que Bloomberg se rétracte à propos de toutes ces allégations. « Il n'y a pas de vérité dans leur histoire à propos d'Apple. Ils doivent prendre la bonne décision et se rétracter », disait-il. « J'ai personnellement parlé aux journalistes de Bloomberg avec Bruce Sewell, qui était alors notre avocat général. Nous avons été très clairs avec eux pour dire que cela ne s'était pas produit et avons répondu à toutes leurs questions : Chaque fois qu'ils nous ont signalé cela, l'histoire a changé et chaque fois que nous avons enquêté, nous n'avons rien trouvé », avait-il ajouté. Le CEO d’Apple décriait l’absence notoire de preuves. Il avait déclaré que les reporters de Bloomberg n’avaient jamais fourni à son entreprise de détails précis sur les puces malveillantes qu’elle aurait trouvées et retirées.

Andy Jassy, PDG d’Amazon Web Services (AWS), était aussi monté au créneau pour demander à Bloomberg de se rétracter. « Tim Cook a raison. Bloomberg se trompe aussi au sujet d'Amazon. Ils n'ont offert aucune preuve, et leur l'histoire ne cesse de changer de version et ne porte aucun intérêt. Les journalistes ont été abusés. Bloomberg devrait se rétracter », avait-il déclaré le 22 octobre dernier dans un tweet. « Il y a tellement d'inexactitudes dans cet article en ce qui concerne Amazon, qu'il est difficile de les comptabiliser », s'est exprimé Steve Schmidt, responsable de la sécurité des informations à AWS.

Source : Lettre de Supermicro, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

La Chine aurait infiltré Apple et d'autres sociétés américaines en utilisant des micropuces « espion » insérées sur des cartes mères de serveurs

Le CEO d'AWS suit Apple et demande à Bloomberg de se rétracter de ses allégations de puces espionnes chinoises dans les centres de données AWS

Le CEO d'Apple demande à Bloomberg de se rétracter de ses allégations de puces espionnes chinoises dans les serveurs d'Apple

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Mootookoi
Membre du Club https://www.developpez.com
Le 13/12/2018 à 15:04
Il n'y a donc que des puces espionnes américaines dans leurs cartes mères ?
Je suis rassuré.
5  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web