Microchip de la Chine: piratage ou canular?

Hier, Bloomberg Businessweek a rapporté que la Chine avait effectué un piratage matériel sur pas moins de 30 entreprises américaines. Les plus grands noms de la liste des sociétés prétendument piratées, Apple et Amazon, ont contesté les allégations concernant la puce électronique de la Chine. Le Congrès américain, cependant, n’a pas aidé les revendications de ces entreprises de zéro piratage matériel.


Microchip de Chine - Hack ou canular?

Microchip de Chine – Hack ou canular? Image originellement trouvée sur Bloomberg Businessweek

Microchip de Chine – Ce que Bloomberg a rapporté

Selon Bloomberg Businessweek, Amazon a découvert le piratage matériel à grande échelle alors qu’ils enquêtaient sur une éventuelle nouvelle acquisition. Amazon cherchait à utiliser le service vidéo Elemental. Bientôt, il a découvert que les serveurs qu’Elemental exigeait que les clients installent avaient une minuscule micropuce imbriquée sur les cartes mères des serveurs.

Ces serveurs sont fabriqués par une société chinoise appelée Super Micro Computer. En fait, il s’est avéré que de nombreuses entreprises américaines utilisent ces serveurs. Cela inclut les organisations gouvernementales, les banques et les entreprises technologiques comme Amazon et Apple.

Apparemment, Amazon a informé les autorités américaines de ses conclusions, et des enquêtes sont en cours depuis.

Microchip de Chine – Les entreprises américaines réagissent

Apple, Amazon et SuperMicro, à leur tour, ont publié des déclarations concernant l’article explosif de Bloomberg. Voici quelques parties de ces déclarations:

Réponse d’Apple 

Apple a complètement ignoré l’article de Bloomberg. Il est même allé jusqu’à appeler Bloomberg, affirmant que le média a contacté Apple à plusieurs reprises auparavant et a toujours reçu une réponse indiquant explicitement que ce hack n’existe pas:

»Au cours de l’année écoulée, Bloomberg nous a contactés à plusieurs reprises avec des allégations, parfois vagues et parfois élaborées, d’un incident de sécurité présumé chez Apple. Chaque fois, nous avons mené des enquêtes internes rigoureuses sur la base de leurs enquêtes et à chaque fois nous n’avons trouvé absolument aucune preuve à l’appui d’aucun d’entre eux “…” Sur cela, nous pouvons être très clairs: Apple n’a jamais trouvé de puces malveillantes, de «manipulations matérielles» ou vulnérabilités volontairement implantées sur n’importe quel serveur “.

Réponse d’Amazon

Amazon, tout comme Apple, a également réfuté les allégations. Encore une fois, tout comme Apple, Amazon a clairement indiqué que leur entreprise n’avait aucun enregistrement d’un tel piratage:

“Il est faux qu’AWS ait connaissance d’un compromis sur la chaîne d’approvisionnement, d’un problème de puces malveillantes ou de modifications matérielles lors de l’acquisition d’Elemental. Il est également faux qu’AWS connaissait des serveurs contenant des puces malveillantes ou des modifications dans les centres de données basés en Chine “…” Nous avons réexaminé nos dossiers relatifs à l’acquisition d’Elemental pour tout problème lié à SuperMicro … Nous n’avons trouvé aucune preuve prendre en charge les réclamations de puces malveillantes ou de modifications matérielles “.

Réponse de SuperMicro

SuperMicro, en revanche, n’a ni réfuté ni accepté. Ils ont simplement déclaré que l’affirmation de Bloomberg sur SuperMicro faisant l’objet d’une enquête par le gouvernement américain était fausse:

«Nous n’avons connaissance d’aucune enquête sur ce sujet et nous n’avons été contactés par aucun organisme gouvernemental à cet égard. Nous n’avons connaissance d’aucun client ayant abandonné Supermicro en tant que fournisseur pour ce type de problème. »

Pourquoi la puce chinoise a provoqué une telle agitation

Pour commencer, c’est un hack matériel. Un piratage logiciel, bien qu’incroyablement dangereux, peut être capturé et confiné dans un délai modéré. Les hacks logiciels coûtent évidemment beaucoup d’argent à la cible, mais ils ne nécessitent pas une perte complète de tous les serveurs concernés.

Cependant, les hacks matériels sont différents. Étant donné que la plupart des entreprises ne vérifient pas (et ne peuvent pas) vérifier chaque aspect du matériel qu’elles reçoivent, il existe une confiance inhérente entre les fournisseurs et leurs clients. Les hacks matériels sont, en général, difficiles à exécuter mais incroyablement dangereux s’ils sont effectués correctement. Avec un hack matériel, l’attaquant a une porte ouverte sur toutes les informations qu’il souhaite obtenir.

Microchip de Chine – Réflexions finales

Bloomberg dit que son rapport est basé sur des confirmations provenant des entreprises concernées elles-mêmes. Apparemment, six agents de sécurité nationaux actuels et anciens, deux hauts fonctionnaires d’Amazon et trois sources d’Apple ont corroboré l’histoire.

Apparemment, personne ne sait vraiment si cela s’est produit ou non. Les deux côtés de l’histoire semblent avoir des preuves convaincantes pour prouver leur véracité. Ce que nous savons, c’est que cela affectera la façon dont les États-Unis aborderont les sociétés technologiques offshore à l’avenir. Cela pourrait également affecter sérieusement certains des traités diplomatiques actuellement soumis à la spéculation du Congrès américain..