Bloomberg vient de publier une enquête qui affirme que les chaînes d’assemblage de cartes mères situées en Chine auraient installé des micropuces pour espionner les entreprises américaines. Des faits graves, Apple et Amazon ont réagi dans la foulée.

Bloomberg Businessweek a publié des informations concernant une histoire d’espionnage, l’affaire remonte à 3 ans et le média américain a mené une enquête depuis. Selon eux, l’armée chinoise aurait inséré des micropuces sur les cartes mères de serveurs Supermicro pour fournir au gouvernement chinois la possibilité d’espionner les entreprises américaines.

Selon le rapport cité par Bloomberg, les enquêteurs auraient découvert que l’espionnage a touché près de 30 entreprises, dont Apple et Amazon, ainsi qu’une grande banque et des sous-traitants gouvernementaux aux États-Unis.

L’affaire des micropuces qui espionnent les américains

Les sous-traitants chinois de Super Micro Computer auraient placé une micropuce d’espionnage sur les cartes mères. Elles feraient la taille d’un grain de riz et seraient donc très difficile à détecter.

Cette micropuce permettrait d’injecter son propre code ou de modifier l’ordre des instructions que le CPU doit exécuter. L’objectif est de créer une porte dérobée dans n’importe quel réseau informatique relié à ces machines piégées. Bloomberg explique que la porte dérobée permet de surveiller les serveurs et même récupérer leurs données. Néanmoins, aucune donnée n’aurait été récupérée, mais l’ampleur de l’attaque n’a pas été clairement identifiée.

Les serveurs Super Micro Computer sont utilisés par de très nombreuses entreprises ; ce sont notamment les cartes mères qui équipaient les serveurs de l’App Store et de l’assistant Siri. Apple aurait eu environ 7 000 cartes mères fabriquées du constructeur dans ses centres de données lorsque son équipe de sécurité est tombée sur les fameuses puces.

Selon Bloomberg, Apple aurait découvert les micropuces suspectes sur les cartes mères aux alentours de mai 2015, après avoir détecté une activité réseau anormale et des problèmes de microprogramme. Deux sources internes d’Apple indiquent que l’entreprise aurait signalé l’incident au FBI, tout en menant une enquête interne. Les 7 000 serveurs Super Micro Computer auraient été remplacés en l’espace de quelques semaines.

Cet espionnage a-t-il eu lieu ?

Apple n’a pas tardé à réagir officiellement concernant cette histoire. Voici la traduction de son communiqué :

Au cours de cette année, Bloomberg nous a contactés à plusieurs reprises pour nous faire part de réclamations, parfois vagues et parfois complexes, concernant un incident de sécurité présumé chez Apple.

Chaque fois, nous avons mené des enquêtes internes rigoureuses fondées sur leurs enquêtes et, chaque fois, nous n’avons trouvé absolument aucune preuve à l’appui d’aucune d’entres elles.

Nous avons donné des réponses factuelles à maintes reprises et de façon constante, dans un compte rendu, réfutant pratiquement tous les aspects de l’histoire de Bloomberg au sujet d’Apple. Sur ce point, nous pouvons être très clairs : Apple n’a jamais trouvé de micropuces malveillantes, de « manipulations matérielles » ou de vulnérabilités délibérément implantées dans un serveur. Apple n’a jamais eu aucun contact avec le FBI ou toute autre agence au sujet d’un tel incident. Nous n’avons connaissance d’aucune enquête du FBI, pas plus que nos contacts dans les forces de l’ordre.

En réponse à la dernière version du récit de Bloomberg, nous présentons les faits suivants : Siri et Topsy n’ont jamais partagé de serveurs ; Siri n’a jamais été déployé sur des serveurs qui nous ont été vendus par Super Micro ; et les données Topsy étaient limitées à environ 2 000 serveurs Super Micro, et non 7 000. Aucun de ces serveurs ne contient de micropuces malveillantes.

En pratique, avant que les serveurs ne soient mis en production chez Apple, ils sont inspectés pour détecter les failles de sécurité et nous mettons à jour tous les microprogrammes et logiciels avec les dernières protections. Nous n’avons pas découvert de vulnérabilités inhabituelles dans les serveurs que nous avons achetés chez Super Micro lorsque nous avons mis à jour le firmware et le logiciel conformément à nos procédures standards.

Nous sommes profondément déçus que, dans leurs relations avec nous, les journalistes de Bloomberg n’aient pas été ouverts à la possibilité qu’eux-mêmes ou leurs sources puissent se tromper ou être mal informées. Notre supposition est qu’ils confondent leur histoire sur un incident survenu en 2016, lors duquel nous avons découvert un pilote infecté sur un seul serveur Super Micro dans un de nos laboratoires. Cet événement unique a été considéré comme accidentel et non comme une attaque ciblée contre Apple.

Bien qu’il n’y ait eu aucune allégation selon laquelle les données des clients étaient en cause, nous prenons ces allégations au sérieux et nous voulons que les utilisateurs sachent que nous faisons tout notre possible pour protéger les données personnelles qu’ils nous confient. Nous voulons aussi qu’ils sachent que ce que Bloomberg rapporte sur Apple est faux. Apple a toujours cru en la transparence dans la manière dont nous traitons et protégeons les données. S’il y avait un événement comme Bloomberg News l’a prétendu, nous serions ouverts à ce sujet et nous travaillerions en étroite collaboration avec les services gouvernementaux.

Les ingénieurs d’Apple effectuent des contrôles de sécurité réguliers et rigoureux pour s’assurer que nos systèmes sont sûrs. Nous savons que la sécurité est une course sans fin et c’est pourquoi nous consolidons constamment nos systèmes contre les pirates et hackers de plus en plus sophistiqués qui ciblent nos données.

Pour résumer, Apple nie les faits publiés par Bloomberg. Selon l’entreprise américaine, il n’a jamais été question d’un tel espionnage, même si Apple évoque tout de même avoir mis fin à ses relations commerciales avec l’entreprise chinoise.

De son côté, Super Micro Computer a déclaré ne pas avoir connaissance d’une telle enquête, tandis qu’Amazon a démenti avoir eu connaissance d’un incident sur la chaîne logistique.

Les responsables chinois n’ont pas abordé directement le rapport, affirmant que « la sécurité de la chaîne d’approvisionnement est une question d’intérêt commun. La Chine est également une victime.« .

Il est encore tôt pour connaître le fin mot de l’histoire, mais ce n’est pas la première ni la dernière histoire d’espionnage. Les soupçons sont exprimés de façon récurrente concernant les groupes technologiques présents en Chine. D’ailleurs, ZTE et Huawei sont dans le viseur du gouvernement Trump et des services de renseignement dans cette optique.

L’enquête de Bloomberg est disponible à cette adresse.