Aller au contenu Skip to footer

Cybersécurité : Les Russes sûrement, les Chinois aussi

Selon une enquête publiée par le magazine Bloomberg Businessweek, la Chine s’est récemment engagée dans un sabotage massif de la chaîne logistique corrompant des milliers de serveurs de grandes entreprises américaines telles qu’Amazon ou Apple, des serveurs de systèmes gouvernementaux et d’autres sites.

L’attaque visait apparemment le contrôleur de gestion de la carte mère (BaseBoard Management Controller ou BMC). Le contrôleur BMC qui implémente l’Intelligent Platform Management Interface, permet à un administrateur distant de réinitialiser l’ordinateur, de réinstaller le système d’exploitation et d’effectuer d’autres tâches sans nécessiter d’accès physique. L’article de Businessweek rapporte que l’Armée de libération du peuple chinois (APL) a discrètement corrompu le BMC sur des serveurs construits par la société SuperMicro, basée à San José, en installant une porte dérobée dans les ordinateurs utilisés par au moins 30 sociétés américaines.

L’article (The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies) décrit une porte dérobée installée dans le contrôleur BMC permettant de communiquer avec un serveur contrôlé par des Chinois. À partir de là, si les Chinois le souhaitent, ils peuvent prendre le contrôle complet de l’ordinateur, comme le ferait toute personne ayant un accès physique à l’ordinateur – par exemple, en appliquant des correctifs au système d’exploitation ou en effectuant d’autres activités pour contrôler directement le système d’exploitation. L’article suggère qu’Amazon a vu leurs serveurs affectés « téléphoner à la maison » sans prendre de mesures supplémentaires. Pour l’instant.

Apple, Amazon et SuperMicro ont tous fourni à Bloomberg de très fortes dénégations. Il faut donc rester très prudent sur la véracité de ces informations. Les serveurs de SuperMicro offrent deux avantages par rapport aux autres fournisseurs : la possibilité de personnaliser les serveurs pour des installations de masse et un coût légèrement inférieur à celui de la concurrence. SuperMicro commercialise des serveurs pour une valeur de 2 milliards de dollars par an, à la fois sous leur propre marque ou en marque blanche vendues par d’autres.

L’article de Businessweek fait part d’un stratagème dans lequel les services de renseignement chinois corrompaient, menaçaient ou cajolaient au moins quatre usines de fabrication jouant le rôle de sous-traitant en Chine afin de modifier la conception des cartes mères de serveurs SuperMicro et d’y inclure une petite puce – plus petite qu’un grain de riz – permettant d’installer la porte dérobée dans le BMC.

Si l’on ne connaît pas encore tous les détails de cette affaire, les composants incriminés sont sans doute une puce série EEPROM ou Flash, utilisée pour stocker le programme et les autres instructions utilisées lors du processus de démarrage. Le BMC lui-même charge au moins certaines données à partir de cette puce, qui n’a besoin que de deux fils pour communiquer. Il suffit donc de deux connexions pour qu’une puce non fiable masque le contenu de ces puces EEPROM ou Flash, et remplace le contenu pour installer le code de porte dérobée.

Les mémoires EEPROM série sont microscopiques : ST Microsystems fabrique des mémoires EEPROM série 128 ko de moins d’un millimètre de côté. Il serait donc facile de déguiser l’une de ces puces en un composant différent et de remplacer simplement une EEPROM série originale par une puce déguisée en modifiant la conception du circuit imprimé de sorte que la EEPROM originale ne soit tout simplement plus utilisée. Un petit correctif dans la conception de la carte et un composant supplémentaire dans l’assemblage suffisent pour remplacer une EEPROM série par une deuxième version endommagée, ce qui altère la programmation du contrôleur BMC. Une opération que ne requièrent donc pas de mesures très sophistiquées et sont relativement faciles à mettre en œuvre.

La trentaine d’entreprises concernées devraient commencer à tester leurs serveurs SuperMicro – si ce n’est pas déjà fait – pour des communications inhabituelles ou des connexions internes – et si quelque chose est découvert, au moins une analyse sera probablement rendue publique.

L’histoire de Bloomberg apporte également une information complémentaire troublante : en 2016, Apple avait discrètement supprimé tous les serveurs SuperMicro de leurs produits en raison d’un « incident de sécurité » non spécifié. À l’époque, la rumeur indiquait que SuperMicro avait fourni un BIOS saboté, c’est-à-dire le programme de démarrage utilisé. Apple a alors nié l’existence d’un incident de sécurité, tout comme ils le nient maintenant.

 

(Cet article a été publié d’abord dans InformatiqueNews)

Leave a comment

Recevez les derniers articles directement dans votre boîte mail !

Un Jour en Amérique © 2024. Tous droits réservés. 
Consentement des cookies