La semaine dernière, Bloomberg a marqué les esprits en révélant la présence de minuscules puces d’espionnage d’origine chinoise dans les serveurs d’une trentaine d’entreprises, dont Amazon et Apple. Ce hack extraordinaire aurait été possible en influant sur la production des cartes mères de Supermicro, une société californienne qui fabrique ses produits en Chine.
Ce scoop incroyable a provoqué un choc dans l’industrie informatique. Mais des doutes sur la véracité de cette histoire commencent à émerger. Apple a vigoureusement nié le contenu de l’article, sans tourner autour du pot. « Apple n’a jamais trouvé de puces malveillantes, de manipulations matérielles ou de vulnérabilités insérées de manière intentionnelle sur un serveur. Apple n’a jamais eu aucun contact avec le FBI ni aucune autre agence à propos d’un tel incident. Nous ne sommes au courant d’aucune enquête du FBI, pas plus que nos contacts dans le domaine de l’application de la loi », peut-on lire dans un communiqué.
Apple confirme n’être au courant de rien
Ce dimanche, la firme a enfoncé le clou au travers de George Stathakopoulos, vice-président en charge de la sécurité. « Les outils de sécurité propriétaires d’Apple recherchent en permanence ce type de trafic sortant, car il indique l’existence de programmes malveillants ou d’autres activités malveillantes. Rien n’a jamais été trouvé », écrit-il dans une lettre envoyée au Congrès, ajoutant qu’il était disponible pour un entretien à ce sujet.
New: #Apple ex-general counsel tells me he asked FBI general counsel last year about alleged probe of tainted chips. FBI's top lawyer said: ‘Nobody here knows what this story is about.’ https://t.co/NuaynJFNbr
— Joseph Menn (@josephmenn) October 5, 2018
La position d’Apple se trouve confortée par l’autorité de sécurité nationale, le Department of Homeland Security (DHS). « Comme nos partenaires britanniques, le National Cyber Security Center, nous n’avons pas de raison de douter à ce stade des déclarations faites par les entreprises citées dans cet article », peut-on lire dans un communiqué. Pourtant, s’il y a bien une institution qui doit être au courant d’un hack ayant impacté une trentaine d’entreprises américaines, c’est bien le DHS.
Evidemment, il est possible que tous ces acteurs soient obligés de cacher la vérité. Si cette prétendue enquête FBI est classifiée, les firmes ont peut-être reçu une injonction légale (« national security letter ») qui les contraint au silence. C’est d’ailleurs ce qui s’est passé au moment des révélations d’Edward Snowden : les géants du web ont tous publié des démentis contredisant les documents publiés par le lanceur d’alerte. Toutefois, Apple précise dans son démenti n’être sujet à aucune obligation de silence.
Des failles dans l’article
Face à ces démentis, Bloomberg reste droit dans ses bottes. Mais de plus en plus de personnes pointent sur les failles de son article. Certes, l’enquête s’appuie sur 17 sources, mais elles sont toutes anonymes. Il n’y a, par ailleurs, aucun document qui vienne confirmer les allégations faites par les journalistes. L’article parle d’un rapport d’analyse qui prouve l’existence de cette puce dans les serveurs d’Amazon, mais ce rapport n’a pas été visionné directement par les journalistes, seulement par l’une des sources. Il n’y a par ailleurs aucune photo réelle de la fameuse puce. Toutes les illustrations qui accompagnent le texte sont des créations infographiques ou photographiques.
Certains experts en sécurité ont d’ailleurs identifié la fameuse puce représentée plusieurs fois dans l’article. Il s’agit d’un filtre de couplage à six pattes. Selon Joe Fitz, il est théoriquement possible d’utiliser ce type de matériel pour y insérer un dispositif d’espionnage. Mais il estime que c’est peu probable car, selon lui, on ne trouve jamais ces composants sur une carte mère.
Hector and others have identified the component used in the bloomberg article to represent the hardware implant. I'd like to share my perspective on whether it's realistically possible: https://t.co/fPsuETfFDh
— Joe Fitz (@securelyfitz) October 5, 2018
Face à toutes ces incohérences, certains se demandent si Bloomberg ne s’est pas fait servir une fausse histoire. Pour sa part, la journaliste Kim Zetter estime qu’il y a sans doute du vrai dans cet article, mais que les auteurs ont peut-être trop extrapolé certaines informations, les amenant à certaines conclusions hâtives. Mais là encore, ce serait quand même très étonnant de la part d’une institution journalistique telle que Bloomberg.
I don't think Bloomberg story is made up. I think perhaps, given strong denials from Apple/Amazon, that someone found a spy chip or evidence they were being planted, but not these companies. More likely sources connecting the dots got them wrong or Bloomberg connected them wrong https://t.co/Do2pMwd37Q
— Kim Zetter (@KimZetter) October 5, 2018
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.