La communauté de la sécurité émet des doutes croissants sur le rapport de Bloomberg sur le piratage des puces en Chine

La semaine dernière, Bloomberg a publié un rapport succinct sur la façon dont des espions chinois ont réussi à implanter des puces dans des serveurs informatiques fabriqués par SuperMicro, une société américaine.

Si cela est vrai, le rapport soulève des questions quant à savoir si les espions chinois ont pu accéder aux données sensibles du gouvernement américain et des entreprises, et si toutes les données stockées sur des PC sont essentiellement à risque.

Mais depuis lors, une série de déclarations de responsables gouvernementaux et de professionnels de la sécurité de l'information – dont certains nommés dans les articles – ont jeté le doute sur les principales revendications du rapport.

Mercredi, le secrétaire du département de la Sécurité intérieure des États-Unis a rejeté le rapport lors d'une audience au Sénat – le plus fort déni de gouvernement jamais enregistré.

"En ce qui concerne l'article, le DHS ne dispose d'aucune preuve à l'appui de l'article", a déclaré Kirstjen Nielsen mercredi. "Nous n'avons aucune raison de douter de ce que les entreprises ont dit."

(Au cours de la même audience, Chris Wray, directeur du FBI, a déclaré qu'il ne pouvait ni confirmer ni nier l'existence d'une enquête sur un équipement SuperMicro compromis, qui aurait été revendiquée dans le rapport Bloomberg.)

Le démenti de Nielsen intervient le même jour qu'un haut responsable de la NSA a déclaré qu'il s'inquiétait de ce que "nous poursuivons les ombres en ce moment".

"J'ai un très bon accès, [and yet] Je n’ai pas d’avantage à tirer du côté du gouvernement ", a déclaré Rob Joyce, peut-être le responsable de la cybersécurité de la NSA le plus au monde, lors d’une réunion de la Chambre de commerce américaine.

Ouvrir le projet de calcul

"Nous sommes stupéfaits", a déclaré Joyce, selon Cyberscoop.

Alex Stamos, ancien responsable de la sécurité de Facebook, appelé Le déni de Joyce "le point le plus accablant" par rapport à l'histoire qu'il avait vue.

Le doute croissant concernant les affirmations de Bloomberg survient alors que les législateurs exigent des réponses supplémentaires basées sur la série de rapports. Les détectives Richard Blumenthal et Marco Rubio ont demandé à SuperMicro de coopérer avec les forces de l'ordre dans une lettre très brève mardi. Le sénateur John Thune a également envoyé des lettres à Amazon et Apple, qui, selon Bloomberg, auraient acheté des serveurs compromis.

Les sources reviennent

Conseiller de la NSA Rob Joyce
Conférence USENIX Enigma

Mais les représentants du gouvernement ne sont pas les seuls à avoir des doutes sur ces histoires.

Joe Fitzpatrck, l'un des plus éminents spécialistes de la sécurité matérielle, qui a été nommé dans l'histoire, a fini par créer un podcast révélateur avec un point de vente plus technique que Bloomberg, Risky Business.

Les journalistes qui écrivent des histoires à partir de sources anonymes font souvent appel à des experts pour compléter certaines des parties les plus générales d'une histoire et en améliorer le déroulement.

Mais Fitzpatrick a dit que ce n'était pas ce qui s'était passé.

"Je pense avoir une bonne idée de ce qui est possible et de ce qui est disponible et de la façon de le faire, juste à partir de ma pratique", a expliqué Fitzpatrick. "Mais il était étonnant pour moi que dans un scénario où je décrirais ces choses, puis il les confirmerait et 100% de ce que je décris a été confirmé par des sources."

Il a poursuivi en disant avoir entendu parler des détails de l'histoire à la fin du mois d'août et avait envoyé un courrier électronique exprimant un doute majeur. "J'ai entendu l'histoire et ça n'a pas de sens pour moi. Et c'est ce que j'ai dit. J'ai dit: 'Waouh, je n'ai pas plus d'informations pour vous, mais ça n'a pas de sens."

Plusieurs professionnels notables de la sécurité de l'information ont utilisé les citations de Fitzpatrick comme point de départ pour exprimer leurs doutes sur l'histoire:

Bloomberg reste fidèle à son histoire

Le rapport de Bloomberg était évidemment explosif et avait des effets immédiats.

Super Micro a perdu plus de 40% de sa valeur le jour du rapport. Apple et Amazon, qui, selon le rapport, avaient acheté des serveurs compromis, ont vivement nié le rapport dans des déclarations publiques.

Alors que Bloomberg a publié une déclaration selon laquelle il restait fidèle à son compte-rendu peu de temps après le premier article, le soutien institutionnel le plus fort de cet article a été publié dans une nouvelle de Bloomberg, selon laquelle de nouvelles preuves de matériel piraté Supermicro avaient été trouvées dans un télécom américain.

Bloomberg n'a pas nommé le télécom affecté.

"La manipulation la plus récente diffère de celle décrite dans le rapport Bloomberg Businessweek de la semaine dernière, mais elle partage des caractéristiques essentielles: elles sont toutes deux conçues pour donner aux attaquants un accès invisible aux données stockées sur un réseau informatique sur lequel le serveur est installé; Selon le rapport de suivi de Bloomberg, des modifications auraient été apportées à l’usine, la carte mère étant produite par un sous-traitant de Supermicro en Chine ".

Mais même la source pour le suivi dit maintenant qu'il est "fâché" de la tournure de l'histoire.

"Je veux être cité. Je suis en colère et nerveux et je déteste ce qui est arrivé à l'histoire. Tout le monde passe à côté du problème principal", à savoir qu'il s'agit d'un problème global lié à la chaîne d'approvisionnement en matériel, pas à un problème spécifique à SuperMicro, Yossi Appleboum a dit à Serve The Home.

Mais tout le monde dit que c'est possible

Le 7 août 2018, le président Donald Trump prend la parole lors d'un dîner avec des chefs d'entreprise au club de golf national Trump à Bedminster, dans le New Jersey.
Photo AP / Carolyn Kaster

Mais la chose la plus délicate à propos de l'histoire de Bloomberg est que presque tout le monde est d'accord pourrait Cela n’est pas arrivé comme cela est suggéré dans le rapport.

Les experts en sécurité s'accordent à dire que la sécurité des usines de fabrication de produits électroniques est un problème récurrent, même si aucune puce n'a encore été trouvée.

"Ce que nous pouvons vous dire cependant, c'est que c'est une menace très réelle et émergente qui nous inquiète", Sec. Nielsen a déclaré peu après avoir déclaré qu'elle n'avait aucune preuve en faveur de l'histoire.

Et comme l’a déclaré un expert en fabrication à Business Insider, «je ne pense pas qu’il soit difficile d’injecter des éléments que la marque ou l’équipe de conception n’a pas intentionnellement demandé».

L'espionnage industriel chinois est un problème depuis de nombreuses années et c'est un sujet de discussion pour le président Donald Trump, qui a accusé les étudiants en échange chinois d'être des "espions" plus tôt cette année lors d'une conversation avec des PDG, dont le PDG d'Apple, Tim Cook.

Mais il est prouvé que des espions chinois espionnent des sociétés américaines. Plus tôt cette semaine, un officier chinois a été extradé aux États-Unis pour faire face à des accusations d'espionnage liées au vol de secrets d'entreprises telles que GE Aviation.

Le FBI a également arrêté un ressortissant chinois plus tôt cette année qui travaillait pour Apple et qui transmettrait des informations sur une voiture autonome à une start-up chinoise peu connue.

Il y a donc beaucoup de preuves qu'il y a des espions qui travaillent activement pour voler les secrets industriels américains. Peut-être simplement pas avec des puces malveillantes insérées dans la chaîne d'approvisionnement – pour l'instant.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.