L’attaque par des espions chinois a atteint près de 30 entreprises américaines, dont Amazon et Apple, en compromettant la chaîne d’approvisionnement technologique des États-Unis, selon des entretiens approfondis avec des sources gouvernementales et privées.
C’est en 2015 que l’affaire a commencé à faire surface. A l’époque, Amazon cherchait à faire l’acquisition d’Elemental Technologies, une start-up spécialisée dans les services de streaming vidéo. La technologie développée par la jeune entreprise lui avait permis de signer de gros contrats, notamment avec des agences gouvernementales américaines.
Avant d’acquérir Elemental Technologies, Amazon a souhaité l’évaluer et s’est penché plus spécifiquement sur les serveurs assemblés par SuperMicro. Super Micro Computer Inc, est une société basée à San José (communément appelée Supermicro) qui est également l’un des plus grands fournisseurs mondiaux de cartes mères de serveurs. Les enquêteurs d’Amazon ont découvert de minuscules micropuces, à peine plus grosses qu’un grain de riz, qui ne faisaient pas partie de la conception originale des cartes mères des serveurs.
Comment le piratage a fonctionné, selon des responsables américains :
1 – Une unité militaire chinoise a conçu et fabriqué des puces aussi petites qu’une pointe de crayon aiguisée. Certaines de ces puces ont été conçues pour ressembler à des coupleurs de conditionnement de signaux, et elles incorporaient de la mémoire, une capacité de mise en réseau et une puissance de traitement suffisante pour du calcul, une attaque, etc.
2 – Les puces ont été insérées dans des usines chinoises qui fournissaient SuperMicro, l’un des plus gros vendeurs mondiaux de cartes mères de serveurs.
3 – Les cartes mères compromises ont été intégrées dans des serveurs assemblés par SuperMicro.
4 – Les serveurs sabotés ont fait leur chemin à l’intérieur des centres de données exploités par des dizaines d’entreprises.
5 – Lors de l’installation et de la mise sous tension d’un serveur, la micropuce peut se superposer au chipset réseau présent sur la carte mère afin d’envoyer et recevoir des paquets, tout en ayant la capacité d’intercepter les échanges mémoire / disques (tout sauf processeur). La puce peut également entrer en contact avec des ordinateurs contrôlés par les attaquants, à la recherche d’instructions et de code supplémentaires.
Bien avant que des preuves du piratage n’apparaissent au sein des entreprises américaines, des sources de renseignement américaines indiquaient que les espions chinois planifiaient des micropuces infectées sur les chaînes de production, sans préciser quel fabricant serait touché. En 2014, les renseignements se sont faits plus précis et le nom de SuperMicro était prononcé par un responsable du renseignement (logique, puisque SuperMicro est l’un des plus gros vendeurs de cartes mères serveur).
Apple a découvert des puces suspectes à l’intérieur des serveurs Supermicro vers mai 2015, après avoir détecté une activité réseau et des problèmes de firmware étranges, selon une personne proche du dossier. Deux responsables d’Apple affirment que l’entreprise a signalé l’incident au FBI, mais qu’elle a gardé les détails de l’affaire confidentiels, même en interne. Les enquêteurs du gouvernement étaient encore à la recherche d’indices lorsqu’Amazon a fait sa découverte et leur a donné accès à du matériel modifié, selon un responsable américain.
Cela a créé une occasion inestimable pour les services de renseignement et le FBI, qui ont alors effectué une enquête complète menée par ses équipes de cyber et de contre-espionnage, de voir à quoi ressemblaient les puces et comment elles fonctionnaient.
Ce système permet aux attaquants de modifier le fonctionnement de l’appareil, ligne par ligne, comme ils le souhaitent, et le plus discrètement possible. Pour comprendre la manière d’utiliser une telle puce : quelque part dans le système d’exploitation connu, qui fonctionne sur de nombreux serveurs, se trouve un code qui autorise un utilisateur en vérifiant un mot de passe tapé par rapport à un mot de passe chiffré stocké. Une puce peut voler des clés de chiffrement pour sécuriser les communications ou ce mot de passe, et le transmettre ensuite sur Internet. Si une anomalie était remarquée, elle serait probablement considérée comme une bizarrerie inexpliquée.
D’après ce que nous savons, ce hack matériel touche moins de 0,001 % du parc de serveurs SuperMicro Elemental. De plus rien ne prouve que tous les modèles de cartes mères (générations X9 et X10) du parc de serveurs dédiés SuperMicro utilisé par Amazon et Apple aient été touchés.
Les statistiques d’usage ont été faites sur un seul modèle de carte mère et on ne sait pas si tous les modèles ont été modifiés. De plus SuperMicro a communiqué aujourd’hui sur le fait qu’aucun tiers (fabricant de serveurs à base de composant SuperMicro) n’a contacté SuperMicro pour leur demander des explications.
Malgré tout, cette méthode de hack n’est pas nouvelle, et, même si aujourd’hui les Etats-Unis incriminent la Chine, c’est sans se souvenir du hack des cartes mères de disques durs WD il y a plus de 10 ans par la NSA, qui intégrait exactement le même genre de technologie…
Source : Bloomberg BusinessWeek