Le serveur d’un opérateur télécom américain aurait été piraté au travers une prise Ethernet vérolée. Une révélation qui, là encore, est accueillie de façon mitigée.
Les journalistes de Bloomberg récidivent. Après avoir évoqué la présence prétendue de puces d’espionnage dans les cartes mères de Supermicro, ils viennent d’ajouter une nouvelle couche à leur enquête. Dans un article publié hier, 9 octobre, ils expliquent qu’un « opérateur télécoms américain majeur »a récemment détecté une prise Ethernet vérolée sur une carte mère de Supermicro, intégrée dans un serveur.
L’implant matériel a été trouvé par un expert en sécurité, Yossi Appleboum, PDG de Sepio Systems, dans le cadre d’un audit de sécurité. « Le serveur Supermicro altéré est en fait apparu sur le réseau sous la forme de deux périphériques en un. Le serveur légitime communiquait dans un sens et l’implant dans un autre, mais tout le trafic semblait provenir du même serveur de confiance, ce qui lui permettait de passer à travers des filtres de sécurité », écrit Bloomberg.
Plusieurs indices auraient mis la puce à l’oreille de l’expert. Celui-ci aurait détecté la manipulation grâce à la présence de « signaux analogiques tels que la consommation d’énergie ». Par ailleurs, il aurait remarqué que le connecteur « avaient des bords métalliques au lieu des bords plastiques habituels », précise Bloomberg. Une altération qui permettait, selon l’expert, d’améliorer la dissipation de la chaleur générée par la puce cachée à l’intérieure. L’équipement vérolé aurait été déconnecté en août dernier, suite à cette découverte.
Les opérateurs télécoms nient en bloc
Selon Yossi Appleboum, cette modification matérielle aurait été réalisée au moment de la fabrication du serveur, dans l’usine d’un sous-traitant de Supermicro basée à Guangzhou. L’altération matérielle exposée dans cet article n’est pas identique à la précédente, où la puce d’espionnage était installée à proximité de la puce BMC, un composant qui dispose d’un certain nombre de privilèges d’accès. Mais pour Bloomberg, cette histoire est néanmoins une preuve supplémentaire de l’existence d’un piratage de la chaîne d’approvisionnement de Supermicro. D’après les journalistes, ce deuxième article vient donc corroborer celui de la semaine dernière.
Pourtant, comme pour le premier article, les réactions face à ces révélations en série sont toujours aussi mitigées. Sprint, AT&T, Verizon et T-Mobile ont d’ores et déjà nié toute attaque matérielle sur leur infrastructure. On se demande donc quel peut être cet « opérateur télécom majeur », d’autant plus que Bloomberg ne fournit aucun document pour étayer son article. Sur Twitter, l’expert en hacking matériel Hector Martin émet par ailleurs des doutes sur certaines explications de Yossi Appleboum. Selon lui, la plupart des connecteurs Ethernet ont des bords métalliques. Il ne comprend donc pas en quoi cela peut constituer un indice.
Enfin, Yossi Appleboum prend lui aussi ses distances avec l’article de Bloomberg. Il persiste et signe sur l’existence de cet implant mais estime que la focalisation sur Supermicro est malvenue. « Nous l’avons trouvé auprès de plusieurs fabricants, pas seulement Supermicro (…) Nous l’avons trouvé dans différents type d’équipements connectés au réseau, y compris des commutateurs Ethernet. Je parle de grands fournisseurs, considérées comme des marques américaines majeures, toutes compromises avec la même méthode », explique l’expert auprès de ServeTheHome.com.
Il y a encore beaucoup de zones d’ombres et d’incohérences dans cette histoire. Il faut espérer que toute la lumière soit bientôt faite sur ces prétendus piratages matérielles d’origine qui, s’ils existent vraiment, constitueraient un risque majeur pour toute l’industrie informatique.