La question divise le monde InfoSec. D’un côté le parti du principe de précaution, la NSA en tête, qui estime « plausible » les allégations publiée par Bloomberg, affirmant qu’un des sous-traitants Chinois du constructeur Super-Micro aurait ajouté des composants espions sur une des cartes électroniques. De l’autre, les pragmatiques qui ne croient que ce qu’ils voient. Principalement d’ailleurs des gourous du secteur SSI, qui préfèrent demeurer prudent tant que des preuves tangibles n’ont pas été apportées. D’autres enfin font enfler la rumeur et estiment que le cas Super Micro n’est pas isolé. Bloomberg, de son côté, persiste et signe un second papier affirmant sa position.
Plusieurs éléments viennent contredire la thèse de l’ajout de composant-espion. A commencer par la description qu’en fait Bloomberg, en substance une pièce pas plus grande qu’un grain de riz et qui peut se confondre avec un élément couramment utilisé. « Some of the chips were built to look like signal conditioning couplers” precise l ’article original. L’auteur n’étant probablement pas électronicien, on peut supposer qu’il mentionne un composant de découplage/filtrage, condensateur ou ferrite. Là où tout ça devient plus difficile à admettre, c’est lorsque ce même auteur affirme que ce grain de silicium embarque également de la mémoire, une interface réseau et un processeur « assez puissant pour conduire une attaque » ( they incorporated memory, networking capability, and sufficient processing power for an attack). Outre la difficulté technique qu’implique un tel niveau d’intégration (même un petit processeur ARM nu est plus gros qu’un condensateur format 1206), de telles caractéristiques impliqueraient une refonte du circuit imprimé lui-même pour que des rails d’alimentation, bus de commande même minimaliste et réseau, puissent aboutir en interface de cet agent dormant en silicium.
Et ce genre de modification ne peut pas passer inaperçu aux yeux du contrôle qualité d’un fabricant de serveurs lorsqu’il reçoit les cartes d’un de ses sous-traitants.
La « puce grain de riz » est donc peu probable, ce qui de toute manière n’exclut pas définitivement les risques d’un virus injecté « usine ». Pas plus qu’il n’écarte la possibilité d’un hack matériel, mais camouflé cette fois dans un composant tout à fait légitime. Techniquement, la chose est tout à fait réalisable et échappe à tout contrôle visuel, voir même tout test logique si l’espion ne se réveille que sur une séquence de signaux peu probables.
Et puis il est si simple de recourir à des méthodes plus traditionnelles, plus directes et moins coûteuses, rappelle un récent article du Reg rapportant l’arrestation de Yanjun Xu en Angleterre, extradé aux USA et inculpé pour espionnage industriel. Selon le DoJ (https://www.justice.gov/opa/pr/chinese-intelligence-officer-charged-economic-espionage-involving-theft-trade-secrets-leading), ce personnage officiel faisait la tournée de la diaspora Chinoise Han pour y recruter des honorables correspondants.
1 commentaire