En octobre 2018, une bulle a secoué l'industrie des technologies lorsque Bloomberg a annoncé que certaines cartes mères fabriquées par Supermicro étaient dotées de composants malveillants utilisés pour espionner ou gêner le fonctionnement de la carte et que ces cartes mères avaient été trouvées sur des serveurs utilisés par Amazon. et Apple. Nous avons couvert l'événement en regardant comment cela pourrait fonctionner si c'était vrai. Maintenant, sept mois se sont écoulés et il est temps de regarder comment les choses se sont déroulées.
Sommaire
Aucune preuve pour le moment, mais beaucoup de théories
Immédiatement après l'annonce de la nouvelle, tout le monde a essayé de mettre la main sur des images ou des serveurs physiques compromis pour vérifier les affirmations, et personne n'a réussi à trouver quoi que ce soit indépendamment. En outre, Apple et Amazon ont déposé des déclarations de déni sans équivoque et Supermicro a adressé une lettre à la SEC indiquant aux clients qu’elle était convaincue que cette histoire était fausse. Ils ont ensuite engagé un vérificateur tiers, qui n'a trouvé aucune preuve de falsification. S'il y avait quelque chose là-bas, soit personne ne l'a trouvé après 6 mois (hautement improbable), soit il y a un complot à l'échelle gigantesque (encore plus improbable).
Lors d'une présentation au Chaos Communication Congress, Trammell Hudson a mené une enquête approfondie sur ce sujet. L'exposé est très bien fait et rassemble les recherches d'autres personnes et de la sienne. Certes, il convient que le processus de fabrication de Supermicro n’a probablement pas été compromis, mais il fait remarquer que les agences gouvernementales sont connues pour intercepter du fret et modifier soigneusement le matériel avant de le sceller à nouveau et de le renvoyer. On ignore si cela se produit en Chine ou aux États-Unis. Il a également mentionné la possibilité que la chaîne d'approvisionnement soit compromise avant la fabrication et que de fausses puces soient envoyées au fabricant.
Il a réussi à pirater le BMC avec ce qui était essentiellement un composant unique pouvant remplacer une résistance sur le tableau, démontrant avec sa preuve de concept qu’il était plausible de faire ce que Bloomberg prétendait avoir rapporté.
Les retombées de l'explosion
Le fabricant avait initialement eu un énorme impact sur la valeur de son stock, mais en avril, il était revenu à son niveau d'avant la nouvelle. Dans leur rapport sur les résultats trimestriels, les ventes ont nettement diminué au cours des trois derniers mois de 2018 (passant de 952 millions de dollars au trimestre précédent à 915 millions de dollars), avec des estimations d'une baisse similaire au cours des trois premiers mois de 2019 (les chiffres sont en baisse). t out encore). En d'autres termes, Supermicro a souffert de plusieurs dizaines de millions de dollars en pertes de revenus et peut-être davantage en dommages pour la marque, mais ce n'était pas un coup fatal.
Ils commencent tout juste à construire une nouvelle usine de 800 000 pieds carrés et à 65 millions de dollars à Taiwan et agrandissent leur siège social dans la Silicon Valley. Cela tient au moins en partie au fait que certains clients ont demandé à Supermicro (et à d’autres fabricants) de quitter la Chine pour des raisons de sécurité. C'est peut-être aussi à cause des tarifs qui ont rendu la production chinoise plus chère. L'éloignement de la Chine avait déjà commencé avant octobre, mais il s'est accéléré par la suite.
Les effets sur Bloomberg étaient essentiellement nuls. Ils ont peut-être perdu un peu de crédibilité, bien que ce soit difficile à dire. Immédiatement après la publication, ils se sont appuyés sur leur article et les recherches qu’ils ont effectuées. Cependant, ils n'ont plus publié d'informations pour étayer leur réclamation, ni publié de rétractation. Si quelque chose, Bloomberg a doublé.
Quelques jours après le reportage sur Supermicro, ils ont publié une autre accusation distincte, affirmant cette fois que les cartes mères étaient dotées de connecteurs Ethernet contenant du matériel malveillant. Cependant, peu de temps après, la personne citée dans cet article a déclaré qu’elle était mal représentée et qu’elle n’essayait pas de distinguer Supermicro, mais plutôt que le problème concernait l’ensemble du secteur.
Les deux auteurs des reportages, Jordan Robertson et Michael Riley, n’ont rien publié pour Bloomberg depuis. Peut-être travaillent-ils sur leur prochain morceau ou vont au fond de celui-ci.
Le contrôle va au-delà de Supermicro
Supermicro n’a pas été le seul à l’étude ces derniers temps. Huawei a également été critiqué pour avoir caché des portes dérobées dans son équipement de communication. Ce reportage, également de Bloomberg, est différent car cette fois-ci il y a corroboration. À la suite de cela, Huawei est interdit dans quelques pays et cela commence à faire mal à la société. De nombreux fabricants quittent la Chine pour s'installer dans d'autres pays, car la menace de piratage informatique en Chine, les coûts croissants de la main-d'œuvre, les problèmes de qualité et les tarifs croissants rendent le déménagement de plus en plus attrayant. Supermicro et Huawei ne sont que des exemples illustrant cette tendance.
D'autre part, Cisco vient de publier une annonce concernant une porte dérobée cachée sur un serveur (et un correctif pour la résoudre), de sorte que Huawei vient peut-être d'un bogue de firmware et ne le gère pas correctement.
Depuis lors, de nombreuses personnes ont convenu que le type de piratage matériel revendiqué par Bloomberg est valable, même s’il est extrêmement difficile de réussir. La gestion de la chaîne logistique, la gestion des fournisseurs et la gestion des certifications et de l’intégrité des fournisseurs à l’échelle internationale pour les composants complexes est un cauchemar, et il ne serait pas rare qu’un fournisseur insère des composants d’origine douteuse.
Ce ne serait pas facile, cependant, avec autant d’étapes de test et de vérification effectuées par autant d’organisations. L'ajout d'un nouveau composant serait presque impossible car il nécessiterait de nombreuses modifications (telles que des modifications des fichiers gerber, des programmes pick and place, de l'inspection optique automatisée et du test en circuit), mais le remplacement d'un composant existant par un logiciel similaire mais malveillant. composant serait plus difficile à détecter. Nous avons souvent vu de faux composants entrer dans la chaîne d’approvisionnement sans que le fabricant ou le client ne le sache. Il est donc un peu plus crédible que ce soit le vecteur.
Quitter la Chine n’atténue pas complètement le risque, car de nombreux composants ne sont fabriqués qu’en Chine. Les entreprises sont de plus en plus vigilantes quant à la surveillance de leur chaîne d'approvisionnement et à l'élimination de la possibilité de ce problème de sécurité.
En conclusion, pas de conclusion
Quelque chose ne va pas et l’histoire n’est pas finie. Nous n’avons toujours pas vu le pistolet à fumer déclaré par Bloomberg avec Supermicro, mais ils ne se sont pas rétractés non plus. Après tout cela, Supermicro est en voie de disparition, et ils sont parmi les nombreux à être exodes du risque de sécurité lié à la fabrication en Chine. L’histoire avec Huawei continue à se développer et il est très difficile de dire s’ils sont méchants, victimes ou quelque part entre les deux. Entre-temps, nous devrions améliorer nos compétences en matière de communication sécurisée, nos règles de pare-feu et surveiller nos chaînes d'approvisionnement au cas où une histoire se révélerait vraie.
Commentaires
Laisser un commentaire