Le Big Hack chinois : la suspicion sur la puce espionne gagne du terrain

Bloomberg BusinessWeek l’affirme : des cartes mères de serveurs signées Supermicro auraient été modifiées par des agents chinois. Mais à compter que cela ait une quelconque importance, ces allégations sont-elles véritablement fondées ? Permis ou pas, le doute est bien là, dans l’esprit de nombreux experts, et au-delà.

Le ministère américain de l’Intérieur, le DHS (le département de la Sécurité intérieure), vient d’ailleurs l’alimenter. Dans un communiqué de presse, il assure n’avoir « aucune raison de remettre en question les déclarations des entreprises nommées dans [le récit de Bloomberg BusinessWeek] ». Au passage, le DHS indique que l’homologue britannique de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le NCSC, est sur la même position. Pour eux, donc, les véhémentes dénégations d’Amazon et d’Apple ne sont pas à remettre en question. Ce dernier les a d’ailleurs réitérées dans une lettre aux parlementaires américains.

Plus étonnant encore, le DHS prend ainsi à contrepied le président américain, Donald Trump, qui accusait récemment la Chine de chercher à interférer dans les prochaines élections de mi-mandat : « ils ne veulent que nous gagnions, parce que je suis le premier président à défier la Chine sur le commerce ». Le vice-président Mike Pence réitérait d’ailleurs ces allégations en fin de semaine dernière, quelques jours après un premier démenti de Kirstjen Nielsen, secrétaire d’Etat à la sécurité nationale américaine. Elle a été nommée à ce poste par Donald Trump à l’automne dernier.

Le DHS affirme ainsi en substance que les allégations portées par Jordan Robertson et Michael Riley dans BusinessWeek sont, en l’état de ses connaissances, erronées. Alors même que nos confrères faisaient état d’une enquête toujours en cours. Zack Whittaker, de Techcrunch, souligne le caractère exceptionnel de la démarche : « je ne me rappelle pas avoir vu le DHS nier aussi radicalement quelque chose ».

I can't recall the last time DHS flat out denied something — period. I'm still not taking sides (there STILL isn't enough information) but I am surprised by DHS' denial.

— Zack Whittaker (@zackwhittaker) October 7, 2018

Chez Google, Tavis Ormandy, des équipes du projet zéro du géant du Web, rappelle en outre que les déclarations d’Amazon et d’Apple ne sont pas à prendre à la légère : il s’agit d’entreprises cotées en bourse, soumises à un contexte réglementaire strict en ce qui concerne leur communication publique – Elon Musk semble l’avoir récemment découvert à ses frais. Dès lors, c’est bien simple : « je ne pourrais pas obtenir l’approbation d’une déclaration officielle confirmant que l’eau mouille qui soit plus directe que le démenti d’Amazon ».

I work at a big corp, I'm telling you right now, I couldn't get you an on the record statement confirming water is wet approved that was more direct than Amazon's denial.

— Tavis Ormandy (@taviso) October 7, 2018

L’ancien juriste en chef d’Apple, Bruce Sewell, n’est pas tenu par de telles obligations. Sans demander la moindre forme d’anonymat à nos confrères de Reuters, il explique sans ambages avoir eu vent de l’enquête à laquelle travaillait nos confrères de Bloomberg BusinessWeek. Et d’avoir alors interrogé son homologue du FBI sur le sujet. Las, selon lui, la réponse n’aurait pu être plus claire : « personne ne sait ici ce qu’est cette histoire ».

I'm sure BW has been working on this for a while. I heard about the Super Micro rumors a while back but did not have the resources to get this story. My guess is if there is fire to this smoke that we will be learning a great deal more about it soon.

— briankrebs (@briankrebs) October 4, 2018

Notre confrère Brian Krebs indique toutefois avoir effectivement entendu parler de « rumeurs » autour de Supermicro par le passé, mais n’avoir pas eu les ressources nécessaires pour obtenir quoi que ce soit de suffisamment solide. Et c’est bien là que réside tout l’essentiel du sujet : la robustesse de l’enquête. Et sur ce point, Tavis Ormandy est littéralement cinglant.

We have anonymous sources making unsubstantiated wild claims to reporters with a track record of getting it wrong. On the other side, we have unprecedented water-tight denials - on the record and attributed to very senior sources... In your opinion, pretty much even stevens?

— Tavis Ormandy (@taviso) October 7, 2018

Pour lui, l’enquête de Bloomberg BusinessWeek se résume ainsi : « nous avons des sources anonymes formulant des affirmations détonantes non étayées à des journalistes avec un passé marqué par les erreurs ».

And if you're still not catching my drift, I think there's enough of a cloud around all three of these pieces to justify taking a serious look at whether these journalists are reporting fact or repeatedly writing fiction attributed to "people briefed on the matter".

— Patrick Gray (@riskybusiness) October 7, 2018

Patrick Gray, qui anime le podcast Risky Bizet a cru un temps avoir une confirmation de l’affaire par l’une de ses sources, avant que celle-ci ne se rétracte, n’est guère plus tendre et s’interroge ouvertement sur la qualité du travail de Jordan Robertson et Michael Riley, passé comme présent.

Quoi qu’il en soit aujourd’hui, le débat risque fortement de glisser sur le terrain du juridique, tant le cours de l’action de Supermicro s’est effondré en fin de semaine dernière. A la suite de la publication de l’enquête de Bloomberg BusinessWeek, il a brutalement chuté de plus de 21 $ à moins de 10 $, temporairement, pour s’établir à un peu plus de 12 $ au moment où sont écrites ces lignes.