Mise à jour: Apple et Amazon ont tous deux publié jeudi de longues déclarations concernant les allégations de puces espion chinoises. Nous avons mis à jour ce message pour inclure ces déclarations.
Apple nie que des puces d'espionnage chinoises aient infiltré le matériel de son serveur iCloud après avoir prétendu que les cartes mères utilisé par Apple, Amazon et des dizaines d'autres sociétés technologiques contenaient des micropuces utilisées pour la surveillance fins.
Cupertino insiste sur le fait que l'histoire est « fausse et mal informée ». Apple a également déclaré que l'espionnage chinois n'avait rien à voir avec la décision de l'entreprise de rompre les liens avec un fournisseur.
La déclaration d'Apple intervient après un Semaine d'affaires Bloomberg rapport, citant 17 sources, a affirmé que la Chine a utilisé «une petite puce pour infiltrer les plus grandes entreprises américaines.”
Le rapport indique que des milliers de cartes mères de serveurs fabriquées par Super Micro contenaient des puces malveillantes. De la taille d'un grain de riz, les chips chinoises pourraient permettre aux espions « d'accéder à des secrets d'entreprise de grande valeur et à des réseaux gouvernementaux sensibles ».
La puce, découverte par une enquête d'Amazon il y a trois ans, a déclenché une sonde top secrète qui se poursuit aujourd'hui.
Une puce chinoise suspecte
L'histoire commence en 2015, lorsqu'Amazon a commencé à évaluer une startup appelée Elemental Technologies. Amazon voulait une acquisition qui l'aiderait à étendre Prime Video, son service de streaming vidéo. Plusieurs grandes entreprises utilisaient déjà la technologie d'Elemental.
"Sa technologie a permis de diffuser les Jeux Olympiques en ligne, de communiquer avec la Station spatiale internationale et de transmettre des images de drones à la Central Intelligence Agency", explique le rapport.
Une partie du processus d'évaluation impliquait l'embauche d'une société tierce pour examiner la sécurité d'Elemental, selon une source. Il ne fallut pas longtemps à cette entreprise pour découvrir des « problèmes troublants ». Cette découverte a incité Amazon Web Services (AWS) à examiner de plus près les produits de serveur d'Elemental.
Plusieurs serveurs ont été envoyés en Ontario, Canada. Les testeurs y ont trouvé une minuscule puce non incluse dans la conception originale de la carte mère. "Amazon a signalé la découverte aux autorités américaines, faisant frissonner la communauté du renseignement", poursuit le rapport.
Une sonde top secrète de puces d'espionnage chinoises
La découverte a suscité de grandes inquiétudes. D'une part, Amazon, Apple et d'autres géants de la technologie ont utilisé les serveurs, fabriqués en Chine par Super Micro. Pire encore, les puces se sont retrouvées dans le matériel utilisé par une grande banque, le ministère de la Défense, les opérations de drones de la CIA et la Marine.
Et Super Micro n'a pas seulement fourni des cartes à Elemental. Elle fabriquait du matériel pour des centaines d'autres clients.
Les enquêteurs ont déterminé que la puce, insérée dans des usines gérées par des sous-traitants chinois, permettait aux attaquants de créer une porte d'accès aux réseaux privés. Cette méthode s'est avérée nettement plus sophistiquée qu'une attaque logicielle, et potentiellement beaucoup plus dévastatrice.
Apple nie que son matériel iCloud ait été affecté
Apple, un énorme client de Super Micro, avait prévu de commander plus de 30 000 de ses serveurs sur deux ans. Selon trois « initiés de haut niveau », cependant, Apple a également découvert la puce malveillante à l'été 2015. Cupertino a coupé les ponts avec l'entreprise l'année suivante.
Apple conteste ces allégations.
« Apple est profondément déçu que dans leurs relations avec nous, les journalistes de Bloomberg n'aient pas été ouverts à la possibilité qu'eux-mêmes ou leurs sources se trompent ou soient mal informés », a déclaré la société dans un communiqué à AppleInsider jeudi. « Notre meilleure hypothèse est qu'ils confondent leur histoire avec un incident signalé précédemment en 2016 dans lequel nous avons découvert un pilote infecté sur un seul serveur Super Micro dans l'un de nos laboratoires. Cet événement ponctuel a été déterminé comme étant accidentel et non comme une attaque ciblée contre Apple. »
Une affirmation « risible »
Des sources à l'intérieur d'Apple, qui restent anonymes pour des raisons évidentes, ont déclaré AppleInsider que les allégations d'une attaque généralisée contre Apple comme celle-ci sont « risibles » et « vraiment, vraiment fausses ».
Semaine d'affaires Bloomberg affirme que six responsables de la sécurité nationale actuels et anciens ont contré les démentis d'Apple et d'Amazon. "L'un de ces responsables et deux personnes au sein d'AWS ont fourni des informations détaillées sur le déroulement de l'attaque chez Elemental et Amazon", indique l'histoire.
Au total, 17 personnes auraient confirmé l'histoire, dont trois prétendus "initiés" d'Apple.
Les Semaine d'affaires Bloomberg rapport affirme que l'enquête sur l'attaque se poursuit aujourd'hui.
La déclaration d'Apple
Qu'est-ce que Businessweek s'est trompé à propos d'Apple
Le numéro du 8 octobre 2018 de Bloomberg Businessweek rapporte à tort qu'Apple a trouvé des « puces malveillantes » dans les serveurs de son réseau en 2015. Comme Apple l'a expliqué à plusieurs reprises aux journalistes et rédacteurs de Bloomberg au cours des 12 derniers mois, ces affirmations ne sont pas fondées.
Apple a fourni à Bloomberg Businessweek la déclaration suivante avant la publication de leur article :
Au cours de l'année écoulée, Bloomberg nous a contactés à plusieurs reprises avec des allégations, parfois vagues et parfois élaborées, d'un prétendu incident de sécurité chez Apple. À chaque fois, nous avons mené des enquêtes internes rigoureuses sur la base de leurs enquêtes et à chaque fois, nous n'avons trouvé absolument aucune preuve pour étayer l'une d'entre elles. Nous avons proposé à plusieurs reprises et de manière cohérente des réponses factuelles, dans le dossier, réfutant pratiquement tous les aspects de l'histoire de Bloomberg concernant Apple.
Sur ce point, nous pouvons être très clairs: Apple n'a jamais trouvé de puces malveillantes, de « manipulations matérielles » ou de vulnérabilités intentionnellement implantées dans un serveur. Apple n'a jamais eu de contact avec le FBI ou toute autre agence au sujet d'un tel incident. Nous n'avons connaissance d'aucune enquête du FBI, pas plus que nos contacts dans les forces de l'ordre.
En réponse à la dernière version du récit de Bloomberg, nous présentons les faits suivants: Siri et Topsy n'ont jamais partagé de serveurs; Siri n'a jamais été déployé sur des serveurs qui nous sont vendus par Super Micro; et les données de Topsy étaient limitées à environ 2 000 serveurs Super Micro, et non 7 000. Aucun de ces serveurs n'a jamais été trouvé pour contenir des puces malveillantes.
En pratique, avant que les serveurs ne soient mis en production chez Apple, ils sont inspectés pour détecter les failles de sécurité et nous mettons à jour tous les micrologiciels et logiciels avec les dernières protections. Nous n'avons découvert aucune vulnérabilité inhabituelle dans les serveurs que nous avons achetés auprès de Super Micro lorsque nous avons mis à jour le micrologiciel et le logiciel conformément à nos procédures standard.
Nous sommes profondément déçus que dans leurs relations avec nous, les journalistes de Bloomberg n'aient pas été ouverts à la possibilité qu'eux-mêmes ou leurs sources se trompent ou soient mal informés. Notre meilleure hypothèse est qu'ils confondent leur histoire avec un incident signalé précédemment en 2016 dans lequel nous avons découvert un pilote infecté sur un seul serveur Super Micro dans l'un de nos laboratoires. Cet événement ponctuel a été déterminé comme étant accidentel et non comme une attaque ciblée contre Apple.
Bien qu'il n'y ait eu aucune allégation selon laquelle les données des clients étaient impliquées, nous prenons ces allégations au sérieux et nous veulent que les utilisateurs sachent que nous faisons tout notre possible pour protéger les informations personnelles qu'ils confient à nous. Nous voulons également qu'ils sachent que ce que Bloomberg rapporte sur Apple est inexact.
Apple a toujours cru à la transparence sur la manière dont nous traitons et protégeons les données. S'il y avait un événement tel que Bloomberg News l'a prétendu, nous en serions ouverts et nous travaillerions en étroite collaboration avec les forces de l'ordre. Les ingénieurs Apple effectuent des contrôles de sécurité réguliers et rigoureux pour garantir la sécurité de nos systèmes.
Nous savons que la sécurité est une course sans fin et c'est pourquoi nous renforçons constamment nos systèmes contre les pirates et les cybercriminels de plus en plus sophistiqués qui veulent voler nos données.
L'article publié par Businessweek affirme également qu'Apple "a signalé l'incident au FBI mais a gardé les détails de ce qu'il avait détecté de manière stricte, même en interne". Dans novembre 2017, après avoir reçu cette allégation pour la première fois, nous avons fourni les informations suivantes à Bloomberg dans le cadre d'une longue et détaillée, sur le dossier réponse. Il aborde d'abord les affirmations non fondées de leurs journalistes au sujet d'une enquête interne supposée :
Malgré de nombreuses discussions au sein de plusieurs équipes et organisations, personne chez Apple n'a jamais entendu parler de cette enquête. Businessweek a refusé de nous fournir des informations permettant de retracer les supposées procédures ou conclusions. Ils n'ont pas non plus démontré qu'ils comprenaient les procédures standard qui auraient été contournées.
Personne d'Apple n'a jamais contacté le FBI à propos de quelque chose comme ça, et nous n'avons jamais entendu parler du FBI d'une enquête de ce genre – et encore moins essayé de la restreindre.
Lors d'une apparition ce matin sur Bloomberg Television, le journaliste Jordan Robertson a fait d'autres déclarations sur la prétendue découverte de puces malveillantes, en disant: «Dans le cas d'Apple, nous comprenons que c'était une vérification ponctuelle aléatoire de certains serveurs problématiques qui a conduit à cela détection."
Comme nous l'avons déjà informé Bloomberg, cela est totalement faux. Apple n'a jamais trouvé de puces malveillantes dans nos serveurs.
Enfin, en réponse aux questions que nous avons reçues d'autres organes de presse depuis que Businessweek a publié son article, nous ne sommes soumis à aucune sorte d'ordre de bâillon ou d'autres obligations de confidentialité.
La déclaration d'Amazon
Mettre les pendules à l'heure sur l'article erroné de Bloomberg BusinessWeek
Aujourd'hui, Bloomberg BusinessWeek a publié un article affirmant qu'AWS était au courant de matériel modifié ou de puces malveillantes dans les cartes mères SuperMicro en Le matériel d'Elemental Media au moment où Amazon a acquis Elemental en 2015, et qu'Amazon était au courant de matériel ou de puces modifiés dans la Chine d'AWS Région.
Comme nous l'avons partagé avec Bloomberg BusinessWeek à plusieurs reprises au cours des deux derniers mois, cela est faux. À aucun moment, passé ou présent, nous n'avons jamais trouvé de problèmes liés à du matériel modifié ou à des puces malveillantes dans les cartes mères SuperMicro dans les systèmes Elemental ou Amazon. Nous n'avons pas non plus engagé d'enquête avec le gouvernement.
Il y a tellement d'inexactitudes dans cet article en ce qui concerne Amazon qu'elles sont difficiles à compter. Nous n'en citerons ici que quelques-uns. Premièrement, lorsqu'Amazon envisageait d'acquérir Elemental, nous avons fait beaucoup de diligence avec notre propre équipe de sécurité, et a également chargé une seule entreprise de sécurité externe de faire une évaluation de la sécurité pour nous également. Ce rapport n'a identifié aucun problème avec les puces ou le matériel modifiés. Comme c'est généralement le cas avec la plupart de ces audits, il a proposé des domaines recommandés à corriger, et nous avons résolu tous les problèmes critiques avant la clôture de l'acquisition. Il s'agit du seul rapport de sécurité externe commandé. Bloomberg n'a certes jamais vu notre rapport de sécurité commandé ni aucun autre (et a refusé de partager avec nous les détails d'un prétendu autre rapport).
L'article affirme également qu'après avoir pris connaissance des modifications matérielles et des puces malveillantes dans les serveurs Elemental, nous a mené un audit à l'échelle du réseau des cartes mères SuperMicro et a découvert les puces malveillantes dans une base de données de Pékin centre. Cette affirmation est également fausse. La première et la plus évidente raison est que nous n'avons jamais trouvé de matériel modifié ou de puces malveillantes dans les serveurs Elemental. En dehors de cela, nous n'avons jamais trouvé de matériel modifié ou de puces malveillantes dans les serveurs de nos centres de données. Et, cette idée que nous avons vendu le matériel et le centre de données en Chine à notre partenaire Sinnet parce que nous voulions nous débarrasser des serveurs SuperMicro est absurde. Sinnet gérait ces centres de données depuis notre lancement en Chine, ils étaient propriétaires de ces centres de données depuis le début, et le matériel que nous "vendu" à eux était un accord de transfert d'actifs mandaté par la nouvelle réglementation chinoise pour que les fournisseurs de cloud non chinois continuent à opérer dans Chine.
Amazon utilise des normes de sécurité strictes dans l'ensemble de notre chaîne d'approvisionnement – en enquêtant sur tout le matériel et les logiciels avant d'entrer en production et d'effectuer des audits de sécurité réguliers en interne et avec notre chaîne d'approvisionnement les partenaires. Nous renforçons davantage notre posture de sécurité en mettant en œuvre nos propres conceptions matérielles pour les composants critiques tels que les processeurs, les serveurs, les systèmes de stockage et les équipements de réseau.
La sécurité sera toujours notre priorité absolue. AWS bénéficie de la confiance de bon nombre des organisations les plus sensibles au risque au monde, précisément parce que nous avons démontré cet engagement indéfectible à placer leur sécurité avant tout. Nous sommes constamment vigilants quant aux menaces potentielles pour nos clients, et nous prenons des mesures rapides et décisives pour y faire face chaque fois qu'elles sont identifiées.
– Steve Schmidt, directeur de la sécurité de l'information
Remarque: Nous avons initialement publié cet article à 5 h 52, heure du Pacifique, le 4 octobre 2018. Nous l'avons mis à jour pour inclure les déclarations d'Apple et d'Amazon.
