La semaine dernière, une saga a débuté qui pourrait très bien se terminer comme l’Odyssée d’Homère ou l’Énéide de Virgile…
…à savoir un conte fascinant, divertissant, déroutant, chargé politiquement et imprévisible, jonché d’allusions lyriques et s’appuyant sur des sources mystérieuses. Un récit à priori factuel que les conteurs décrivent néanmoins en termes mythologiques comme “une licorne sautant par-dessus un arc-en-ciel” et comme “un exploit qui s’apparente à un jet de bâton dans le Yangtsé en amont de Shanghai, dans l’espoir qu’il réapparaisse à Seattle“.
NB : En fait, transporter un bâton du Yangtsé et le déposer sur une plage de Lake Washington n’est pas un exploit particulièrement difficile de nos jours, grâce aux transports aériens long-courriers.
Cette saga a duré des années et finira probablement par devenir une lecture obligatoire pour un certain nombre d’élèves qui préféreraient vraiment apprendre quelque chose de beaucoup plus simple, comme programmer la cryptographie à courbe elliptique à partir de rien, ou par exemple, traduire Homère en partant des textes en grec ancien.
Nous parlons, bien sûr, des étonnantes affirmations publiées par l’éditeur de technologie américain Bloomberg, selon lesquelles des espions militaires chinois ont réussi à infiltrer avec succès au moins 30 grandes entreprises américaines, il y a environ trois ans, en implantant secrètement de minuscules “puces zombies” sur les cartes mères de serveurs vendues par un fournisseur de serveur américain appelé Supermicro.
Selon Bloomberg, ces puces pourraient mener deux principales actions : effectuer des call-home, comme n’importe quel bot ou zombie, pour récupérer du code logiciel non autorisé et injecter celui-ci dans le système à un niveau inférieur à celui du noyau du système d’exploitation, dégradant ainsi le noyau lui-même.
La suggestion de Bloomberg quant à la façon dont cette opération pourrait fonctionner est un exemple assez simple de correction du système d’exploitation de sorte que “le serveur ne vérifie plus le mot de passe, et hop ! Une machine sécurisée se retrouve accessible à tous les utilisateurs”.
En pratique, le contrôle d’accès aux serveurs ne fonctionne plus ainsi de nos jours, avec une seule porte ouverte par une fonction programmée dans le système d’exploitation lui-même. Mais l’exemple de Bloomberg suggère plutôt le danger évident d’un assistant non fiable, au niveau du noyau, qu’il s’agisse d’un composant matériel ou logiciel, et ce sur n’importe quel ordinateur, qu’il s’agisse d’un serveur, d’un ordinateur portable ou d’un téléphone.
Bloomberg semble dire que certaines de ces puces non fiables, à priori intégrées à des versions bien précises de cartes mères et uniquement pour des clients spécifiques, avec l’aide de sous-traitants cooptés, étaient ajoutées en surface, mais suffisamment petites pour échapper à un examen minutieux.
Apparemment, les éléments non fiables ressemblaient à d’autres composants minuscules désignés par Bloomberg comme des coupleurs de conditionnement du signal, de petits composants censés contrôler les interférences électriques entre les parties d’un circuit plutôt que de traiter et de manipuler des données dans le système.
Dans un cas, dit Bloomberg, les composants zombies étaient “suffisamment petits pour être intégrés entre les couches de fibre de verre sur lesquelles les autres composants étaient fixés”, bien que l’article admette presque honteusement que cette affirmation repose sur les dires d’”une personne qui vu des photos des puces en question”.
Apple et Amazon accusés
Quoi qu’il en soit, à part les rumeurs et les photos, Bloomberg exclut explicitement qu’Apple et Amazon aient été affectés par cette attaque il y a environ trois ans, mais exclut aussi qu’ils aient repéré les puces zombies, enquêté sur cette attaque et signalé quoi que ce soit aux autorités compétentes aux Etats-Unis.
Mais aujourd’hui, si Bloomberg dit vrai, toute cette histoire commence à émerger, après plusieurs années d’investigation.
Voici plus de détails.
Apple et Amazon ont déclaré exactement le contraire.
En effet, Apple, dans une réponse ferme mais bien motivée, souligne que de nombreux détails à priori faciles à vérifier, mentionnés dans l’histoire de Bloomberg ne s’additionnent pas, tels que le nombre de serveurs achetés à Supermicro et comment le logiciel du serveur a été déployé, et par conséquent toute l’histoire pourrait être essentiellement un grand festival d’erreurs.
Comme le dit Apple dans le droit de réponse accordé par Bloomberg, “nous sommes profondément déçus que, dans les échanges que nous avons eus, les journalistes de Bloomberg n’aient pas été ouverts à la possibilité qu’eux-mêmes ou leurs sources soient erronés ou mal informés”.
Le vice-président de la sécurité de l’information d’Apple, George Stathakopoulos, a même écrit au Congrès américain pour clarifier la position sans équivoque d’Apple sur la question, à savoir que ses propres “enquêtes internes contredisent directement toutes les affirmations importantes formulées dans l’article [Bloomberg]”.
Curieusement, Bloomberg lui-même reconnaît avoir acheté du matériel de serveur à Supermicro, mais insiste sur le fait que “[Bloomberg n’a trouvé aucune preuve suggérant qu’il a été affecté par les problèmes de matériel soulevés dans l’article”.
Bien sûr, étant donné le mystère profond entourant cette histoire et la possibilité que des puces zombies soient cachées et impossibles à détecter, enfouies dans le matériau même de la carte mère, vous pourriez vous demander comment Bloomberg est suffisamment confiant pour insister sur le fait que les serveurs Apple sont véritablement affectés, tout en affirmant que ses propres serveurs ne l’ont pas été.
Jusqu’à présent, cette saga est un peu plus qu’une simple affaire de “il a dit, elle a dit” fondée d’une part sur des sources anonymes et des rumeurs, ayant servi à établir les preuves mises en avant par Bloomberg, et d’autre part sur les déclarations officielles d’entreprises contredisant ces dernières, et constituant ainsi la contre-attaque d’Apple et Amazon à proprement parlé (comment, en effet, Amazon ou Apple peuvent-ils prouver le contraire à ce stade ?).
Quoi faire ?
Nous voilà donc seuls avec la question de 64 000$ (environ 55 000€), à savoir, “Que faire ?“.
Nous avons posé cette question à nos propres experts en sécurité au sein de Sophos concernant ce que des puces zombies de ce type, réelles ou imaginaires peu importe, étaient susceptibles de faire, et leurs réponses ont toutes suivi le même raisonnement …
… à savoir qu’elles peuvent faire ce que font déjà des cybercriminels, de toutes sortes, de nombreuses façons différentes d’ailleurs, et qui ne peuvent pas être corrigées simplement en changeant de fournisseurs de cartes mères ou en examinant le matériel de votre serveur à la loupe.
Voici donc nos trois meilleurs conseils pour éviter les mauvaises expériences et attirer les bonnes, et ce même dans un monde où des cybercriminels déterminés utilisent une panoplie d’astuces pour pénétrer les systèmes et tout voler, que ce soit de la puissance de calcul ou des données client.
CONSEIL N°1 : PARTITIONNEZ VOS RÉSEAUX
L’approche du type “diviser pour mieux régner” a bien fonctionné pour Jules César, et elle peut également vous faciliter la vie face aux cybercriminels, quelle que soit leur motivation ou leur capacité.
Les activités réseaux sociaux en ligne de votre équipe marketing ne doivent pas nécessairement avoir lieu sur le même réseau que celui hébergeant la base de données de documents de votre équipe juridique. Vos caisses enregistreuses n’ont pas besoin d’être connectées directement à vos serveurs de paie, et vos DABs n’ont pas besoin d’être visibles sur le réseau sans fil que celui de la cantine.
Imaginez que les allégations de Bloomberg se révèlent vraies et que les espions chinois aient pu pénétrer au sein de nombreux réseaux depuis des années, pourquoi leur simplifier la tâche ?
Ne vous en tenez pas à l’approche des années 90 en matière de cybersécurité, qui consiste à disposer d’un réseau extérieur de passerelles et de pare-feu en dur, mais d’un système interne “mou et gluant” au niveau duquel tous les escrocs, dans votre entourage, peuvent errer à leur guise.
CONSEIL N°2 : UTILISEZ UNE AUTHENTIFICATION À DEUX FACTEURS
L’exemple de Bloomberg sur la façon dont les “implants zombies”, dans cette histoire, ont pu fonctionner, parle en réalité de la modification du code du noyau pour garantir la réussite de toutes les vérifications de mots de passe, qu’ils aient été correctement saisis ou non.
NB : D’autres piratages du noyau ont déjà utilisés grâce à des malwares intégrant la modification du code du noyau principal au démarrage, le forçage de toutes les vérifications de la liste de contrôle d’accès, transformant ainsi chaque utilisateur en un administrateur à part entière, et modifiant les contrôles de sécurité au niveau des blocs de mémoire alloués pour faciliter l’utilisation d’exploits.
Ajouter des contrôles de validation de sécurité externes à votre réseau, par exemple en exigeant une sorte d’authentification supplémentaire basée sur un téléphone portable hors bande lors de la négociation d’un accès d’une partie du réseau à une autre, présente deux avantages.
Premièrement, vous réduisez votre dépendance vis à vis de périphériques internes qui pourraient déjà être compromis. Deuxièmement, vous obtenez une trace exploitable pour mener à bien votre audit externe, qui est plus difficile à supprimer ou à modifier, par des cybercriminels souhaitant masquer toute preuve de leur passage.
CONSEIL N°3 : CONSERVEZ LES LOGS ET UTILISEZ-LES !
De nombreuses entreprises conservent des logs, qu’elles en aient conscience ou non, par exemple via leur système d’exploitation, leur anti-virus et leur pare-feu.
Ces logs, qui permettent de confirmer certains événements, le moment et le lieu, peuvent être extrêmement utiles à la fois pour la prévention et pour la remédiation.
Cependant, de nombreux utilisateurs approchés, ne consultent leurs logs que très rarement, et parfois même pas du tout. Dans ce cas, ne perdez pas votre temps à les collecter !
Dans l’histoire de Bloomberg, par exemple, les “puces zombies” auraient été capables, comme la plupart des malwares botnet modernes, d’effectuer des call-home via internet pour obtenir des instructions sur les actions à mener et le code machine pour les exécuter.
Il peut être difficile de repérer le trafic de type command-and-control des zombies, et vous ne saurez peut-être pas quoi vérifier au début, mais le trafic réseau n’est jamais totalement invisible, à moins que vous ne preniez pas la peine de le surveiller du tout !
Le mot de la fin
Bloomberg a-t-il vraiment révélé ce qu’il pensait avoir découvert ? Ou bien il a simplement décidé totu d’un coup que “2+2 faisait 7” !
À l’heure actuelle, nous pensons que personne ne le sait, nous déconseillons donc de prendre des mesures spécifiques découlant directement de l’histoire de Bloomberg pour “remédier” à cette situation.
Après tout, si Bloomberg a tort dans les détails, il y a néanmoins des traces de vérité tout au long de cette histoire, car nous savons que des cybercriminels de tous bords sont fréquemment découverts en train de se promener là où ils ne devraient pas, apparemment à leur guise, comme nous le prouvent toutes les histoires de violation de données.
Et même si Bloomberg était véritablement en possession de tous les éléments et si il avait fourni des détails précis au lieu de se baser uniquement sur des témoins qui affirmaient avoir vu des images de puces ajoutées aux cartes mères, les piratages de type “supply chain” comme celui-ci ne sont que l’un des nombreux moyens dont les cybercriminels modernes disposent pour mettre la main sur vos données.
En trois mots simples : protection en profondeur !
Billet inspiré de Apple and Amazon hacked by China? Here’s what to do (even if it’s not true), sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.