Un grain de riz dans une botte de foin. | Magnus Engø via Unsplash
Un grain de riz dans une botte de foin. | Magnus Engø via Unsplash

Quelques dollars et un fer à souder suffisent pour espionner le monde entier

La Chine, accusée en 2018 d'espionner des entreprises américaines, a techniquement bien pu le faire.

Il y a un peu plus d'un an, Bloomberg Business publiait un article qui révélait que la Chine, en infiltrant les chaînes de montage de produits électroniques sur son territoire, était parvenue à implanter des puces espionnes de la taille d'un grain de riz sur des cartes mères construites par l'entreprise Supermicro.

En compromettant la chaine de production, les espion·nes chinois·es seraient parvenu·es, d'après Bloomberg, à infiltrer une trentaine d'entreprises américaines, dont Apple et Amazon.

Depuis la publication de l'article, à peu près toutes les parties impliquées dans l'affaire ont nié les allégations du magazine en ligne. Amazon a qualifié l'article d'«erroné» et estimé qu'il contenait «tellement d'erreurs qu'elles sont difficiles à compter». Tim Cook quant à lui a demandé à Bloomberg de supprimer son article.

Même le département de la sécurité intérieure s'est fendu d'un communiqué expliquant qu'il n'avait pour l'instant pas de raison de douter de la bonne foi des entreprises concernées. Bloomberg n'a rien supprimé et a même continué d'écrire sur le sujet, en maintenant ses accusations.

Près d'un an plus tard, Wired rapporte qu'un chercheur est en capacité de prouver que non seulement une technique d'espionnage similaire à celle décrite par Bloomberg est possible, mais qu'elle est plus facile à mettre en œuvre qu'initialement supposé.

Fer à souder et puce à deux dollars

Monta Elkins, expert en cybersécurité pour la société FoxGuard, affirme qu'avec un fer à souder, un microscope et une puce à 2 dollars, il est possible de corrompre une carte mère.

Avec du matériel acheté pour environ 200 dollars sur eBay, Elkins est parvenu à accrocher une puce sur un pare-feu Cisco. Le dispositif est activé lorsque ledit pare-feu (un filtre qui permet d'assurer la sécurité d'un réseau) est installé dans un datacenter ciblé.

Selon Elkins, la puce active alors le processus de récupération de mot de passe et crée un nouvel administrateur. Il est ensuite possible pour le hacker d'accéder à distance au réseau et de désactiver ses protections.

Le chercheur insiste: cela ne veut pas dire que les allégations de Bloomberg sont vraies. Simplement que si lui peut construire un tel dispositif avec 200 dollars, alors un État qui dispose d'un budget quasi illimité pourrait aisément installer des puces bien plus sophistiquées et plus difficiles à détecter que les siennes. Et potentiellement berner la sécurité de multinationales américaines.

Une démonstration live de cette découverte sera effectuée par Elkins fin octobre lors de la conférence CS3 STHLM à Stockholm.

En ce moment

Le design défaillant du B-17 Flying Fortress à l'origine du Macintosh

Tech

Le design défaillant du B-17 Flying Fortress à l'origine du Macintosh

L'aisance avec laquelle nous manipulons aujourd'hui la technologie a de curieuses origines.

Le train à grande vitesse est sur le point de dérailler

Tech

Le train à grande vitesse est sur le point de dérailler

Souvent présenté comme le mode de transport parfait, le TGV semble pourtant toucher ses limites.

La modélisation de l'histoire prédit un cycle de crises dès 2020

Et Cætera

La modélisation de l'histoire prédit un cycle de crises dès 2020

Grâce aux modèles mathématiques, analyser les données du passé pourrait permettre de prévoir le futur.