Révélée hier au travers d’une longue enquête de Bloomberg, la minuscule puce implantée par les hackers chinois sur les cartes mères des serveurs Supermicro constituait la porte d’accès dont rêvent tous les espions de la planète. Indécelable à l’œil nu, ce composant était apparemment placé entre une puce SPI Flash et la puce BMC (Baseboard Manager Controller), s’il faut croire l’animation de l’article de Bloomberg.
Zooming in on the Bloomberg animation showing the alleged malicious component in the Supermicro servers looks reasonable for the described attack. It is positioned on an unpopulated SOIC-8 SPI flash footprint between the SOIC-16 SPI flash chip and the BMC. pic.twitter.com/EdFweJk0EE
— Trammell Hudson ✪ (@qrs) October 4, 2018
La puce BMC est un endroit stratégique de la carte mère. Ce microcontrôleur orchestre un grand nombre de paramètres techniques de la machine comme la température, la vitesse des ventilateurs, l’apport d’énergie, etc. Il a également la capacité de communiquer avec l’extérieur. En effet, les administrateurs système utilisent la puce BMC pour, par exemple, redémarrer le système à distance. Cette fonctionnalité a été utilisée par la puce d’espionnage pour se connecter aux serveurs de commande et de contrôle des hackers chinois et, ainsi, télécharger du code malveillant.
Mais ce n’est pas tout. La puce BMC est connectée avec beaucoup d’autres parties du serveur. Selon Bloomberg, cela aurait notamment permis à cette puce d’intercepter et de modifier les instructions entre le cache mémoire et le processeur central.
The BMC is vastly over-privileged and tied into so many parts of the system. Securing it is vital to secure the root of trust, and open source firmware like OpenBMC and u-BMC are good first steps to trusting it. pic.twitter.com/PryOjMQWvs
— Trammell Hudson ✪ (@qrs) October 4, 2018
A partir de là, tout devient possible. Les attaquants peuvent par exemple siphonner des clés secrètes ou interrompre une mise à jour (ce qui est pratique si l’on veut éviter l’installation d’un patch de sécurité). Il est également possible de modifier le code de Linux et de désactiver une procédure d’authentification pour se connecter plus facilement au système. Bref, la machine est totalement sous le contrôle des hackers chinois.
Mais attention : les Chinois ne sont pas les seuls à utiliser des implants matériels à des fins d’espionnage. Les révélations d’Edward Snowden avaient montré l’existence au sein de la NSA de tout un catalogue de « produits » que les barbouzes américains pouvaient utiliser pour plomber un ordinateur, un serveur, un smartphone, un écran, etc.
L’installation de ces implants se faisait souvent en amont de la livraison. Le colis est intercepté et le produit modifié à la volée. La méthode chinoise, où la puce est intégrée au moment même de la fabrication, est évidemment plus efficace.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
