L’article de Bloomberg Businessweek publié jeudi dernier (Le big hack Chinois), selon lequel les des agents des services de renseignement chinois avaient intégré des composants espions dans les serveurs Supermicro fait toujours des vagues. Les actions du fabricant californien ont ainsi chuté de 16% mardi après-midi.
Il est vrai que Bloomberg est revenu ce jour-là sur l’affaire, indiquant que Yossi Appleboum, qui dirige la société de cybersécurité Sepio Systems avait déclaré avoir découvert le matériel malveillant en août alors qu’il étudiait des communications inhabituelles depuis un serveur d’une société de télécommunications, dont le nom n’a pas été révélé. Des porte-paroles des opérateurs AT&T et Sprint Corp ont aussitôt fait savoir qu’ils n’utilisaient pas de serveurs Supermicro. De leur côté, T-Mobile US et Verizon ont déclaré ne pas être affectés par une attaque comme celle décrite par Bloomberg.
Un communiqué publié par Supermicro a affirmé que le fabricant ne connaissait aucun cas comme celui décrit par Bloomberg. « Nous n’avons vu aucune preuve de présence de composants non autorisés dans nos produits, aucune agence gouvernementale ne nous a informés de la présence de composants non autorisés sur nos cartes et aucun client n’a signalé avoir trouvé de tels composants non autorisés », indique le document.
Des experts en sécurité ainsi que des autorités américaines et britanniques ont par ailleurs déclaré ne pas être au courant des attaques décrites dans l’article de jeudi dernier, qui citait 17 sources non identifiées.
Cité dans l’article de Bloomberg, Apple a également nié avoir été victime d’une tentative d’espionnage. « Apple n’a jamais trouvé de puces malveillantes, de ‘manipulations matérielles’ ou de vulnérabilités implantées intentionnellement dans un serveur. Nous n’avons jamais alerté le FBI de problèmes de sécurité similaires à ceux décrits dans l’article, et le FBI ne nous a jamais contactés au sujet d’une telle enquête », assure George Stathakopoulos, le vice-président de la sécurité de l’information de la firme à la pomme dans une lettre envoyé au congrès américain, mise en ligne par ZDnet.
Plus gênant encore pour Bloomberg, des spécialistes cités par les auteurs de l’article, Jordan Robertson et Michael Riley, ont déclaré que leurs propos avaient été tirés de leur contexte ou transformés. Un expert interrogé par LeMagit a quant à lui expliqué que les allégations des deux journalistes autour de ces soi-disant puces illégales étaient des « fake news ».
Un porte-parole de Bloomberg Businessweek a quant lui assuré à BuzzFeed News que l’article était le résultat de plus d’un an d’enquête et de plus d’une centaine d’entretiens.
A lire également dans ChannelNews
Le marché de la sécurité IT va rester dynamique au moins jusqu’en 2022