En direct
Best of
Best of du 27 juin au 3 juillet
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Après avoir massivement accepté le télétravail, les Français commencent à en ressentir les perversions...

02.

Affaire Epstein : Ghislaine Maxwell détiendrait plusieurs vidéos d'actes pédophiles commis chez le milliardaire Jeffrey Epstein

03.

Bombe à retardement ? La pandémie a fait chuter les transferts d'argent vers les pays d’origine des immigrés comme jamais auparavant

04.

Des pirates informatiques anonymes alertent sur les risques de logiciels espions qui seraient présents dans TikTok

05.

Psychose collective : ces énormes progrès environnementaux que ne veulent pas voir les déprimés de la planète

06.

Non ce n’est pas bien d’avoir tagué la fresque en hommage à Adama Traoré : il fallait juste la « contextualiser »

07.

Les bonnes surprises (cachées) du déconfinement pourraient permettre une reprise plus rapide que prévue

01.

Ophélie Winter médite à la Réunion; Brigitte Macron se promène lugubre en baskets, Edith Philippe souriante en tongs, Catherine Deneuve cheveux au vent et souliers vernis; Melania Trump abuse de l’auto-bronzant; Benjamin Biolay a une fille cachée

02.

Sauver la planète ? Le faux-nez de ces "écologistes" qui détestent l'Homme. Et la liberté

03.

Après avoir massivement accepté le télétravail, les Français commencent à en ressentir les perversions...

04.

Tesla à 200 milliards de dollars, c’est le casse du siècle digital ou la promesse du monde d’après...

05.

Cet esprit de Munich qui affaiblit la démocratie face à une illusion d’efficacité écologique

06.

Souveraineté numérique : le choix inquiétant fait par la BPI pour l’hébergement des données sur les prêts des entreprises françaises affaiblies par le Covid-19

01.

Jean Castex, une menace bien plus grande pour LR qu’Edouard Philippe ?

02.

Le président algérien réclame (encore) des excuses à la France. Quand sera-t-il rassasié ?

03.

Cet esprit de Munich qui affaiblit la démocratie face à une illusion d’efficacité écologique

04.

Le parti EELV va alerter le CSA après les propos d'Eric Zemmour sur CNEWS dans "Face à l'Info" sur la vague verte et l'islam

05.

Nouvelle explosion des cas de Coronavirus : mais que se passe-t-il aux Etats-Unis ?

06.

Un nouveau Premier ministre pour rien ? Pourquoi la France a plus besoin d’une vision assumée que d’un En-Même-Temps au carré

ça vient d'être publié
décryptage > Politique
Leçons du remaniement

Alerte enlèvement : mais à quoi sert le MoDem ?

il y a 27 min 56 sec
décryptage > Economie
Impact du coronavirus

Bombe à retardement ? La pandémie a fait chuter les transferts d'argent vers les pays d’origine des immigrés comme jamais auparavant

il y a 1 heure 16 min
décryptage > Culture
Atlanti Culture

"Contre les barbares" de Maurizio Bettini : un roman d’apprentissage bien sombre et trop prévisible malgré des personnages campés avec talent

il y a 14 heures 50 min
light > Justice
Bombes à retardement
Affaire Epstein : Ghislaine Maxwell détiendrait plusieurs vidéos d'actes pédophiles commis chez le milliardaire Jeffrey Epstein
il y a 15 heures 53 min
pépites > Politique
Confiance des citoyens ?
Remaniement : les Français approuvent le choix des ministres du gouvernement de Jean Castex mais ne se font pas d'illusion sur la politique qu'ils mèneront
il y a 17 heures 42 min
pépite vidéo > Justice
Ministre de la Justice
Eric Dupond-Moretti : "Mon ministère sera celui de l’antiracisme et des droits de l’Homme"
il y a 19 heures 59 min
décryptage > Environnement
Bonne méthode

Parc éolien dans le Groenland, une double bonne idée pour l’énergie verte

il y a 21 heures 18 min
décryptage > International
Le point de vue de Dov Zerah

L'impérialisme turc à l'assaut de la Libye

il y a 21 heures 58 min
décryptage > Sport
Activité physique

Et les sports les plus tendances de l’été 2020 sont...

il y a 22 heures 45 min
décryptage > France
Ordre Public

Sécurité : maîtriser la spirale de violences dans laquelle s’enfonce la France est-il vraiment hors de portée ?

il y a 23 heures 43 min
décryptage > Economie
Atlantico Business

Les bonnes surprises (cachées) du déconfinement pourraient permettre une reprise plus rapide que prévue

il y a 1 heure 1 min
décryptage > Culture
Atlanti Culture

"Dé mem brer" de Joyce Carol Oates : un excellent recueil de 7 nouvelles cinglantes à propos de 7 femmes presque ordinaires

il y a 14 heures 38 min
pépites > International
Contaminations
Coronavirus au Brésil : le président Jair Bolsonaro a été testé positif
il y a 15 heures 25 min
light > Politique
Génération Covid
Emmanuel Macron a félicité les nouveaux bacheliers avec un message sur TikTok
il y a 16 heures 52 min
pépites > Santé
Cour de justice de la République
Coronavirus : l'enquête judiciaire de la CJR contre Edouard Philippe, Olivier Véran et Agnès Buzyn est ouverte
il y a 19 heures 23 min
décryptage > Environnement
Wiki Agri

Julien Denormandie : un proche d'Emmanuel Macron devient ministre de l'Agriculture

il y a 21 heures 1 min
décryptage > Environnement
Politique climatique

Le Pacte vert : le bon, la brute et le truand

il y a 21 heures 37 min
décryptage > France
Raison garder

Non ce n’est pas bien d’avoir tagué la fresque en hommage à Adama Traoré : il fallait juste la « contextualiser »

il y a 22 heures 23 min
décryptage > High-tech
Espionnage chinois ?

Des pirates informatiques anonymes alertent sur les risques de logiciels espions qui seraient présents dans TikTok

il y a 23 heures 3 min
décryptage > Politique
Castex 1

Un nouveau gouvernement qui envoie moult signaux... mais y aura-t-il des Français pour les détecter ?

il y a 1 jour 30 min
© AHMAD YUSNI / AFP
© AHMAD YUSNI / AFP
Piratage

Piratage à grande échelle : des micro-puces à 200 euros implantées dans de nombreux matériels informatiques grand public

Publié le 29 octobre 2019
Un chercheur spécialisé dans la cybersécurité a démontré qu'il était assez facile de confectionner des puces pour pirater du matériel informatique. Cette démocratisation est-elle inquiétante ?
Jean-Paul Pinte
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Un chercheur spécialisé dans la cybersécurité a démontré qu'il était assez facile de confectionner des puces pour pirater du matériel informatique. Cette démocratisation est-elle inquiétante ?

Atlantico.fr : Il y a plus d'un an, Bloomberg dénonçait des réseaux de piratage chinois qui s'attaquaient à Apple ou Amazon. Rien à ce jour n'a été prouvé. Or, Monta Elkins, un chercheur spécialisé dans la cybersécurité, a démontré lors d'une conférence, qu'avec seulement 200 dollars de matériel, n'importe qui pouvait confectionner de minuscules puces pour pirater des téléphones, ordinateurs etc. Cette démocratisation est-elle inquiétante ? N'est-ce pas dangereux d'en faire la démonstration ?

Jean-Paul Pinte : Les cyberdélinquants ont toujours un pas d’avance avec les technologies et il n’est pas étonnant de voir apparaître de tels modes opératoires. L’intelligence artificielle s’annonce même comme le prochain Eldorado pour les puces électroniques. Selon Mentor Graphics, elle devrait offrir à l’industrie des semi-conducteurs une opportunité plus importante que les PC ou les mobiles lors de la prochaine décennie. En témoigne l’envolée des investissements de capital-risque dans les start-up de ce secteur. Il en ira de même pour les objets connectés.

Les puces sont entrées dans la vie courante et il faudra même apprendre à les protéger dès leur conception. Mais déjà s’annoncent de nouveaux modes opératoires qui permettraient de les détourner alors qu’ils sont de plus en plus implémentés sur nos matériels de tous les jours.

C’est inquiétant, et Arnaud Tisserand de nous rappeler dans un de ses articles les différents modes actuels d’attaques de puces:

  • Les attaques mathématiques et informatiques qui exploitent d’éventuelles faiblesses des systèmes de sécurité ainsi 
  • Les attaques physiques par observation exploitent le fait qu’un attaquant puisse s’approcher assez près de la puce pour mesurer certaines grandeurs physiques comme son temps de calcul, le courant électrique qu’elle consomme ou le rayonnement électromagnétique qu’elle émet à l’extérieur.
  • Les attaques par Laser

Le 4 octobre 2018, Bloomberg Businessweek a publié un article important intitulé  « Le grand stratagème: Comment la Chine a-t-elle utilisé une toute petite puce pour infiltrer des sociétés américaines» ? »

Elle a affirmé que des espions chinois avaient inséré une porte dérobée électronique secrète dans le matériel de serveurs utilisés par 30 entreprises américaines, dont Amazon et Apple (et éventuellement par des agences de sécurité nationales), en compromettant la chaîne logistique américaine.

Dans un article du Guardian on peut découvrir l'histoire de Bloomberg, la technologie avait été compromise lors du processus de fabrication en Chine. Des agents secrets d’une unité de l’Armée de libération du peuple avaient inséré de minuscules puces - environ la taille d’un grain de riz - dans les cartes mères pendant le processus de fabrication.

Le matériel affecté a ensuite fait son chemin dans des serveurs haut de gamme de compression vidéo assemblés par une société de San Jose appelée Supermicro et déployés par de grandes sociétés américaines et des agences gouvernementales. Selon le rapport, les enquêteurs ont découvert que le piratage avait fini par concerner près de 30 entreprises, dont une grande banque, des entrepreneurs publics et Apple, qui avait initialement commandé 30 000 serveurs Supermicro en 2015 mais avait annulé la commande après que ses propres enquêteurs avaient découvert des puces malveillantes sur l'ordinateur de la société

En ce qui concerne l’attaque via des puces confectionnées par une personne, l’exemple de Seth Wahle est parlante. Il occupe actuellement un poste d’ingénieur chez APA Wireless, une société spécialisée dans tout ce qui est en lien avec les technologies sans fil. Pour pirater plus facilement les téléphones sous Android, il a fait le choix de s’implanter une puce NFC dans la main. La puce en question est située entre le pouce et l’index. Il s’agit en réalité d’une capsule Schott 8625 en bio verre. Elle est habituellement utilisée pour marquer le bétail et elle peut contenir 888 Ko de données.

Cette puce est totalement indétectable dans les lieux publics comme les aéroports, les gares, etc. Grâce à ce programme, notre hacker n’a qu’à prendre en main un téléphone sous Android pour lui faire ouvrir une page web vérolée. Cette dernière installera sur le terminal un programme malveillant collectant toutes les données de l’utilisateur pour les envoyer ensuite sur un des serveurs de Seth.

À première vue, c'était sensationnel. Les logiciels de piratage informatique sont monnaie courante de nos jours, mais pas le matériel informatique (bien que les révélations d’Edward Snowden nous aient appris que les agences de renseignement occidentales leur sont favorables). Et ils sont beaucoup plus difficiles à détecter. La Chine a longtemps eu une opération semi-étatique pour pirater des sociétés de technologie américaines et leur voler leur propriété intellectuelle. L'idée selon laquelle il aurait pu gagner une porte dérobée insoupçonnée dans certains des serveurs les plus sensibles et les plus informatifs aux États-Unis a probablement provoqué des frissons chez de nombreuses entreprises et gouvernements.
 
L’article de Bloomberg est peut-être en partie faux. Mais les dangers reliés aux attaques informatiques matérielles dans les chaînes d’approvisionnement, eux, sont bien réels.

Quel que soit le mode opératoire d’attaque, il conviendrait de ne plus continuer à en faire la démonstration voire encore la démocratisation sur la toile ces modes opératoires qu’il est aujourd’hui possible de trouver sans trop de mal.

Ces puces, "de la taille d'un ongle", sont quasi-impossibles à détecter. Comment les gouvernements et les entreprises vont-ils réussir à faire face à ces problématiques ?

Il est impossible de faire face à ce genre d’attaques sans une réelle veille stratégique sur l’évolution des modes opératoires.

On appelle cela aujourd’hui la Threat Intelligence et de nombreuses grandes sociétés sont déjà sur les rails.

Selon le Groupe Thalès le renseignement d'intérêt cyber ou Cyber Threat Intelligence, c’est la capacité à comprendre et analyser en permanence le niveau de menace informatique, et ainsi proposer à l’éco-système de confiance d’adapter sa ligne de défense.

D’autres structures comme Novel Electronics Groupe ont créé une puce d’ordinateur qui s’autodétruit en cas d’attaque. Cette nouvelle puce composée de plaquettes de silicium et d’un morceau de verre trempé se brise en petits morceaux lorsqu’elle est chauffée à un endroit précis (voir miniature). Et cela pourrait être activé à distance dans un futur proche par WiFi ou n’importe quel signal radio mentionne Gregory Whiting, de Novel Electronics Group, qui a produit cette puce chez PARC, une société de Xerox basée en Californie.

La littérature scientifique a produit un grand nombre de publications visant à étudier et à renforcer la sécurité des cartes à puce. L'étude des vulnérabilités est un préalable indispensable au renforcement des garanties de sécurité de ces matériels informatiques particuliers. Or parmi les sources potentielles de vulnérabilités, le matériel utilisé peut s'avérer, en lui-même, un élément prépondérant.

Comment les citoyens peuvent-ils se protéger de cela ?

Les puces électroniques sont des éléments qui composent la plupart des objets connectés. Cependant, ces dernières sont susceptibles de comporter des défauts et de récupérer des données à l’insu de l’utilisateur. La question qui se pose alors est de savoir comment faire pour détecter ce problème et pour le détourner. Les puces informatiques sont utilisées sur de nombreux appareils et peuvent être à l’origine d’une fuite des informations personnelles, voire confidentielles d’une personne nous rappelle le site Sekurigi.

Le géant Microsoft a récemment annoncé son initiative Secured-core qui s’appuie sur les efforts combinés des partenaires OEM, des fournisseurs de puces et de la société elle-même pour fournir du matériel, des microprogrammes et des logiciels dont l’intégration au-delà de leur fonction première devra concourir à accroitre la sécurité des plateformes Windows. L’entreprise AMD, par exemple, de par son statut de fournisseur de premier plan de puces x86 sur le marché des PC, est un partenaire clé dans cet effort à travers la fourniture de processeurs compatibles avec le standard Secured-core.

Chaque citoyen, selon son systèmes d’exploitation, ses modes de communication, va devoir apprendre à connaître son ADN en tant qu’être connecté car très vite tout va s’interconnecter et comme pour la traçabilité de nos données sur la toile, les objets connectés vont nous conduire dans une incapacité à s’auto-surveiller.

Le site CYBERMALVEILLANCE peut aider le citoyen à mieux faire comprendre au citoyen l’évolution des modes opératoires.

Pourquoi Apple, Amazon et la NSA dénoncent-ils les révélations de Bloomberg comme étant de fausses informations?

Cela fait plus d’un an que les révélations font polémique sur la toile.

C'est une nouvelle pointure qui vient d'apporter son avis sur le dossier des puces espions de Supermicro. En effet, Rob Joyce, conseiller principal pour la stratégie de cybersécurité à la NSA (et ex-conseiller à la Maison Blanche), s'interroge à son tour sur l'exactitude de "The Big Hack" de Bloomberg Businessweek.

Il dénonce indirectement cette surmédiatisation et cette effervescence en rajoutant qu'aucune preuve réelle n'a été fournie pour l'instant. « Depuis ma position, je comprends assez bien ce qui nous inquiète et ce sur quoi nous travaillons tous ensemble. Mais je n'ai rien vu. Tous les milieux industriels /commerciaux paniquent à en perdre la raison. Et pour autant, personne n’a encore rien trouvé. »

Il n’est pas bon non plus, pour ces grands de l’Internet et à la vue de la baisse du Nasdasq de continuer à propager ces faits.

Le Nasdaq a en effet lourdement chuté le lendemain  des révélations de Bloomberg Businessweek sur des puces espions qui auraient été installées par des fournisseurs chinois sur les serveurs de dizaines d'entreprises américaines dont Apple et Amazon.

Dans une déclaration adressée à Bloomberg, Apple suggère que ses journalistes aient pu confondre avec un incident antérieur impliquant un pilote infecté sur un serveur dans un laboratoire de Super Micro. « S'il y avait un événement comme Bloomberg l'a prétendu, nous serions francs à ce sujet et travaillerions en étroite collaboration avec les forces de l'ordre », a déclaré un porte-parole d’Apple à nos confrères de CNET.com.

Amazon a lui aussi déclaré à Bloomberg qu’il n’avait trouvé « aucune preuve » indiquant la présence d’équipement malveillant sur ses sites. « A aucun moment, passé ou présent, nous n’avons trouvé de problèmes liés à du matériel modifié ou des puces malveillantes dans les cartes-mères Super Micro des systèmes Elemental ou Amazon », a ajouté un porte-parole d'AWS dans un communiqué adressé à CNET. Elemental est une société de compression vidéo qu'Amazon a achetée pour étoffer ses services de streaming.

Mais Bloomberg maintient sa version des faits  selon cet article du CNET !

L'article de Bloomberg indiquait que « six hauts responsables actuels et anciens de la sécurité nationale » membres des administrations Obama et Trump ont fourni des détails sur la découverte des puces et sur une enquête gouvernementale sur cette affaire. « Nous maintenons notre histoire et sommes confiants dans nos reportages et nos sources », a déclaré un porte-parole de Bloomberg. L’article indique que 17 personnes ont confirmé que le matériel de Super Micro a bien été « manipulé ». Les sources n’ont pas été nommées en raison du caractère sensible et parfois même classifié de certaines informations.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Commentaires (4)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
patafanari
- 31/10/2019 - 17:03
Infox et manipulation.
J'ai fait croire à ma femme que les chinois m'avaient équipé de morpion s électroniques pour espionner notre vie intime.
zelectron
- 29/10/2019 - 19:30
les pirates vont gagner, mais seulement dans un premier temps
Les fabricants en particulier de matériels informatiques vont devoir sécuriser autrement mieux leurs matériels, ce sera là le prochain pari technologique qui mettra d'autres projets en retard comme l'électronique quantique du fait des ressources financières énormes à l'échelle de la planète qui devront être mobilisées . . . à moins de faire l'impasse et de détruire le travail de beaucoup d'entreprises !
JBL
- 29/10/2019 - 17:14
Effectivement
Je rejoins totalement le post précédent. Et j'ajouterai, que nous disposons de l'arme nucléaire, nous avons des sous marins ultra modernes, un avion de chasse, sans doute un des meilleurs du monde, etc, et nous faisons fabriquer à 80 % nos médicaments par les chinois !!!! et beaucoup d'autres produits qui nous rendent dépendant des chinois ou même des américains. Mettre des puces, pour paralyser des systèmes, et pourquoi ne pas imaginer la modification de médicaments et autres perversités ????? Nous en sommes toujours à la ligne Maginot !