En direct
Best of
Best of du 10 au 16 octobre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Le rapporteur général de l'Observatoire de la laïcité, Nicolas Cadène, devrait être remplacé

02.

Les courants qui nous mènent droit à la déflation se font de plus en plus forts

03.

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

04.

Selon « Le Monde », Abdouallakh Anzorov, l’auteur de l’attentat, a donné plusieurs centaines d’euros à des élèves du collège en échange d’informations pour identifier le professeur

05.

Mort de Samuel Paty : le terroriste était en contact avec les auteurs des vidéos qui visaient l'enseignant

06.

Professeur décapité : "je crains plus le silence des pantoufles que le bruit des bottes"

07.

Comment les comparateurs en ligne menacent la survie de pans entiers de l’industrie des services en France

01.

Gérald Darmanin & Brad Pitt bientôt papas, M. Pokora bientôt marié; Voici pense que le bébé de Laura Smet s'appelle Léo, Closer Jean-Philippe; Adele aurait succombé au charme de l'ex (cogneur) de Rihanna; Kanye West propose l'union libre à Kim Kardashian

02.

Décapitation islamiste : est-il encore temps d’arrêter la spirale infernale… et comment ?

03.

Islamisme : la République de la complaisance

04.

Professeur décapité : souvenons-nous de la phrase d'Arletty

05.

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

06.

Thibault de Montbrial : « Le vivre-ensemble n’est plus qu’une incantation psalmodiée par des gens qui, à titre personnel, font tout pour s’y soustraire »

01.

Décapitation islamiste : est-il encore temps d’arrêter la spirale infernale… et comment ?

02.

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

03.

Islamisme : la République de la complaisance

04.

Professeur décapité : souvenons-nous de la phrase d'Arletty

05.

Professeur décapité à Conflans-Sainte-Honorine : "Il a été assassiné parce qu'il apprenait à des élèves la liberté d'expression"

06.

Emmanuel Macron, le Gorbatchev de la technostructure française ?

ça vient d'être publié
light > Politique
Principe de précaution
Coronavirus : Brigitte Macron décide de se mettre à l'isolement pendant 7 jours après avoir été cas contact
il y a 13 heures 1 min
décryptage > Culture
Atlanti Culture

"On purge bébé" de Georges Feydeau : un vaudeville comme on les aime

il y a 13 heures 40 min
pépites > Justice
Enquête en cours
Mort de Samuel Paty : le terroriste était en contact avec les auteurs des vidéos qui visaient l'enseignant
il y a 15 heures 20 min
pépites > Politique
Liberté d'expression
Les régions vont diffuser un livre de caricatures dans les lycées
il y a 16 heures 26 min
décryptage > Economie
Evolution de la pandémie

Panorama COVID-19 : maintenant, c’est l’Europe qui est la plus touchée par les nouveaux cas

il y a 19 heures 4 min
décryptage > France
Liberté d'expression

Pour une publication massive des caricatures

il y a 19 heures 24 min
light > Economie
Voiture propre
La Chine, leader dans le domaine des voitures électriques - avec 138 modèles sur son marché, contre 60 en Europe, et seulement 17 aux États-Unis - abrite aussi le premier constructeur mondial
il y a 20 heures 5 min
Alimentation
La Chine se met à aimer le lait après l'avoir ignoré pendant plusieurs générations
il y a 21 heures 15 min
décryptage > Terrorisme
Reculer pour mieux sauter

Professeur décapité : voilà ce que nous coûtera notre retard face à l’islamisme

il y a 21 heures 48 min
décryptage > Finance
Impact de la pandémie

Les courants qui nous mènent droit à la déflation se font de plus en plus forts

il y a 22 heures 33 min
décryptage > Culture
Atlanti Culture

"Covid-19 et réchauffement climatique" de Christian de Perthuis : une analyse qui mérite un détour, comme tout témoignage sincère, mais avec ses limites

il y a 13 heures 23 min
pépites > Politique
Chaises musicales
Le rapporteur général de l'Observatoire de la laïcité, Nicolas Cadène, devrait être remplacé
il y a 14 heures 30 min
light > France
Magie de Noël menacée
Covid-19 : le marché de Noël des Tuileries est annulé à Paris suite au coronavirus
il y a 15 heures 54 min
décryptage > Economie
Les entrepreneurs parlent aux Français

Choisir la mort ou la Mort. La France a fait son choix

il y a 18 heures 28 min
décryptage > International
MilkTea

« L’alliance du thé au lait » : le mouvement du refus de l’expansionnisme chinois s’étend en Asie

il y a 19 heures 17 min
light > High-tech
Justice
Instagram visé par une enquête de la Commission irlandaise pour la protection des données
il y a 19 heures 38 min
rendez-vous > High-tech
La minute tech
Couvre-feu : et les meilleures solutions pour les télé-apéros sont...
il y a 20 heures 30 min
pépite vidéo > France
Lutte contre le fondamentalisme
Conflans-Sainte-Honorine : "Nous ne pouvons pas laisser faire ce genre de fatwas en ligne", selon Gérald Darmanin
il y a 21 heures 29 min
décryptage > Politique
Stratégie

LR contraint de s’allier à LREM pour survivre ? Les faux calculs de Christian Estrosi

il y a 22 heures 12 min
rendez-vous > Santé
Zone Franche
Coronavirus : le scandale caché du sous-investissement mortuaire
il y a 22 heures 49 min
© AHMAD YUSNI / AFP
© AHMAD YUSNI / AFP
Piratage

Piratage à grande échelle : des micro-puces à 200 euros implantées dans de nombreux matériels informatiques grand public

Publié le 29 octobre 2019
Un chercheur spécialisé dans la cybersécurité a démontré qu'il était assez facile de confectionner des puces pour pirater du matériel informatique. Cette démocratisation est-elle inquiétante ?
Jean-Paul Pinte
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Un chercheur spécialisé dans la cybersécurité a démontré qu'il était assez facile de confectionner des puces pour pirater du matériel informatique. Cette démocratisation est-elle inquiétante ?

Atlantico.fr : Il y a plus d'un an, Bloomberg dénonçait des réseaux de piratage chinois qui s'attaquaient à Apple ou Amazon. Rien à ce jour n'a été prouvé. Or, Monta Elkins, un chercheur spécialisé dans la cybersécurité, a démontré lors d'une conférence, qu'avec seulement 200 dollars de matériel, n'importe qui pouvait confectionner de minuscules puces pour pirater des téléphones, ordinateurs etc. Cette démocratisation est-elle inquiétante ? N'est-ce pas dangereux d'en faire la démonstration ?

Jean-Paul Pinte : Les cyberdélinquants ont toujours un pas d’avance avec les technologies et il n’est pas étonnant de voir apparaître de tels modes opératoires. L’intelligence artificielle s’annonce même comme le prochain Eldorado pour les puces électroniques. Selon Mentor Graphics, elle devrait offrir à l’industrie des semi-conducteurs une opportunité plus importante que les PC ou les mobiles lors de la prochaine décennie. En témoigne l’envolée des investissements de capital-risque dans les start-up de ce secteur. Il en ira de même pour les objets connectés.

Les puces sont entrées dans la vie courante et il faudra même apprendre à les protéger dès leur conception. Mais déjà s’annoncent de nouveaux modes opératoires qui permettraient de les détourner alors qu’ils sont de plus en plus implémentés sur nos matériels de tous les jours.

C’est inquiétant, et Arnaud Tisserand de nous rappeler dans un de ses articles les différents modes actuels d’attaques de puces:

  • Les attaques mathématiques et informatiques qui exploitent d’éventuelles faiblesses des systèmes de sécurité ainsi 
  • Les attaques physiques par observation exploitent le fait qu’un attaquant puisse s’approcher assez près de la puce pour mesurer certaines grandeurs physiques comme son temps de calcul, le courant électrique qu’elle consomme ou le rayonnement électromagnétique qu’elle émet à l’extérieur.
  • Les attaques par Laser

Le 4 octobre 2018, Bloomberg Businessweek a publié un article important intitulé  « Le grand stratagème: Comment la Chine a-t-elle utilisé une toute petite puce pour infiltrer des sociétés américaines» ? »

Elle a affirmé que des espions chinois avaient inséré une porte dérobée électronique secrète dans le matériel de serveurs utilisés par 30 entreprises américaines, dont Amazon et Apple (et éventuellement par des agences de sécurité nationales), en compromettant la chaîne logistique américaine.

Dans un article du Guardian on peut découvrir l'histoire de Bloomberg, la technologie avait été compromise lors du processus de fabrication en Chine. Des agents secrets d’une unité de l’Armée de libération du peuple avaient inséré de minuscules puces - environ la taille d’un grain de riz - dans les cartes mères pendant le processus de fabrication.

Le matériel affecté a ensuite fait son chemin dans des serveurs haut de gamme de compression vidéo assemblés par une société de San Jose appelée Supermicro et déployés par de grandes sociétés américaines et des agences gouvernementales. Selon le rapport, les enquêteurs ont découvert que le piratage avait fini par concerner près de 30 entreprises, dont une grande banque, des entrepreneurs publics et Apple, qui avait initialement commandé 30 000 serveurs Supermicro en 2015 mais avait annulé la commande après que ses propres enquêteurs avaient découvert des puces malveillantes sur l'ordinateur de la société

En ce qui concerne l’attaque via des puces confectionnées par une personne, l’exemple de Seth Wahle est parlante. Il occupe actuellement un poste d’ingénieur chez APA Wireless, une société spécialisée dans tout ce qui est en lien avec les technologies sans fil. Pour pirater plus facilement les téléphones sous Android, il a fait le choix de s’implanter une puce NFC dans la main. La puce en question est située entre le pouce et l’index. Il s’agit en réalité d’une capsule Schott 8625 en bio verre. Elle est habituellement utilisée pour marquer le bétail et elle peut contenir 888 Ko de données.

Cette puce est totalement indétectable dans les lieux publics comme les aéroports, les gares, etc. Grâce à ce programme, notre hacker n’a qu’à prendre en main un téléphone sous Android pour lui faire ouvrir une page web vérolée. Cette dernière installera sur le terminal un programme malveillant collectant toutes les données de l’utilisateur pour les envoyer ensuite sur un des serveurs de Seth.

À première vue, c'était sensationnel. Les logiciels de piratage informatique sont monnaie courante de nos jours, mais pas le matériel informatique (bien que les révélations d’Edward Snowden nous aient appris que les agences de renseignement occidentales leur sont favorables). Et ils sont beaucoup plus difficiles à détecter. La Chine a longtemps eu une opération semi-étatique pour pirater des sociétés de technologie américaines et leur voler leur propriété intellectuelle. L'idée selon laquelle il aurait pu gagner une porte dérobée insoupçonnée dans certains des serveurs les plus sensibles et les plus informatifs aux États-Unis a probablement provoqué des frissons chez de nombreuses entreprises et gouvernements.
 
L’article de Bloomberg est peut-être en partie faux. Mais les dangers reliés aux attaques informatiques matérielles dans les chaînes d’approvisionnement, eux, sont bien réels.

Quel que soit le mode opératoire d’attaque, il conviendrait de ne plus continuer à en faire la démonstration voire encore la démocratisation sur la toile ces modes opératoires qu’il est aujourd’hui possible de trouver sans trop de mal.

Ces puces, "de la taille d'un ongle", sont quasi-impossibles à détecter. Comment les gouvernements et les entreprises vont-ils réussir à faire face à ces problématiques ?

Il est impossible de faire face à ce genre d’attaques sans une réelle veille stratégique sur l’évolution des modes opératoires.

On appelle cela aujourd’hui la Threat Intelligence et de nombreuses grandes sociétés sont déjà sur les rails.

Selon le Groupe Thalès le renseignement d'intérêt cyber ou Cyber Threat Intelligence, c’est la capacité à comprendre et analyser en permanence le niveau de menace informatique, et ainsi proposer à l’éco-système de confiance d’adapter sa ligne de défense.

D’autres structures comme Novel Electronics Groupe ont créé une puce d’ordinateur qui s’autodétruit en cas d’attaque. Cette nouvelle puce composée de plaquettes de silicium et d’un morceau de verre trempé se brise en petits morceaux lorsqu’elle est chauffée à un endroit précis (voir miniature). Et cela pourrait être activé à distance dans un futur proche par WiFi ou n’importe quel signal radio mentionne Gregory Whiting, de Novel Electronics Group, qui a produit cette puce chez PARC, une société de Xerox basée en Californie.

La littérature scientifique a produit un grand nombre de publications visant à étudier et à renforcer la sécurité des cartes à puce. L'étude des vulnérabilités est un préalable indispensable au renforcement des garanties de sécurité de ces matériels informatiques particuliers. Or parmi les sources potentielles de vulnérabilités, le matériel utilisé peut s'avérer, en lui-même, un élément prépondérant.

Comment les citoyens peuvent-ils se protéger de cela ?

Les puces électroniques sont des éléments qui composent la plupart des objets connectés. Cependant, ces dernières sont susceptibles de comporter des défauts et de récupérer des données à l’insu de l’utilisateur. La question qui se pose alors est de savoir comment faire pour détecter ce problème et pour le détourner. Les puces informatiques sont utilisées sur de nombreux appareils et peuvent être à l’origine d’une fuite des informations personnelles, voire confidentielles d’une personne nous rappelle le site Sekurigi.

Le géant Microsoft a récemment annoncé son initiative Secured-core qui s’appuie sur les efforts combinés des partenaires OEM, des fournisseurs de puces et de la société elle-même pour fournir du matériel, des microprogrammes et des logiciels dont l’intégration au-delà de leur fonction première devra concourir à accroitre la sécurité des plateformes Windows. L’entreprise AMD, par exemple, de par son statut de fournisseur de premier plan de puces x86 sur le marché des PC, est un partenaire clé dans cet effort à travers la fourniture de processeurs compatibles avec le standard Secured-core.

Chaque citoyen, selon son systèmes d’exploitation, ses modes de communication, va devoir apprendre à connaître son ADN en tant qu’être connecté car très vite tout va s’interconnecter et comme pour la traçabilité de nos données sur la toile, les objets connectés vont nous conduire dans une incapacité à s’auto-surveiller.

Le site CYBERMALVEILLANCE peut aider le citoyen à mieux faire comprendre au citoyen l’évolution des modes opératoires.

Pourquoi Apple, Amazon et la NSA dénoncent-ils les révélations de Bloomberg comme étant de fausses informations?

Cela fait plus d’un an que les révélations font polémique sur la toile.

C'est une nouvelle pointure qui vient d'apporter son avis sur le dossier des puces espions de Supermicro. En effet, Rob Joyce, conseiller principal pour la stratégie de cybersécurité à la NSA (et ex-conseiller à la Maison Blanche), s'interroge à son tour sur l'exactitude de "The Big Hack" de Bloomberg Businessweek.

Il dénonce indirectement cette surmédiatisation et cette effervescence en rajoutant qu'aucune preuve réelle n'a été fournie pour l'instant. « Depuis ma position, je comprends assez bien ce qui nous inquiète et ce sur quoi nous travaillons tous ensemble. Mais je n'ai rien vu. Tous les milieux industriels /commerciaux paniquent à en perdre la raison. Et pour autant, personne n’a encore rien trouvé. »

Il n’est pas bon non plus, pour ces grands de l’Internet et à la vue de la baisse du Nasdasq de continuer à propager ces faits.

Le Nasdaq a en effet lourdement chuté le lendemain  des révélations de Bloomberg Businessweek sur des puces espions qui auraient été installées par des fournisseurs chinois sur les serveurs de dizaines d'entreprises américaines dont Apple et Amazon.

Dans une déclaration adressée à Bloomberg, Apple suggère que ses journalistes aient pu confondre avec un incident antérieur impliquant un pilote infecté sur un serveur dans un laboratoire de Super Micro. « S'il y avait un événement comme Bloomberg l'a prétendu, nous serions francs à ce sujet et travaillerions en étroite collaboration avec les forces de l'ordre », a déclaré un porte-parole d’Apple à nos confrères de CNET.com.

Amazon a lui aussi déclaré à Bloomberg qu’il n’avait trouvé « aucune preuve » indiquant la présence d’équipement malveillant sur ses sites. « A aucun moment, passé ou présent, nous n’avons trouvé de problèmes liés à du matériel modifié ou des puces malveillantes dans les cartes-mères Super Micro des systèmes Elemental ou Amazon », a ajouté un porte-parole d'AWS dans un communiqué adressé à CNET. Elemental est une société de compression vidéo qu'Amazon a achetée pour étoffer ses services de streaming.

Mais Bloomberg maintient sa version des faits  selon cet article du CNET !

L'article de Bloomberg indiquait que « six hauts responsables actuels et anciens de la sécurité nationale » membres des administrations Obama et Trump ont fourni des détails sur la découverte des puces et sur une enquête gouvernementale sur cette affaire. « Nous maintenons notre histoire et sommes confiants dans nos reportages et nos sources », a déclaré un porte-parole de Bloomberg. L’article indique que 17 personnes ont confirmé que le matériel de Super Micro a bien été « manipulé ». Les sources n’ont pas été nommées en raison du caractère sensible et parfois même classifié de certaines informations.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Commentaires (4)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
patafanari
- 31/10/2019 - 17:03
Infox et manipulation.
J'ai fait croire à ma femme que les chinois m'avaient équipé de morpion s électroniques pour espionner notre vie intime.
zelectron
- 29/10/2019 - 19:30
les pirates vont gagner, mais seulement dans un premier temps
Les fabricants en particulier de matériels informatiques vont devoir sécuriser autrement mieux leurs matériels, ce sera là le prochain pari technologique qui mettra d'autres projets en retard comme l'électronique quantique du fait des ressources financières énormes à l'échelle de la planète qui devront être mobilisées . . . à moins de faire l'impasse et de détruire le travail de beaucoup d'entreprises !
JBL
- 29/10/2019 - 17:14
Effectivement
Je rejoins totalement le post précédent. Et j'ajouterai, que nous disposons de l'arme nucléaire, nous avons des sous marins ultra modernes, un avion de chasse, sans doute un des meilleurs du monde, etc, et nous faisons fabriquer à 80 % nos médicaments par les chinois !!!! et beaucoup d'autres produits qui nous rendent dépendant des chinois ou même des américains. Mettre des puces, pour paralyser des systèmes, et pourquoi ne pas imaginer la modification de médicaments et autres perversités ????? Nous en sommes toujours à la ligne Maginot !