Apple nie avoir découvert des puces d'espionnage dans ses serveurs iCloud, Réactions à la publication du 04/10/2018

[kwak-kwak]

Si tu as un truc bizarre et inconnu sur une carte mère (ou le dans le logiciel) de l'une des tes machines, tu vas surtout envoyer une chiée de mails au constructeur pour savoir de quoi il s'agit, référer de l'anomalie à ta hiérarchie (il faudra peut-être remplacer toute les cartes mères / réinstaller tous les serveurs et faire intervenir le département juridique pour ne pas avoir à payer), faire jouer tes contacts pour essayer de chopper une info, demander l'assistance du prestataire en sécurité, et ouvrir un thread sur reddit ou stackoverflow dans l'espoir qu'au moins une personne dans le monde sache de quoi il s'agit.

A partir de là tu pourras enfin commencer comprendre qu'il s'agit d'une puce espion / d'un logiciel espion installé par quelqu'un , et seul l'intervention d'un groupe de sécurité spécialisé (la DGSE, si tu bosses dans un secteur stratégique Français ou le CSIS/SCRS si tu bosses dans un secteur stratégique Canadien, un groupe privé sinon ) pourra déterminer qu'il s'agit d'une attaque d'un gouvernement étranger (et ils ne te le diront pas, ils vont juste te réquisitionner tes serveurs).

Mettons qu'il s'agisse de machines personnelles (un iMac 5K avec l'UEFI, un MBPr 15" 2017 origine difficile à cerner la NSA est meilleure, un MBPr 13" 2017 encore avec l'UEFI, par exemple), ma hiérarchie c'est moi, et à voir ceux qui sont concernés sont ceux auxquels je devrais m'adresser...

Quand au prestataire en sécurité, et bien il ne s'agit juste que de ma personne, ce qui est plutôt limitant, non?!?

Ma façon de faire, depuis des années, c'est détecter, identifier, et faire avec: quand ça ne les regarde pas, les ordinateurs affectés sont en sommeil (ou éteints), voilà tout, ainsi que nos smartphone si on doit parler de choses sérieuses. Et on parle très loin d'eux. Et j'utilise un autre ordinateur (un vieux PC) quand il le faut, pas connecté à Internet.
Ce qui ne leur montre pas à quel point ils sont visible pour un spécialiste (oui je suis un peu hacker à mes heures, avec même au moins un exploit publique sur la plus grosse DB existante sur le web et ses mots-de-passe, mais peut-être pas que ça), et on joue sur mes ordinateurs à un jeu amusant

Ok alors tu bosses dans une toute petite structure. Dans les grands groupes, on ne procède pas de la même façon. Il y a sous la responsabilité de mon équipe 15'000 serveurs et 45'000 autres machines diverses, chaque mois je reçois 3500 notifications d'incidents à corriger. Dans les grands groupes, on n'a pas le temps de faire mumuse avec des pots de miels, ou alors le bonhomme n'est dévoué qu'à cette seule et unique tâche (et je n'ai pas la moindre foutue idée de qui il s'agit).

Raison de l'édition : Pas besoin de citer chaque fois tout le message précédent…

[kwak-kwak]

J'en rajoute une couche : l'agence de sécurité informatique du Royaume Uni mentionne dans un communiqué de presse que cette histoire de puce espion est du grand bullshit.

Ce message a été modifié par kwak-kwak - 6 Oct 2018, 00:49.

[raoulito]

@kwak-kwak et @iapx, au-delà de la réthorique, un petit truc comme ca, de quelle manière pourrait-il être détecté  ? je veux dire, visuellement c ridicule, même quand sait ce qu'on cherche, et s'il n'est pas activé, ben il est invisible. Sans même parler de l'activer d'ailleurs, car il faut l'atteindre de l'extérieur, c'est pas simple non plus

bref, comment ce serait possible de le repérer (en ignorant par defaut son existence) ?

[Hebus]

Houla tu ouvres les vannes d’un des deux grands paranos de la planète... on n’est pas sorti de l’auberge ...

[amike]

Amazon a aussi publié un démenti sur la présence des puces espion. Il apparaît de plus en plus que l'article de Bloomberg soit purement mensonger. (Et j'aurai tendance à ajouter : fasse part d'une grande campagne de désinformation ou propagande à l'encontre de la Chine).

On peut aussi penser que la puce y est....
Et que ce serait une catastrophe boursière ou autre et un aveux d'impuissance pour eux de l'admettre ......

....

Si j'en réfère au rasoir d'Ockham, l'explication la plus simple de ce tel mystère serait que tout simplement l'attaque n'existe pas. Un tel article de propagande n'induit dans la conspiration les 2 auteurs de l'article (ou peut-être même uniquement leur indic). Les USA sont coutumiers du fait (Cf: les armes de destruction massive de Sadam Hussein) et la situation commerciale avec la Chine est actuellement tendue (l'article est donc de circonstance).

Il y a un citation intéressante dans l'article de Bloomberg, c'est celle de Joe Grand, qui dit que le hardware est "hors radar". On sait que c'est possible, que ce serait très efficace, mais pas de motivation.

On a pu le voir récemment dans le domaine de la dissuasion : les Russes et les Chinois ont développé des missiles hypersoniques, domaine que les américains avaient négligés.

On peut avoir des doutes vu qu'on ne voit pas les signes habituels d'une attaque (dégâts, articles, fuites, preuves, geeks-qui-savent...), mais on ne peut pas réfuter l'impossibilité, surtout du point de vue de chinois qui produisent autant de hardware.

[iAPX]

@kwak-kwak et @iapx, au-delà de la réthorique, un petit truc comme ca, de quelle manière pourrait-il être détecté  ? je veux dire, visuellement c ridicule, même quand sait ce qu'on cherche, et s'il n'est pas activé, ben il est invisible. Sans même parler de l'activer d'ailleurs, car il faut l'atteindre de l'extérieur, c'est pas simple non plus

bref, comment ce serait possible de le repérer (en ignorant par defaut son existence) ?

Il est visible sur un examen physique en comparant avec le schéma d'origine, et en prenant un long temps, avec en plus certains qui seraient légèrement camouflé pour ressembler à un type de composant très usuel.
Je n'ai jamais vu cette opération se faire nulle part, d'abord parce que personne ne s'y attendrait, ayant tous des batteries de tests automatisés pour le matériel qu'on reçoit (je n'ai pas géré que mes ordinateurs persos ), permettant de valider leur bon fonctionnement a-priori, ainsi que comme le fait Apple la mise en place d'un firmware testé et approuvé, OS, etc.

Et d'un autre coté les unités commandées pour valider la commande finale, qui sont scrutées à la loupe, n'auront évidemment pas ce petit composant.

Il est quasi-impossible de détecter par voie logicielle un composant altéré ou ajouté, surtout que vu la description de celui-ci et de ses capacités, probablement sur la liaison PCI-Express x1 d'un contrôleur réseau (le plus simple en terme d'implémentation je pense) et dans une zone comprenant des composants passifs de même taille.

Ce type d'attaque a déjà été démontré par des chercheurs, certains ayant réussi aussi à monter une backdoor dans une CPU (en modifiant légèrement les masques) là-aussi quasi impossible à trouver même aux rayons X et sachant ce que l'on recherche (et bien sûr là aussi introuvable avec des tests logiciels sauf à connaître son fonctionnement).
Donc c'est possible en pratique.
On sait que les Chinois comme les Américains travaillent sur ce genre de choses, mais aussi des firmware avec backdoor (plus visibles et moins imparables).

Maintenant le fond de l'affaire c'est est-ce que c'est arrivé? Et tel que décrit?
J'avoue que j'ai un doute, mais que je penche coté Bloomberg et leur quantité de témoins de différentes origines.
Et il est évident devant l'ampleur du problème et ses conséquences immenses que si ça était arrivé on aurait tout fait pour le cacher et essayer de l'utiliser: on en est plus à jouer les SysAdmin mais devant une attaque de niveau gouvernementale, et que des responsables de la sécurité contacteraient immédiatement les services adéquats quitte à court-circuiter leur hiérarchie et collaboreraient avec eux.
Mais peut-être n'est-ce pas arrivé comme ça? Ou pas arrivé du tout?

Ce message a été modifié par iAPX - 6 Oct 2018, 12:26.

[yponomeute]

bref, comment ce serait possible de le repérer (en ignorant par defaut son existence) ?

Moi ma question est : comment est-ce possible de ne pas repérer qu'une carte électronique n'est pas conforme aux plans et à la nomenclature fournie au fabricant ?

[iAPX]

bref, comment ce serait possible de le repérer (en ignorant par defaut son existence) ?

Moi ma question est : comment est-ce possible de ne pas repérer qu'une carte électronique n'est pas conforme aux plans et à la nomenclature fournie au fabricant ?

Parce qu'on ne les examine pas toutes, on les mets à jours et on les teste de manière automatisée, ce qui ne permet en aucun cas de détecter ce genre de bidouillage (sauf chance extraordinaire).
Que seules sont examinées les cartes de référence avant de lancer la commande en quantité.
Et que le composant ressemble à n'importe quel composant qu'on trouve sur une carte-mère.

Et que finalement le client final n'est pas celui qui en a fait le design, mais dans ce cas SuperMicro, avec des fois des batchs qui partent directement vers le client final.

PS: j'ai relu les dénégations d'Apple et elles sont extrêmement spécifiques, donc probablement vraies, puisque ce n'est certainement pas le FBI qui serait contacté sur un problème de ce genre mais plutôt le DoHS ou la NSA (ou les deux en collaboration). L'article de Bloomberg est donc très probablement exact sur le fond.

Ce message a été modifié par iAPX - 6 Oct 2018, 12:57.

[Hebus]

Une attaque logicielle avec tous les trous de sécurité existante ne laisserait pas de traces hardware... Là on peut remonter à la source.

Et Apple parle plus généralement d’une quelconque organisation gouvernementale

https://www.buzzfeednews.com/article/johnpa...rvers-spies-fbi

[iAPX]

Une attaque logicielle avec tous les trous de sécurité existante ne laisserait pas de traces hardware... Là on peut remonter à la source.

Et Apple parle plus généralement d’une quelconque organisation gouvernementale

https://www.buzzfeednews.com/article/johnpa...rvers-spies-fbi

Une attaque logicielle est trop visible et se wipe en réinstallant tout (quand c'est possible ce qui n'est plus nécessairement le cas sur nos ordinateurs grand-public), ce qui est fait par défautavant d'installer un serveur: firmwares, OS, etc.

"No one from Apple ever reached out to the FBI about anything like this" - Apple

Est-ce qu'Apple sait ce que fait chaque employé à tout moment, même en dehors de ses locaux et de leur temps de travail?
Est-ce que ça peut être une personne sous contrat? Ou une société qui gère des serveurs pour Apple? Ou une filiale d'Apple?
Alors est-ce une autre Agence que le FBI (il y en a une cinquantaine), le DoHS semblant plus crédible sur ce type de menace?
Ou simplement est-ce le FBI qui a contacté Apple à ce sujet, un sous-traitant, un employé directement, etc.?
Le FBI a-t'il été contacté pour une autre raison, son enquête amenant à la découverte de ces puces?
Ou alors, ça n'est effectivement jamais arrivé?!?

Je n'aime pas les réponses trop spécifiques, car elles sont comme les promesses, on a trop tendance à les croire, alors qu'avec une autre lecture, sans être fausses, elles peuvent induire en erreur. La réponse d'Apple m'amène non des réponses mais des questions...
Toutes les hypothèses que j'émets correspondent totalement à la réponse d'Apple.

Un autre perle "Apple has never found malicious chips in our servers" - communiqué d'Apple encore

Ce qui ne veut pas dire qu'il n'y en avait pas, ni qu'elles n'ont pas été découverte, juste que si il y en avait, elles ont été découvertes par une autre entité, qui peut-être un sous traitant ou une agence gouvernementale.
Il n'y a pas là-dedans non plus la négation de l'existence de ce type de puce chez d'autres clients de Supermicro.
Ou même de sa découverte et de l'intervention d'Agences Gouvernementales US, qui n'ont d'ailleurs pour la plupart pas d'obligation d'indiquer leurs enquêtes, ni même d'en partager les résultats.

J'aimerais voir des dénis qui ne soient pas si génériques voir douteux!

Pour enfoncer le clou définitivement sur les mensonges par omission d'Apple: "we want users to know that we do everything possible to safeguard the personal information they entrust to us." - Apple encore et toujours
Alors que lorsqu'un adolescent Australien a siphonné 1To de données "a large volume of data that was sensitive both from a privacy and commercial point of view", il n'y a eu aucune communication d'Apple sur la qualité et la quantité de données ni les personnes et/ou société affectées: ils ne les vendent pas, mais lorsqu'ils se les font voler, ils ne communiquent absolument pas et on ne l'a appris, par la bande, que grâce au procès du jeune hacker, Apple étant apparemment "very sensitive about publicity"...

PS: très inquiétant d'avoir -apparemment- le patron d'une Agence Gouvernementale indépendante (le FBI) partager avec juste un coup de fil des informations sur ses enquêtes passées ou présentes, en terme de démocratie et de sécurité c'est absolument incroyable, et risque fort de se terminer devant une commission d'enquête du Sénat.
Étonnant que personne ne l'ai remarqué, ni tiré la sonnette d'alarme là-dessus.

Ce message a été modifié par iAPX - 6 Oct 2018, 16:22.

[Hebus]

Honnêtement je n’en sais rien... je trouve ça,juste trop gros... et trop contextuel à la situation politique du moment.

Et question rasoir d’Occam

Pour les agences gouvernemaentales, je pensais aux déclarations faites par des gars du top management d’Apple à Buzzfeed

La réponse officielle d’Apple étant focalisée sur les dires de Blomberg, qui eux ne citaient que le FBI si je ne m’abuse. Je vérifie en partant chez le véto

Ce message a été modifié par Hebus - 6 Oct 2018, 16:15.

[iAPX]

Honnêtement je n’en sais rien... je trouve ça,juste trop gros... et trop contextuel à la situation politique du moment.

Et question rasoir d’Occam

Pour les agences gouvernemaentales, je pensais aux déclaration faites par des gars duntop management d’Apple à Buzzfeed

La réponse officielle d’Apple étant focalisée sur les dires de Blomberg, qui eux ne citaient que le FBI si je ne m’abuse. Je vérifie en partant chez le véto

Comme je l'ai démontré, que le FBI soit inclus ou pas, tout dépend de qui a contacté qui éventuellement avec la connaissance de la direction d'Apple (ou pas), et que toutes ces déclarations vont dans le même sens: la direction d'Apple n'a pas contacté le FBI pour cet exact problème (ce qui ne veut rien dire sur celui-ci) au nom d'Apple et qu'aucun employé d'Apple n'a trouvée cette puce sur ses serveurs à leur connaissance, mais sans mentionner si elle avait été cherchée bien sûr.

Ça laisse entrevoir un monde de possibilité derrière ces déclarations, surtout avec une société "very sensitive about publicity" dès qu'on parle de sa mauvaise sécurité (se faire hacker 1To de données personnelles et commerciales par un ado de 16ans sans communiquer dessus résume leur façon de faire)

PS: une partie de cette histoire risque de finir devant une commission d'enquête au Sénat, enregistrée et produite sur YouTube (je recommande les auditions publiques d'Hillary Clinton pour comprendre où ça peut aller). Le patron du FBI a fait un faux-pas incroyable, et il risque de devoir se défausser en utilisant le "personne ici" pour pouvoir prétendre ne pas être au courant.

Ce message a été modifié par iAPX - 6 Oct 2018, 16:26.

[zero]

Je pense qu'il n'est pas difficile de repérer ce genre de puce en comparant ce qu'on envoie avec ce qui en sort.

Ce message a été modifié par zero - 6 Oct 2018, 16:30.

[iAPX]

Je pense qu'il n'est pas difficile de repérer ce genre de puce en comparant ce qu'on envoie et de qui en sort.

Oui, à ceci près:

1. Il faut regarder chaque carte-mère à la loupe avec un schéma (ça n'est jamais fait)
2. La société qui créé le schéma et lance la production reçoit les produits (justement pas toujours, ils peuvent être envoyé du fabricant véritable au client final)
3. Le Clien final doit donc avoir le schéma d'origine (non)
4. Le client final inspecte chaque carte-mère à la loupe avec le schéma de référence (jamais)

Donc non, quand le fabricant envoie sa production au client final, sans passer par SuperMicro, aucun risque, surtout en ne le faisant que sur un batch de production et non de test.

Sur un batch de production, le client final les mets sur des serveurs de test, mets à jour le firmware, l'OS (en fait ça ils ne le font pas, ils ont des supports déjà prêts), et enchaîne une batterie de tests logiciels qui ne peut en aucun cas détecter la puce. Après quoi on valide le fonctionnement, et il va sur un serveur de production, peut-être après un passage en preprod ou QA.

Ce message a été modifié par iAPX - 6 Oct 2018, 16:33.

[zero]

Oui, à ceci près:

1. Il faut regarder chaque carte-mère à la loupe avec un schéma (ça n'est jamais fait)
2. La société qui créé le schéma et lance la production reçoit les produits (justement pas toujours, ils peuvent être envoyé du fabricant véritable au client final)
3. Le Clien final doit donc avoir le schéma d'origine (non)
4. Le client final inspecte chaque carte-mère à la loupe avec le schéma de référence (jamais)

Je parle des données, donc non, tout ceci n'est pas nécessaire.

[iAPX]

Oui, à ceci près:

1. Il faut regarder chaque carte-mère à la loupe avec un schéma (ça n'est jamais fait)
2. La société qui créé le schéma et lance la production reçoit les produits (justement pas toujours, ils peuvent être envoyé du fabricant véritable au client final)
3. Le Clien final doit donc avoir le schéma d'origine (non)
4. Le client final inspecte chaque carte-mère à la loupe avec le schéma de référence (jamais)

Je parle des données, donc non, tout ceci n'est pas nécessaire.

Les différences ne se voient que lorsque certaines données sont en entrées, et ça prends largement plus que la durée de vie de l'univers pour tester cela entre une puce réseau et une interface PCI-Express 1x.

Et moi je voudrais entendre autre chose que des dénis probables, qu'Apple a cherché et pas trouvé par exemple (jusqu'à preuve du contraire ils n'ont pas cherché), qu'il n'y a eu aucune puce backdoor sur leurs serveurs (ils ne nient pas cela non plus), etc.
Pour l'instant les dénis sont presque amusants

En fait, mon prochain post va être pour faire la liste de ce que Apple ne nie officiellement pas, et là on va rire...

Ce message a été modifié par iAPX - 6 Oct 2018, 16:37.

[Hebus]

Pas sûr que la démarche soit vraiment pertinente... tu peux tout supposer ... ta prémisse est qu’ils mentent

Hors les sources sont floues ... les affirmations parlent du FBI et Apple dit clairement que c’est faux en évoquant que si c’etait Vrai ils seraient contraints au silence car enquête en cours ...

“We tried to figure out if there was anything, anything, that transpired that’s even remotely close to this,” a senior Apple security executive told BuzzFeed News. “We found nothing.”

A senior security engineer directly involved in Apple’s internal investigation described it as “endoscopic”, noting they had never seen a chip like the one described in the story, let alone found one. “I don’t know if something like this even exists”, this person said, noting that Apple was not provided with a malicious chip or motherboard to examine. “We were given nothing. No hardware. No chips. No emails.”

Equally puzzling to Apple execs is the assertion that it was party to an FBI investigation — Bloomberg wrote that Apple “reported the incident to the FBI.” A senior Apple legal official told BuzzFeed News the company had not contacted the FBI, nor had it been contacted by the FBI, the CIA, the NSA or any government agency in regards to the incidents described in the Bloomberg report. This person’s purview and responsibilities are of such a high level that it’s unlikely they would not have been aware of government outreach.

[iAPX]

Pas sûr que la démarche soit vraiment pertinente... tu peux tout supposer ... ta prémisse est qu’ils mentent

Hors les sources sont floues ... les affirmations parlent du FBI et Apple dit clairement que c’est faux en évoquant que si c’etait Vrai ils seraient contraints au silence car enquête en cours ...

“We tried to figure out if there was anything, anything, that transpired that’s even remotely close to this,” a senior Apple security executive told BuzzFeed News. “We found nothing.”

A senior security engineer directly involved in Apple’s internal investigation described it as “endoscopic”, noting they had never seen a chip like the one described in the story, let alone found one. “I don’t know if something like this even exists”, this person said, noting that Apple was not provided with a malicious chip or motherboard to examine. “We were given nothing. No hardware. No chips. No emails.”

Equally puzzling to Apple execs is the assertion that it was party to an FBI investigation — Bloomberg wrote that Apple “reported the incident to the FBI.” A senior Apple legal official told BuzzFeed News the company had not contacted the FBI, nor had it been contacted by the FBI, the CIA, the NSA or any government agency in regards to the incidents described in the Bloomberg report. This person’s purview and responsibilities are of such a high level that it’s unlikely they would not have been aware of government outreach.

Perfetto

"We tried to figure out" : et donc on ne parle pas d'inspection complète et à la loupe avec le schéma d'origine. Moi aussi je ne trouverais pas sans chercher.
"they had never seen a chip like the one described in the story" : qui ça "eux", lui, d'autres, tous, il embarque tous les gens d'Apple parce que lui n'en a pas vu?
"I don’t know if something like this even exists" : c'est donc un ingénieur en insécurité puisque ça existe et ça a été créé et documenté
"A senior Apple legal official" : ben là on peut donner son nom puisque ça prouve que Apple, à moins que... Et fantastique que cette personne inconnue sache tout des échanges de chaque responsables d'Apple et de tous ses employés, on est Orwellien là, ou on fantasme?!?

On est encore dans le déni, et je ne vois pas pourquoi un responsable d'Apple défendant la société cacherait son nom, contrairement aux 17 témoins de l'affaire cités par Bloomberg, et à aucun endroit il n'est dit que ces puces n'ont pas existé, ni même sur les serveurs d'Apple. Ça en dit long...

C'est pourtant simple d'écrire "There was none of these chips founds on the Apple infrastructure, none US Agency have been involved, we did a due process to randomly search them with original schema and magnifiers on more than a thousand servers, our conclusions is that there was no trace of anything like this, and we are free to communicate about this". Simple et évident, ils cherchent enfin (ce qu'ils ne prétendent pas avoir fait, ils indiquent comment et sur quel nombre, et ils renvoient le résultat de leur recherche). Clair!

Aujourd'hui, avec les communications d'Apple et de SuperMicro:

• Apple n'indique pas avoir cherché ces puces (ni surtout comment et sur quel nombre de serveurs ou quel pourcentage de ceux-ci)
• Apple n'indique pas que ces puces n'ont pas été trouvées sur ces serveurs
• Supermicro n'indique pas plus que ces puces ne se trouvaient pas sur certaines de leurs cartes
• Apple n'indique pas qu'ils n'ont pas communiqué avec le FBI à ce sujet (juste que la direction ne les a pas contacté officiellement sur ce sujet précis)
• Apple n'indique pas qu'il n'y a pas, ou pas eu, d'enquête là dessus au FBI (inofficiellement le directeur du FBI n'en a pas connaissance, ce qui risque d'ouvrir une enquête Sénatoriale)
• Apple n'indique pas qu'il n'y a pas, ou pas eu, d'enquête d'autres agences (notablement DoHS totalement concernée et NSA pour la partie technique)
• Apple n'indique pas plus qu'ils ont le droit de communiquer sur tous les angles de cette affaire, avec un mensonge "we are not under any kind of gag order or other confidentiality obligations." alors qu'ils le sont au quotidien pour d'autres requêtes, indiquant clairement que c'est un mensonge forcé puisque sans mentionner la portée de cette affirmation (probablement une obligation mal-formulée et qu'ils respectent).

Tout est affaire de wording là-dedans, mon père était très bon là-dessus, et je là vois des gens qui distordent la réalité en refusant de s'exprimer clairement sur le sujet...

Et pour moi cette belle langue de bois, avec des déclarations factuellement exactes mais pouvant amener à de fausses conclusions, m'indique de quel coté est la vérité dans cette affaire, et ça pue!

PS: un interlocuteur d'Apple vient de me mentir juste là sur une tentative d'hammeçonnage (fishing) par courriel (email), en me disant qu'ils allaient la bloquer, on peut leur faire une totale confiance

Ce message a été modifié par iAPX - 6 Oct 2018, 19:48.

[otto87]

Cacher l’éléphant sous le tapis pour ne pas voir le cours de bourse en souffrir...
Il faut être bien crédule pour avaler ce genre de chose...
Allez, je vais demander a monsanto si le glyphosate c'est bon

[Hebus]

Il y a un monde entre la crédulité et le fait de partir illico presto sur des théories fumeuses.. Alors que cette histoire arrive à point nommé par rapport à la situation politique US Chine

Je fais confiance à mes camarades du PCC de toute façon...

[iAPX]

Il y a un monde entre la crédulité et le fait de partir illico presto sur des théories fumeuses.. Alors que cette histoire arrive à point nommé par rapport à la situation politique US Chine

Je fais confiance à mes camarades du PCC de toute façon...

Tu as tout a fait raison, la théorie fumeuse comme quoi ces puces n'ont jamais existé (et surtout pas chez Apple) fait appel à la crédulité des gens.

Les faits tels qu'Apple et SuperMicro les relatent:

• Apple n'indique pas avoir cherché ces puces
• Apple n'indique pas que ces puces n'ont pas été trouvées sur ses serveurs
• SuperMicro n'indique pas plus que ces puces ne se trouvaient pas sur certaines de leurs cartes, y-compris celles à destination d'Apple
• Apple n'indique pas qu'ils n'ont pas communiqué avec le FBI à ce sujet (juste que la direction ne les a pas contacté initialement et officiellement sur ce sujet précis)
• Apple n'indique pas qu'il n'y a pas, ou pas eu, d'enquête là dessus au FBI (d'après une source et inofficiellement le directeur du FBI aurait dit oralement que "personne autour" n'en a connaissance, ce qui risque d'ouvrir une belle enquête Sénatoriale )
• Apple n'indique pas qu'il n'y a pas, ou pas eu, d'enquête d'autres agences (notablement DoHS totalement concernée et NSA pour la partie technique)
• Apple ment "we are not under any kind of gag order or other confidentiality obligations." alors qu'Apple Inc. l'est au quotidien, indiquant clairement que c'est un mensonge forcé puisque sans mentionner la portée de cette affirmation (probablement une obligation mal-formulée et qu'ils respectent).

Moi je sais qui croire à ce point...

Ce message a été modifié par iAPX - 6 Oct 2018, 21:19.

[otto87]

Il y a un monde entre la crédulité et le fait de partir illico presto sur des théories fumeuses.. Alors que cette histoire arrive à point nommé par rapport à la situation politique US Chine

Cette histoire qui arrive à point nommé par rapport à la situation politique US Chine, tu devrais expliciter. Car le sous entendu que tu fais revient plus ou moins à dire que les USA aurait monter cette histoire pour diaboliser le vil chinoi en mettant en danger la première capitalisation boursière du monde. Dans le genre fumeux c'est pas mal Décidément le fanboyisme, ça peut allez sacrement loin!

[Hebus]

Vous fumez de la bonne ...

[otto87]

Vous fumez de la bonne ...

Je démontre juste que ton histoire de "à point nommé par rapport à la situation politique US Chine" sans plus d'explication ne tient pas la route. A moins que tu puisses t'expliciter, ce qui devrait t'être pourtant si simple.

[Hebus]

Vous fumez de la bonne ...

Je démontre juste que ton histoire de "à point nommé par rapport à la situation politique US Chine" sans plus d'explication ne tient pas la route. A moins que tu puisses t'expliciter, ce qui devrait t'être pourtant si simple.

Tiens un article prudent sur le sujet :

https://techcrunch.com/2018/10/04/bloomberg...rity-reporting/

Pour la question politique, c'est classique comme manip, ça a déjà eu lieu, ça ne demande pas de resources phénoménales à mettre en place... vu la capacité de Trump à agir par media interposés...

Petit élément d'information sur CNBC (https://www.cnbc.com/2018/10/04/chinese-spy-chips-are-said-to-be-found-in-hardware-used-by-apple-amazon-apple-denies-the-bloomberg-businessweek-report.html)

Asked by CNBC for comment, Apple reiterated its strong denials of the report, stating: "We are deeply disappointed that in their dealings with us, Bloomberg's reporters have not been open to the possibility that they or their sources might be wrong or misinformed. Our best guess is that they are confusing their story with a previously reported 2016 incident in which we discovered an infected driver on a single Super Micro server in one of our labs. That one-time event was determined to be accidental and not a targeted attack against Apple."

On se rappelle aussi de cette histoire de vol d'informations du projet Apple Car... ce fut très public... Je ne vois pas pourquoi dans le cas de carte vérolés ils auraient gardé le secret...

Autant je crois aisément à la mise en place d'équipes de pirates aux missions motivés par une guerre de renseignement et d'espionnage entre les différentes puissances mondiales... autant ce truc du chip sur la carte activante à distance ... je trouve ça trop compliqué, en plus ça générerait du traffic réseau également... et ça devrait passer les firewall dans la foulé de la même manière qu'une attaque par le réseau, je ne vois pas l'intérêt de la chose... ça fait espionnage fiction... James Bond le retour.. Le Spectre est derrière tout ça sans doute

Par exemple le groupe dans lequel je bosse, fais son business essentiellement sur les data, et la partie sécurité est très poussée, car ils subissent des attaques régulières pour pirater leurs données, à n'en pas douter, on imagine que pour des boites comme Apple ou Amazon, c'est pareil...

@iAPX

le texte de Apple, j'ai mis en gras la partie sur les agences gouvernementales

Over the course of the past year, Bloomberg has contacted us multiple times with claims, sometimes vague and sometimes elaborate, of an alleged security incident at Apple. Each time, we have conducted rigorous internal investigations based on their inquiries and each time we have found absolutely no evidence to support any of them. We have repeatedly and consistently offered factual responses, on the record, refuting virtually every aspect of Bloomberg's story relating to Apple.

On this we can be very clear: Apple has never found malicious chips, "hardware manipulations" or vulnerabilities purposely planted in any server. Apple never had any contact with the FBI or any other agency about such an incident. We are not aware of any investigation by the FBI, nor are our contacts in law enforcement.

In response to Bloomberg's latest version of the narrative, we present the following facts: Siri and Topsy never shared servers; Siri has never been deployed on servers sold to us by Super Micro; and Topsy data was limited to approximately 2,000 Super Micro servers, not 7,000. None of those servers have ever been found to hold malicious chips.

As a matter of practice, before servers are put into production at Apple they are inspected for security vulnerabilities and we update all firmware and software with the latest protections. We did not uncover any unusual vulnerabilities in the servers we purchased from Super Micro when we updated the firmware and software according to our standard procedures.

We are deeply disappointed that in their dealings with us, Bloomberg's reporters have not been open to the possibility that they or their sources might be wrong or misinformed. Our best guess is that they are confusing their story with a previously-reported 2016 incident in which we discovered an infected driver on a single Super Micro server in one of our labs. That one-time event was determined to be accidental and not a targeted attack against Apple.

While there has been no claim that customer data was involved, we take these allegations seriously and we want users to know that we do everything possible to safeguard the personal information they entrust to us. We also want them to know that what Bloomberg is reporting about Apple is inaccurate.

Apple has always believed in being transparent about the ways we handle and protect data. If there were ever such an event as Bloomberg News has claimed, we would be forthcoming about it and we would work closely with law enforcement. Apple engineers conduct regular and rigorous security screenings to ensure that our systems are safe. We know that security is an endless race and that's why we constantly fortify our systems against increasingly sophisticated hackers and cybercriminals who want to steal our data.

J'ai du mal à croire que sur une histoire aussi sérieuse et avec un fonctionnement d'Apple super centralisé.. le top management n'aurait pas été au courant.

Ce message a été modifié par Hebus - 7 Oct 2018, 07:32.

[iAPX]

Je lis bien le texte @Hebus, et j'ai déjà répondu que c'était juste un grand fatras qui ne voulait pas dire grand-chose, et que surtout il ne disait pas qu'Apple avait cherché ces puces, ni qu'elles n'avaient jamais existé, ce qui est ennuyeux pour le moins.

Le DoHS vient justement de sortir du bois, avec "at this time we have no reason to doubt the statements from the companies named in the story" (la source ici), ce qui ne veut strictement rien dire là non plus, mis à part qu'ils ne confirment pas et se sont bien préparé à se rétracter avec 2 angles potentiels pour cela...

À l'inverse quand des vulnérabilités sont volontairement implantés chez Apple et d'autres par la NSA, pour servir de back-door, ton raisonnement devrait t'amener à dire que la direction d'Apple et la société étaient au courant? Ou le DoHS?

La direction d'Apple ne sait certainement pas tout, et il y a certainement en interne des gens en contact direct avec le DoHS ou la NSA, à des postes-clés.
Pour moi si ça arrivait, il y aurait prise de contact immédiat et communication orale si communication en interne.
J'ai pour ma part déjà fait l'erreur de reporter un gros problème par email à mon N+1 (un Directeur) dans une très grosse société, on est en Amérique du Nord avec des règles similaires, et on ne faisait pas ça comme ça: les problèmes s'y transmettaient oralement pour permettre un déni raisonnable.

Je veux bien accorder le bénéfice du doute à Apple, mais cela reposerait sur l'idée que leur PR soit incompétent, et là j'ai du mal à m'imaginer ça...

Il faudrait que les journalistes de Bloomberg soient plus spécifiques et précis, et qu'Apple indique précisément ce qui a été fait de leur coté et les résultats de ces actions, car on ne peut qu'avoir une opinion à ce point, mais clairement pas de certitudes.

Ce message a été modifié par iAPX - 7 Oct 2018, 13:54.

[kwak-kwak]

@kwak-kwak et @iapx, au-delà de la réthorique, un petit truc comme ca, de quelle manière pourrait-il être détecté  ? je veux dire, visuellement c ridicule, même quand sait ce qu'on cherche, et s'il n'est pas activé, ben il est invisible. Sans même parler de l'activer d'ailleurs, car il faut l'atteindre de l'extérieur, c'est pas simple non plus

bref, comment ce serait possible de le repérer (en ignorant par défaut son existence) ?

C'est faisable en comparant les schémas de carte mère (mais personne ne fait ça). Les possibilités les plus plausible passerait plutôt par la découverte d'un comportement "inhabituel" de la carte amenant vers une investigation très poussée. Par inhabituel je veut dire, un serveur qui plante plus souvent que les autres (notamment lors d'une mise à jour du BIOS), qui est un peut plus bavard que les autres ou qui a tendance à alarmer les firewall d'entreprise. Ces comportements peuvent-être plus facilement découvert via des pots de miel : c'est à dire que l'on laisse accessible un serveur peu sécurisé mais ultra-surveillé en faisant croire à l'attaquant potentiel que c'est un serveur de production (alors que c'est un serveur de test). Dans ce cas, un serveur trop bavard ou ayant subi des modifications indésirées devrait pouvoir être détecté assez rapidement. Les grands groupes de sécurité informatique font ça. Sur nos smartphones, c'est souvent ainsi que les groupes de sécurité découvrent des malwares.

Reste enfin les services de renseignement nationaux, dont c'est le travail de justement lutter contre de telles attaques (qui impliquent beaucoup d'humains, donc présentent un fort potentiel de fuite). Dans ces conditions, je ne sais pas comment la découverte est dévoilée, je suppose qu'ils filent des tuyaux à des groupes de sécurité informatique. Dans le cas de l'attaque décrite par Bloomberg, ça n'aurait pas de sens de garder ça sous silence après analyse de la puce concernée (compter 2 ou 3 mois, mais certainement pas des années.)

A noter : maintenant que l'on sait où est puce incriminée il serait facile pour Bloomberg de prouver ses dires avec l'aide d'un labo. On récupère une carte mère fonctionnelle (sur eBay par exemple), on récupère la puce en question et on la regarde au microscope pour démontrer que c'est bien une puce logique et non un condensateur.

[iAPX]

...
A noter : maintenant que l'on sait où est puce incriminée il serait facile pour Bloomberg de prouver ses dires avec l'aide d'un labo. On récupère une carte mère fonctionnelle (sur eBay par exemple), on récupère la puce en question et on la regarde au microscope pour démontrer que c'est bien une puce logique et non un condensateur.

+1 et il suffit d'une seule carte-mère contenant la puce pour prouver l'histoire, une seule!

[johnstone]

@kwak-kwak et @iapx, au-delà de la réthorique, un petit truc comme ca, de quelle manière pourrait-il être détecté  ? je veux dire, visuellement c ridicule, même quand sait ce qu'on cherche, et s'il n'est pas activé, ben il est invisible. Sans même parler de l'activer d'ailleurs, car il faut l'atteindre de l'extérieur, c'est pas simple non plus

bref, comment ce serait possible de le repérer (en ignorant par défaut son existence) ?

C'est faisable en comparant les schémas de carte mère (mais personne ne fait ça). [...]

Personne ne fait cela, c'est absolument vrai, surtout dans un datacenter où le hardware est souvent mixte (matériel appartenant aux clients par exemple) et aussi parce que le nombre de variations (version, type, marque...) est conséquent. De plus, cela ne serait d'aucune utilité si un composant a été changé lors de la fabrication au lieu d'un rajouter un.

[raoulito]

...
A noter : maintenant que l'on sait où est puce incriminée il serait facile pour Bloomberg de prouver ses dires avec l'aide d'un labo. On récupère une carte mère fonctionnelle (sur eBay par exemple), on récupère la puce en question et on la regarde au microscope pour démontrer que c'est bien une puce logique et non un condensateur.

+1 et il suffit d'une seule carte-mère contenant la puce pour prouver l'histoire, une seule!

et depuis que l'histoire a eu lieu, rien whalou..  ?
depuis les dénégations des instances de sécurités américaines, cette histoire ne tient plus vraiment la route