Journal Des puces-espionnes installées sur des cartes mères par les Chinois ?

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
16
5
oct.
2018

Bonjour cher Journal,

Je viens de lire l'information suivante :

https://www.lesechos.fr/tech-medias/hightech/0302354339567-quand-pekin-implantait-des-puces-espionnes-chez-apple-et-amazon-2211203.php

Un petit composant de couleur grise ne dépassant pas 1mm de diamètre serait capable de faire beaucoup de choses d'après l'article :

1) Elles peuvent altérer le système d'exploitation en injectant du code.

2) Changer l'ordre des instructions du processeur central.

"objectif principal : ouvrir l'accès au serveur. Par exemple, faire en sorte que le mot de passe ne soit pas vérifié, voler des clés de chiffrement ou encore bloquer des mises à jour de sécurité. Ils ne constatent toutefois aucun vol de donnée."

Concernant le point 1 j'ai du mal à comprendre d'un point de vue technique comment une puce si petite pour injecter du code et donc avoir des capacités de stockages.

Le point 2 me semble déjà plus réaliste d'un point de vue technique.

Je sais qu'il y'a des moules expertes dans le domaine hardwares.

Est-ce que vous avez une opinion sur le sujet ?

Et pourquoi les Chinois n'auraient pas plus simplement changer le processeur en faisant des modifications dans les usines d'intel & amd ?

  • # Où est la vérité ?

    Posté par  . Évalué à 3.

  • # Questions

    Posté par  (site Web personnel) . Évalué à 7.

    Et pourquoi les Chinois n'auraient pas plus simplement changer le processeur en faisant des modifications dans les usines d'intel & amd ?

    Est-ce que Intel et AMD ont des usines de CPU en Chine continentale ? Je ne crois pas.
    En revanche pas mal de cartes mères sont effectivement fabriquées en Chine continentale et c'est donc sans doute plus facile de passer par là pour implanter un bidule espion.
    Attendons d'en savoir plus…même si il va y avoir des démentis de partout et de la confusion soigneusement entretenue par tous les protagonistes. Peut-être qu'on ne saura jamais le fin mot de l'histoire.

    • [^] # Re: Questions

      Posté par  (site Web personnel) . Évalué à 6.

      Est-ce que Intel et AMD ont des usines de CPU en Chine continentale ? Je ne crois pas.

      AMD n'a plus d'usines depuis plusieurs années, tout est sous traité comme pour nVidia à TSMC. Qui a si je me souviens bien une usine en Chine continentale sur 5-10 à d'autres emplacement (principalement Taiwan).

      Intel a des usines propres, sur la poignée qui sont en général aux USA, une usine est en Chine continentale.

      Après cela ne signifie pas que les processeurs soient faits dans ces usines chinoises. TSMC emploie cette usine peut être uniquement pour des clients locaux. Intel l'utilise peut être pour d'autres composants comme des puces réseaux. Mais ce n'est pas impossible que des puces importantes de ces marques soient produites là bas.

      • [^] # Re: Questions

        Posté par  . Évalué à 10.

        Intel fait des puces mémoires dans sa fab en Chine, pas des processeurs.
        Évidemment, l'EEPROM, c'est un bon endroit pour aller mettre des logiciels suspects.

        Mais ce n'est pas l'endroit où elles sont faits qui doit être surveillé, mais l'endroit où elles sont testées! C'est là qu'elles seront écrites.
        Il y a beaucoup de centres de tests un peu partout dans le monde, pas forcément en Chine continentale non plus. Des fois le centre de test est aussi avec la fab, des fois il est complètement ailleurs.

        TSMC a des usines en Chine, mais à moins que ma mémoire me fasse défaut, il y a surtout des fabs un peu plus anciennes avec des technos amorties que TSMC s'est contenté de racheter, et une fab "neuve" qui va faire du 16nm FINFET.

        Maintenant, on peut paniquer à l'idée de se faire espionner par les Chinois, ou se rappeler que Snowden nous a déjà avoué que la CIA espionnait sans vergogne tout le monde via des appareils américains et qu'après l'émoi initial qui a duré un bon 2 semaines et demi, la plupart des gens ont décidé que la vie est plus simple si on s'en fout et qu'on continue comme si de rien n'était.

        Il est vrai que cette "révélation" tombe particulièrement mal (ou bien, selon le point de vue…).

  • # Taille de la puce

    Posté par  (site Web personnel) . Évalué à 10. Dernière modification le 05/10/18 à 10:43.

    Concernant le point 1 j'ai du mal à comprendre d'un point de vue technique comment une puce si petite pour injecter du code et donc avoir des capacités de stockages.

    On arrive à faire pas mal de choses sur une petite puce.
    Si on prend l'exemple du PSoC 4000 (réf. CY8C4014FNI-421) de chez CYPRESS: ARM Cortex-M0 + 16 kO de Flash sur une puce WLCSP de 1.45 x 1.56 mm.
    1. La puce en question est encapsulée dans un boîtier comportant 16 billes => on doit pouvoir réduire la taille du boîtier si on en a besoin de moins (3 d'après la photo vue dans les articles).
    2. La puce CYPRESS est un produit commercial avec des contraintes commerciales (notamment en terme de coût de production): un circuit dédié sur mesure avec d'autres contraintes doit pouvoir être encore plus optimisé en surface.

    • [^] # Re: Taille de la puce

      Posté par  . Évalué à 5. Dernière modification le 05/10/18 à 11:57.

      Si on se dit que les serveurs ont un module IPMI déjà installé,
      alors il suffit d'une puce pour altérer le microcode chargé au démarrage (4 pins, + 2 pour l'alim = 6).

      Mais sans vrai détails techniques ça semble quand même du bullshit.

  • # L'article de Bloomberg

    Posté par  . Évalué à 8. Dernière modification le 05/10/18 à 10:59.

  • # Mitigeons....

    Posté par  . Évalué à 2.

    Je mitigerais cette news très alarmiste en rappelant que, pour toute infrastructure un minimum sérieuse, on doit:

    • Etablir une matrice de flux pour :

      • Les différents serveurs entre eux.
      • Les différents serveurs vers l'extérieur.
    • Filtrer les flux réseaux en appliquant la politique du "Deny by default" et n'ouvrir que les flux qui sont référencés dans la matrice de flux.

    Si ces deux points sont respectés, alors la puce chinoise ne servira pas à grand chose.

    Un serveur n'est pas sensé faire des requêtes HTTP vers l'extérieur sauf pour ses updates (mais bien souvent, les grosses infras disposent de proxy pour ça).

    Le seul covert channel qui serait réellement indécelable serait, éventuellement, de passer par des requêtes DNS… mais je doute que les chinois aient poussé le vice jusque là.

    • [^] # Re: Mitigeons....

      Posté par  . Évalué à 5.

      Bof si c'est des serveur devant faire transiter des données persos, on peut très bien imaginer qu'elle se déclenche en repérant une certaine suite de bits et en modifiant les suivante.

      Cela pourrait être déclenché par une image (ou photo) envoyée sur le serveur, et récupérée par la suite. Suffit de faire un diff entre l'original et la restitué pour avoir le message; sur une image ça va pas loin, mais quand on commence à pouvoir envoyer des vidéos, ou de très gros fichier (stockage cloud), tu peux faire pas mal de truc.

      Tu peux aussi repérer une séquence et prendre la suite comme mise à jour ou instruction.

      Bref bloquer les flux non autorisé, c'est la base, mais comment sécuriser ce qui est autorisé?

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Mitigeons....

        Posté par  . Évalué à 3. Dernière modification le 05/10/18 à 15:01.

        Ce que je dis reste vrai.
        Si:
        * Ton serveur n'est accessible depuis l'extérieur que pour ses services officiels (serveur web/ftp/smtp/whatever).
        * Ton serveur ne peut pas sortir de ton infra excepté pour répondre à ses services officiels.

        Une prise de contrôle est quasi impossible.

        En outre, dans les hypothèses que tu emets impliquent savoir que tel service est hébergé par un serveur compromis par la vilaine puce… compliqué, encore plus aujourd'hui à l'ère de la VM et des hyperviseurs …

        Bien souvent, les serveurs physiques ne servent plus qu'à faire des tourner des machines virtuelles.

        Je persiste à croire que ce genre d'attaque est inefficace sur une infra bien configurée.

        • [^] # Re: Mitigeons....

          Posté par  (site Web personnel) . Évalué à 7.

          Oui mais si la puce a aussi pris le contrôle de ton firewall ? Et laisse gentiment passer les paquets marqués d'une certaine façon ? Et si tout matériel d'analyse que tu pourrais utiliser est aussi contrôlé par cette puce ?

          De toute évidence cette puce a été conçue par une intelligence sur-humaine. Peut-être une IA au service des illuminatis, peut-être des extra-terrestres, on n'en sait rien et il ne faut pas spéculer trop rapidement sans preuve. Mais de toute évidence cette puce est extrêmement puissante puisque elle réussi a évader toute collecte de preuve sérieuse.

          En plus, il semblerait qu'elle puisse aussi prendre le contrôle des humains puisqu'elle a fait démentir aussi bien les contacts d'Amazon que ceux d'Apple …

          Bref, méfiez-vous et restez loin des Chinois.

          • [^] # Re: Mitigeons....

            Posté par  . Évalué à 4.

            Bref, méfiez-vous et restez loin des Chinois.

            背叛者

          • [^] # Re: Mitigeons....

            Posté par  . Évalué à 2.

            On parle de carte mère embarqué dans du serveur supermicro là … autant dire, du "cheap".

            Les firewalls ont bien souvent du matos très "spécialisés" pour pouvoir faire leurs jobs vite sur un hard qui est loin d'être sur-performant (logique hein, si tu mets un xeon pour faire firewall, ça va pas le faire d'un point de vue conso elec, etc…).

            D'ici à ce que les vilains chinois réussissent à compromettre du matos Cisco, Fortinet & co, je crois qu'on peut encore dormir sur nos deux oreilles.

            Mais pour synthétiser, le secret réside dans:

            • Matrice de flux et firewalling précis et exhaustif.

            • Filtrage par du firewall "hardware".

            • Isolation par VLAN via du switch "hardware" de marque différente du firewall.

            • Eventuellement, second firewall d'une marque différente du premier pour filtrer les flux issus du premier.

            Après, c'est sur que si le contrôle du hard est totale (dans l'hypothèse ou tout le monde se serait fait p0wn par les puces chinoises) bein on est foutu…

            • [^] # Re: Mitigeons....

              Posté par  . Évalué à 6.

              Pas la peine de trouer les Cisco suffit juste de trouver la l'une des backdoors NSA ;)

              Ensuite si la puce est dans la machine (dans ce cas précis j'ai de très gros doute, elle me parait vraiment petite), tu as juste à passer par les flux autorisés, et modifier le contenu.

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: Mitigeons....

      Posté par  . Évalué à 1.

      Le seul covert channel qui serait réellement indécelable serait, éventuellement, de passer par des requêtes DNS…

      Indécelable?
      Pas avec DNSChef + mon dernier conky :P

    • [^] # Re: Mitigeons....

      Posté par  . Évalué à 2.

      je n'y connais rien en sécurité réseau, alors je vais sans doute dire une énormité : si le fameux grain de riz chinois est soudé dans la machine qui est censée contrôler ces flux réseau est-ce qu'on ne peut pas imaginer que ce contrôle soit reconfiguré pour laisser passer un flux de plus, même temporairement ????

      Envoyé depuis mon Archlinux

      • [^] # Re: Mitigeons....

        Posté par  . Évalué à 2.

        Tout le secret ici est de faire les filtrages en aval des serveurs: firewall, passerelles, etc…

        • [^] # Re: Mitigeons....

          Posté par  (site Web personnel) . Évalué à 2.

          Eux-même vulnérables :D

          • [^] # Re: Mitigeons....

            Posté par  (site Web personnel) . Évalué à 5.

            Tout le secret est de faire le filtrage avec un vieux 486 fabriqué en France dans les années 90.

            • [^] # Re: Mitigeons....

              Posté par  (site Web personnel) . Évalué à 3.

              Si tu mixtes le filtrage sur plusieurs niveaux avec du matériel de différent constructeur et sur des OS différents, le risque devient très très faible SAUF si tu subit une attaque de type militaire avec de la télémesure… Mais bon, on change alors d'échelle.

              Le soucis est aussi de bien empiler deux couches de filtrage, d'être compétent sur ces deux OS et d'avoir le temps pour gérer cela !

    • [^] # Re: Mitigeons....

      Posté par  . Évalué à 2.

      mais je doute que les chinois aient poussé le vice jusque là.

      Pourquoi?

  • # ajouter des puces à un PCB = fantasme

    Posté par  . Évalué à 3. Dernière modification le 05/10/18 à 13:51.

    Faire un circuit imprimé qui fonctionne (et en coûtant le moins possible) est un exercice difficile. Modifier des spécs' en solo au pied levé sur un produit industriel à la Mc Gyver est impossible: rajouter une puce à un PCB sans modifier le circuit imprimé c'est mission impossible, ou alors il faut impliquer le fabriquant. Comme dit à divers endroits, un composant à 3 pins ne peut pas faire grand chose, les protocoles de communication minimaux à bande passante de merde incluent 3 pins + power supply&ground

    Pour éventuellement faire un truc comme ça, il faut faire un puce complexe avec des specs cachées pour par exemple un contrôleur ethernet ou qqch comme ça et faire des prix tellement attractifs (ou être dans une telle situation de monopole) que ça se retrouve dans une portion considérable de cartes/systèmes + certainement une couche logicielle/firmware pour activer les fonctions d'espionnage (comme dans des CPUs qui peuvent sortir de veille tout seul et… wait =:-O)

    • [^] # Re: ajouter des puces à un PCB = fantasme

      Posté par  . Évalué à 4.

      Pour que cela fonctionne, il faut que le µP puisse intervenir sur le code/mémoire du cpu de management. Le grain de riz peut modifier un petit bout de l'ordinateur, mais il n'aura jamais la capacité de filtrer le contenu réseau pas exemple.

      "La première sécurité est la liberté"

    • [^] # Re: ajouter des puces à un PCB = fantasme

      Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 05/10/18 à 17:37.

      rajouter une puce à un PCB sans modifier le circuit imprimé c'est mission impossible, ou alors il faut impliquer le fabriquant

      Si par fabricant on entend le fabricant du PCB, c'est possible.
      La sortie CAO (souvent un fichier RS-274X, même si de nouveaux standards arrivent sur le marché) peut se modifier directement en usine (édition du fichier).

      un composant à 3 pins ne peut pas faire grand chose, les protocoles de communication minimaux à bande passante de merde incluent 3 pins + power supply&ground

      On peut faire pas mal de choses avec 3 pins.
      P.ex. le protocole 1-wire permet d'alimenter et de communiquer avec 2 fils en tout (1 pin = masse, 1 pin = alim. positive + donnée). Ce protocole est utilisé, entre autres, pour de l'EEPROM.
      Par contre il faut que le composant en face comprenne ce protocole.
      Je n'ai pas connaissance que ce fut utilisé sur des cartes mères de PC, a contrario du Microwire par Intel. Mais Microwire c'est plus que 3 pins.

      Dans le cas présent, le composant étant "custom", s'il a 3 pins c'est que c'est sûrement le bon compromis entre fonction à réaliser et surface dispo' sur la carte.

      Pour éventuellement faire un truc comme ça, il faut faire un puce complexe avec des specs cachées

      Possible. D'un autre côté, un composant aussi petit et ressemblant vaguement à une résistance ou une capa' CMS est plus anodin (passe plus facilement inaperçu).

      • [^] # Re: ajouter des puces à un PCB = fantasme

        Posté par  . Évalué à 2.

        je ne doute pas qu'on puisse faire de la retouche de circuit imprimé entre les plans et la prod finale, le soucis c'est le nombre de personnes à impliquer pour faire quelque chose de discret et de faire qqch de suffisamment non-intrusif pour que le comportement obtenu reste le comportement attendu

        rhooo ça a l'air cool ce protocole « 1-wire » je vais enquêter (merci)
        https://en.wikipedia.org/wiki/1-Wire

        • [^] # Re: ajouter des puces à un PCB = fantasme

          Posté par  (site Web personnel) . Évalué à 3.

          À priori le CPU semble "déguisé" en une capacité de découplage ce qui nécessite de contourner un certains nombre de contrôle visuelle et peux justifier une mise à jour proche du process de fabrication. De plus l'objet est soudé sur un emplacement de développement ce qui évite de repasser les contrôles à effectuer lors de la conception. Une capacité de découplage supplémentaire sur un lien I2C ne me semble pas suspect même si je ne suis pas un expert.

          Personnellement, sans tomber dans la théorie du complot, ce genre d'attaque est plausible même si l'impact peut sans doute être mitigé par le logiciel (ou micro logiciel). Reste à savoir si, l'impact peut être visible: sur la machine (à priori oui), sur le réseau interne ou sur le réseau externe. De plus on peut aussi imaginer une action couplé avec un agent infiltré qui "active" ou pas l'objet.

  • # Hors-sujet complet

    Posté par  . Évalué à 10.

    Comme un certain nombre de commentaires reprennent l'appellation "grain de riz" pour désigner la puce électronique, voici ce que wikipedia raconte :

    La classification usuelle du riz, suivant la taille de ses grains, dont la taille des variétés commerciales est généralement comprise entre 2,5 mm et 10 mm

    La puce dont il est question n'est, au mieux, que la moitié d'un petit grain de riz.

  • # Les chinois

    Posté par  . Évalué à 4. Dernière modification le 06/10/18 à 17:51.

    Ce sont qui, les chinois en question ?

    Des constructeurs de semi-conducteurs ? de carte-mères ? les services secrets chinois ? les chinois du FBI ? Donald Trump déguisé en mandarin ? d'humbles paysans cultivant du Sorgho ?

    Ce xénophobisme me rend malade. Et qu'on vienne le relayer impunément dans un titre de journal sur mollusqueFR encore plus. Mais bon c'est pas grave, ils se ressemble tous de toute manière.

    • [^] # Re: Les chinois

      Posté par  . Évalué à 10.

      Ce sont qui, les chinois en question ?

      Tout le monde pige lorsqu'on dit « les américains ont fait la guerre à l'Irak pour le pétrole ».
      C'est pareil pour « les chinois sont de vilains espions », tous les non sodomites de drosophiles comprennent.

      • [^] # Re: Les chinois

        Posté par  . Évalué à 2. Dernière modification le 07/10/18 à 00:28.

        C'est marrant parce que si tu tapes "les américains ont fait la guerre à l'Irak" tu tomberas sur pleins d'extraits d'articles :

        "Le 20 mars 2003, l'armée américaine intervient en Irak"
        "Bush a envahi l'Irak"
        "les soldats américains"

        Faut arriver sur un article de Slate.fr (média qu'on ne peut pas vraiment qualifier de sérieux) pour entendre parler des américains qui font la guerre.

        Et je n'ai jamais dit que c'était plus intelligent de balancer tous les américains dans le même panier dans ce genre de cas, d'autant plus quand on connait vaguement la diversité du pays en question.

        Reste qu'en plus si on n'est pas un sodomite de drosophile on comprend aisémment que non, l'origine du coupable n'est pas claire quand un composants soit disant espion serait installé dans une carte-mère produit certe dans une usine asiatique, mais par une société basée à San José, CA. Aux dernières nouvelles, San José n'est pas une ville du territoire chinois.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.