Espionnage industriel

La Chine prise la main dans le sac

L’essentiel des équipements électroniques mondiaux est fabriqué en Chine. Depuis des années, les services de renseignement occidentaux craignent que leurs rivaux chinois n’en profitent pour pirater le matériel produit sur place, leur donnant ainsi accès à leurs plus grands secrets. Leurs craintes étaient justifiées, a révélé hier le magazine Bloomberg Businessweek.

Comment le piratage a-t-il été découvert ?

Selon le magazine, les services de renseignement américains avaient eu vent dès le début de 2014 de l’intention des Chinois d’insérer des puces espionnes dans les cartes mères vendues par la société américaine Super Micro, considérée comme le numéro un mondial de la vente de cartes mères pour les serveurs informatiques.

Des serveurs basés sur les produits de Super Micro sont en usage dans d’innombrables centres de données à travers le monde.

C’est toutefois Amazon qui a permis aux Américains de confirmer leurs soupçons. L’entreprise avait l’intention d’acquérir une firme américaine, Elemental Technologies, spécialisée dans la compression des signaux vidéo. Les serveurs mis au point par Elemental utilisaient des produits de Super Micro. Dans le cadre de sa vérification préalable à cette transaction, Amazon a envoyé certains de ces serveurs à une firme de sécurité informatique basée au Canada, en Ontario. Le nom de cette firme n’est pas précisé dans l’article. C’est elle qui aurait repéré la puce, de la taille d’un grain de riz tout au plus, en constatant qu’elle n’apparaissait pas dans les dessins de conception de la carte mère.

Que faisait cette puce ?

Puisqu’elles étaient très petites, ces puces avaient en soi une capacité limitée. Elles étaient toutefois capables, dans un premier temps, de forcer le serveur à communiquer avec un serveur extérieur qui pouvait, lui, contenir beaucoup plus d’instructions, puis, dans un deuxième temps, de forcer le serveur à suivre ces instructions.

Pourquoi se méfiait-on de la Chine ?

« Il y a longtemps que les experts parlent des possibilités d’attaques par la chaîne d’approvisionnement, et la Chine était évidemment la première à pouvoir le faire, puisqu’à peu près tout est fabriqué chez elle », résume José Fernandez, professeur spécialisé en sécurité informatique à Polytechnique Montréal.

« Il y a 15 ou 20 ans, l’inquiétude était [que les Chinois] ferment les valves. Plus récemment, on a commencé à s’inquiéter de la possibilité de modifications clandestines du matériel. »

Quelles seront les conséquences pour la Chine ?

Il y a une différence entre soupçonner la Chine de manipuler le matériel informatique fabriqué sur son territoire et en avoir la confirmation.

Sur Twitter, l’ancien ambassadeur du Mexique en Chine de 2007 à 2013, Jorge Guajardo, a élaboré une liste de conséquences possibles.

« Premièrement, cela met le dernier clou dans le cercueil des aspirations chinoises à développer une industrie des microprocesseurs. Il n’y aurait pas de marché pour eux et la Chine n’est pas assez grande. »

La nouvelle, croit-il, pourrait aussi accélérer des décisions de relocaliser la production faite en Chine, maintenant qu’il a été prouvé que l’armée chinoise pouvait forcer des entreprises privées à agir de la sorte.

« Il n’y a rien à l’intérieur de la Chine que l’Armée populaire de libération de Chine ne puisse souiller », estime-t-il.

Et Huawei ?

La nouvelle donne aussi des munitions aux États-Unis pour convaincre d’autres pays, alliés ou non, de se méfier de Huawei et de ZTE, deux fabricants chinois d’équipements de télécommunication, estime M. Guajardo.

Le cas de Huawei, en particulier, a souvent suscité des inquiétudes au Canada, puisque ses équipements sont bien présents dans les grands réseaux canadiens de télécommunications sans fil. 

Les États-Unis et l’Australie, deux pays partenaires du Canada dans le renseignement, ont déjà pris des mesures pour exclure de la vente certains équipements de Huawei ou de ZTE.

Le ministre fédéral de la Sécurité publique, Ralph Goodale, a confirmé il y a quelques jours que le Canada menait une analyse de sécurité nationale pour réduire les risques liés aux équipements de télécommunication fabriqués par des entreprises étrangères. Cette analyse survient au moment où les grands réseaux commencent à envisager leur passage à la technologie 5G, qui nécessitera de très importants investissements.

Telus s’est associée à Huawei pour lancer en juin 2017 un projet pilote de recherche sur la technologie 5G.

Quelles entreprises ont été touchées ?

Le magazine parle d’au moins 30 entreprises américaines, dont Apple et Amazon. Les deux sociétés ont toutefois rejeté ces informations avec véhémence, niant avoir jamais été victimes d’un tel piratage. Bloomberg dit s’appuyer sur six sources gouvernementales liées à la sécurité nationale et trois sources haut placées chez Apple.

Des serveurs d’Elemental se trouvaient aussi au sein des installations du département de la Défense des États-Unis, de la CIA et même de navires de guerre, mais on ignore s’ils étaient équipés de la puce en cause.

Au Canada, le Centre de la sécurité des télécommunications, l’organisme responsable de la sécurité informatique du gouvernement canadien, n’a pas répondu à nos questions sur l’utilisation éventuelle de tels équipements au sein de l’appareil public. De même, on ne nous a pas dit si les entreprises avaient été avisées du problème.

« Le Centre canadien pour la cybersécurité a pris connaissance du rapport de Bloomberg et prend très au sérieux l’intégrité de la chaîne d’approvisionnement », a-t-on simplement reconnu dans un courriel, avant de dire que « chaque jour, le Centre bloque des centaines de millions d’activités malveillantes qui ciblent les réseaux gouvernementaux ».

Est-il possible de vérifier si son serveur est infecté ?

La puce avait la taille d’un grain de riz et était conçue pour ressembler à des composantes que l’on retrouve par centaines sur une carte mère. D’autres versions de cette puce, selon Bloomberg, étaient encore plus minces et étaient insérées entre les couches de fibres de verre qui constituent la plaque sur laquelle sont fixées les composantes de la carte, à l’abri des regards.

« Ça prend des gens vraiment calés » pour détecter une modification de ce genre, constate Michel Dagenais, professeur spécialisé en matériel au département de génie informatique et de génie de Polytechnique Montréal.

« À un tel niveau de sophistication, à mon avis, il faut que des agences gouvernementales soient impliquées. Qu’une petite entreprise à Montréal soit en mesure de vérifier ses serveurs, ça ne me semble pas réaliste. »

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.