La tempête causée par une longue enquête, parfois imprécise, de Businessweek concernant l’installation, en usine, de micro-puces espions dans les cartes-mères fabriquées par Super Micro de serveurs utilisés chez Apple et Amazon s’amplifie. Chacune des entreprises concernées a, initialement, réfuté les affirmations de l’article auprès des journalistes menant l’enquête. Après publication de celle-ci, et dans un mouvement très rare pour l’entreprise, Apple a publié une longue tribune réfutant chacun des arguments de celui-ci.

Amazon et Super Micro ont fait de même, avec des réfutations très fermes là aussi.

Amazon : il y a trop d’inexactitudes pour les compter

Steve Schmidt, Chief Information Security Officer Amazon, indique ainsi : « À aucun moment, passé ou présent, nous n’avons rencontré de problèmes liés à du matériel modifié ou à des puces malveillantes dans les cartes mères SuperMicro des systèmes Elemental ou Amazon. Nous n’avons pas non plus engagé d’enquête avec le gouvernement.

Il y a tellement d’inexactitudes dans cet article en ce qui concerne Amazon qu’elles sont difficiles à compter. Nous n’en aborderons que quelques-unes ici. Tout d’abord, lorsque Amazon envisageait d’acquérir Elemental, nous avons fait preuve de beaucoup de diligence avec notre propre équipe de sécurité et avons également chargé une société de sécurité externe de procéder à une évaluation de la sécurité. Ce rapport n’a identifié aucun problème avec les puces ou le matériel concernés. Comme d’habitude avec la plupart de ces audits, il proposait certains éléments de correction et nous avons résolu tous les problèmes critiques avant de procéder à l’acquisition. C’était le seul rapport de sécurité externe commandé. Bloomberg n’a certes jamais vu ni ce rapport de sécurité, ni aucun autre (et a refusé de nous communiquer les détails d’un prétendu autre rapport).

L’article affirme également qu’après avoir appris les modifications du matériel et les puces malveillantes dans les serveurs Elemental, nous avons effectué un audit des cartes mères SuperMicro à l’échelle du réseau et découvert les puces malveillantes dans un centre de données de Beijing. Cette affirmation est également fausse. La première et la plus évidente raison est que nous n’avons jamais trouvé de matériel modifié ni de puces malveillantes dans les serveurs Elemental. En dehors de cela, nous n’avons jamais trouvé de matériel modifié ni de puces malveillantes dans les serveurs de nos centres de données. Et cette idée que nous avons vendu le matériel et le centre de données en Chine à notre partenaire Sinnet parce que nous voulions nous débarrasser des serveurs SuperMicro est absurde. Sinnet exploitait ces centres de données depuis notre lancement en Chine. Ils les possédaient depuis le début. Le matériel que nous leur avons «vendu» était un contrat de transfert d’actifs imposé par la nouvelle réglementation chinoise concernant le cloud non chinois.

Amazon applique des normes de sécurité strictes tout au long de sa chaîne logistique: il examine tous les matériels et logiciels avant de commencer la production et effectue des audits de sécurité réguliers en interne et avec nos partenaires de la chaîne logistique. Nous renforçons encore notre sécurité en mettant en œuvre nos propres conceptions matérielles pour les composants critiques tels que les processeurs, les serveurs, les systèmes de stockage et les équipements de réseau.

La sécurité sera toujours notre priorité absolue. AWS fait confiance à de nombreuses entreprises parmi les plus sensibles au risque dans le monde, précisément parce que nous avons démontré cet engagement indéfectible à faire passer leur sécurité avant toute autre chose. Nous sommes constamment vigilants face aux menaces potentielles pour nos clients et nous prenons des mesures rapides et décisives pour y faire face à chaque fois qu’ils sont identifiés ».

« Super Micro n’a jamais trouvé de puces malveillantes »

Michael Kalodrich, pour Super Micro, n’est pas moins incisif : « Dans un article publié aujourd’hui, il est allégué que les cartes mères Supermicro vendues à certains clients contenaient des puces malveillantes en 2015. Supermicro n’a jamais trouvé de puces malveillantes, ni informé aucun client que de telles puces auraient été trouvées.

Chacune des sociétés mentionnées dans l’article (Supermicro, Apple, Amazon et Elemental) a publié des déclarations fermes rejetant les affirmations.

Supermicro n’a jamais été contacté par des agences gouvernementales, nationales ou étrangères, concernant ces allégations.

Supermicro prend toutes les questions de sécurité très au sérieux et investit de manière continue dans les fonctionnalités de sécurité de ses produits. La fabrication de cartes mères en Chine n’est pas propre à Supermicro et est une pratique courante dans l’industrie. Presque tous les fournisseurs de systèmes utilisent les mêmes fabricants sous contrat. Supermicro qualifie et certifie chaque fabricant sous contrat et inspecte régulièrement leurs installations et leurs processus ».

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.