Le Fail était trop énorme, je ne pouvais pas me contenter des quelques lignes en français sur le sujet, traduites par Korben et reprises par Wikistrike. Aussi je vous ai traduit l’intégralité de l’article original. Rassurez-vous, tout fini bien, et votre PC ne va pas vous exploser à la figure, enfin peut-être…
Une équipe de chercheurs de l'Université de Cambridge, affirme qu'ils ont trouvé des preuves qu'une puce manufacturée par la Chine et utilisée par l'armée américaine, qui contient un point d'accès secret qui pourrait la rendre vulnérable à la falsification par des tiers.
Les chercheurs ont testé une puce militaire des États-Unis dont ils n’ont pas précisé le modèle - mais qui est utilisé dans les armes, et les centrales nucléaires jusqu’aux transports publics - et ont constaté qu’un point d'accès inconnu et « secret » y avait été ajouté, rendant les systèmes et le matériel exposés aux attaques, a dit l'équipe.
Mise à jour ci-dessous
Cambridge, le chercheur de l'Université, Sergei Skorobogatov, explique :
Nous avons scruté la puce de silicium pendant un temps certain et avons trouvé qu'une porte dérobée inconnue auparavant avait été insérée par le fabricant. Cette porte dérobée a une clé, que nous avons réussi à extraire. Si vous utilisez cette clé, vous pouvez désactiver la puce ou la reprogrammer à volonté, même si elle est verrouillée par l'utilisateur avec leur propre clé.
Cette puce est particulièrement répandue dans de nombreux systèmes d’armes, des centrales nucléaires jusqu’aux transports publics. En d'autres termes, cet accès, ou cette porte dérobée, pourrait être transformé en une arme de pointe de type Stuxnet pour attaquer potentiellement des millions de systèmes. L'échelle et la portée d'éventuelles attaques a des implications énormes pour la sécurité nationale et les infrastructures publiques.
Alors que la recherche initiale reste une préoccupation, un certain nombre de points d'interrogations demeurent quant aux conclusions qui en découlent avant que des évidences supplémentaires puissent être tirées.
Il est difficile de savoir si le point d'accès reste isolé à la puce qui a été testée ou si Skorobogatov et ses collègues ont trébuché sur une faille plus large. De même, il reste possible que la « porte dérobée » aurait pu être créée par les forces armées des États-Unis eux-mêmes.
Les nouvelles viennent à un moment où les menaces du cyber-espionnage chinois constituent une préoccupation particulière. Les fabricants chinois de télécommunications ZTE et Huawei font déjà l’objet d'une enquête du gouvernement américain, qui tente d'évaluer si ce duo d'entreprises de télécommunications menace la sécurité nationale.
Les chercheurs de Cambridge n'ont pas voulu nommer la société qui a développée la puce testée, et ils n'ont pas fourni de détails plus précis sur son utilisation. Nous avons contacté Skorobogatov pour plus de détails et nous fournirons les informations supplémentaires que nous aurons.
Hat pointe Paul Denlinger , Bill Bishop via Twitter
Davantage de lectures, dans ce fil intéressant où la question est discutée sur Nouvelles Hacker
Mise à jour : le spécialiste de la Cyber sécurité Errata Security a versé de l'eau froide sur les conclusions de l'équipe de Cambridge, dans un billet de blog qui comprend ce qui suit :
La grande nouvelle aujourd'hui est que les chercheurs ont trouvé des preuves que des fabricants chinois ont mis des portes dérobées dans les puces américaines d’utilisations militaires. Ceci est faux. Ils ont trouvé une porte dérobée dans une puce FPGA populaire, il n'existe aucune preuve que les Chinois l'aient mis là, ou même qu'ils aient été intentionnellement malveillants.
...
Il est important de noter, tandis que les chercheurs ont en effet découvert une porte dérobée, ils ne proposent que de la spéculation, mais aucune preuve, comme la source de la « porte dérobée ». Pour quelqu'un avec beaucoup d'expériences dans ce genre de chose en matière de cyber sécurité logicielle, je doute qu'il y ait rien de malveillant derrière ça.
Il est également important de noter que la question est « la protection de la propriété intellectuelle » dans les FPGA, l’angle de la «sécurité militaire» est vraiment lointain. Les Chinois pourraient renverser le code des FPGA afin de voler les propriétés intellectuelles écrites dans les puces, mais l'idée qu'ils ont fait tout cela pour attaquer l'armée américaine est assez fantaisiste.
Source : thenextweb.com, piste : Wikistrike
