Suite à l’article publié ce matin par Bloomberg, selon lequel plusieurs sociétés telles qu’Apple et Amazon auraient trouvé des puces espions dans leurs serveurs, vient la réponse de Cupertino.
Dans une déclaration publiée par la CNBC, Apple a déclaré que le rapport publié par Bloomberg était faux et que les journalistes du journal n’avaient pas vérifié la fiabilité de leurs sources. Plus précisément, l’accusation parlait de serveurs fournis par Super Micro, sur lesquels une puce espion avait été insérée par le gouvernement chinois. Apple explique que la relation avec Super Micro a pris fin en 2016 et a permis de détecter un pilote infecté sur un seul serveur au sein d’un laboratoire. Il s’agissait d’un cas isolé et non d’une attaque ciblée, sans conséquence. L’incident avait cependant déjà été rapporté l’année dernière par divers médias.
Bloomberg affirme qu’Apple a découvert cette puce espion en mai 2015 et en a secrètement informé le FBI quelques jours plus tard. Le gouvernement chinois aurait inséré cette puce pour espionner les sociétés américaines et leurs clients. En bref, un véritable « piratage industriel ».
Voici la réponse complète fournie par Apple :
« Tout au long de 2017, Bloomberg nous a contactés à plusieurs reprises à la suite de demandes, parfois vagues et parfois complexes, concernant un prétendu incident de sécurité chez Apple. À chaque fois, nous avons mené des enquêtes internes rigoureuses en fonction de leurs demandes et chaque fois, nous n’avons trouvé absolument aucune preuve à l’appui de cette hypothèse. Nous avons à plusieurs reprises et constamment proposé des réponses factuelles, en enregistrant tout et en niant tous les aspects de l’histoire de Bloomberg sur Apple.
Nous pouvons être très clairs à ce sujet: Apple n’a jamais trouvé de puces malveillantes, de « manipulations matérielles » ou de vulnérabilités spécialement placées sur un serveur. Apple n’a jamais eu de contact avec le FBI ou d’autres agences à la suite d’un tel incident. Nous ne sommes au courant d’aucune enquête du FBI, pas plus que nos contacts dans les forces de l’ordre.
En réponse à la dernière version du rapport de Bloomberg, nous présentons les faits suivants: Siri et Topsy n’ont jamais partagé les serveurs; Siri n’a jamais été distribué sur des serveurs qui nous ont été vendus par Super Micro; et les données de Topsy ont été limitées à environ 2 000 serveurs Super Micro, et non à 7 000. Aucun de ces serveurs n’a trouvé de puce malveillante.
En pratique, avant que les serveurs ne soient mis en production par nos soins, ils sont inspectés afin de détecter d’éventuelles failles de sécurité. Nous mettons à jour tous les microprogrammes et logiciels avec les dernières protections. Nous n’avons détecté aucune vulnérabilité inhabituelle sur les serveurs que nous avons achetés auprès de Super Micro lorsque nous avons mis à jour le micrologiciel et le logiciel conformément à nos procédures standard.
Nous sommes profondément déçus que, dans leurs relations avec nous, les journalistes de Bloomberg n’aient pas été ouverts à la possibilité qu’eux-mêmes ou leurs sources aient pu se tromper ou être mal informés. Notre meilleure hypothèse est qu’ils confondent leur histoire avec un crash de 2016 dans lequel nous avons découvert un pilote infecté sur un seul serveur Super Micro dans l’un de nos laboratoires. Cet événement, limité à une seule fois, était aléatoire et ne constituait pas une attaque ciblée sur Apple.
Bien qu’il n’y ait pas eu de plainte concernant la participation de données de clients, nous prenons ces allégations au sérieux et confirmons à nos clients que nous mettons tout en œuvre pour protéger les informations personnelles que nous utilisons. Nous voulons également qu’ils sachent que ce que Bloomberg rapporte sur Apple est inexact.
Apple a toujours fait preuve de transparence quant à la manière dont nous gérons et protégeons les données. Si jamais un événement comme celui rapporté par Bloomberg avait eu lieu, nous aurions été disponibles pour en parler et pour collaborer étroitement avec la police. Les techniciens Apple effectuent des contrôles de sécurité réguliers et rigoureux pour assurer la sécurité de nos systèmes. Nous savons que la sécurité est une course sans fin et c’est pourquoi nous voulons renforcer nos systèmes contre les pirates informatiques et les cybercriminels de plus en plus sophistiqués qui veulent voler nos données. »
