Début 2016, Apple coupait les ponts avec un de ses fournisseurs de serveurs sur fond de problèmes de sécurité. Super Micro Computer, une société américaine qui fait fabriquer ses serveurs aux Pays-Bas, à Taïwan et à San Jose, travaillait depuis des années avec Apple pour garnir ses centres de données.
Seulement voilà, les ingénieurs de Cupertino ont repéré une faille dans le firmware livré par Super Micro, selon The Information qui a obtenu un e-mail d’Apple confirmant que « l’environnement de développement interne a été compromis ».
On n’en saura pas plus sur la nature de cette faille, mais aucun vol de données n’a été constaté. Un porte-parole du constructeur a même nié la présence d’un firmware infecté sur des serveurs provenant de Super Micro. La Pomme a néanmoins retourné quelques uns des serveurs achetés auprès de ce fournisseur. « Nous surveillons constamment les attaques sur nos serveurs, et nous travaillons de près avec nos fournisseurs et nous vérifions régulièrement les équipements pour les malwares », explique ce représentant du groupe.
Apple s’appuie, ou s’appuyait, sur les serveurs de Super Micro pour, entre autres, motoriser Topsy, un service maison qui fournit aux utilisateurs les résultats de recherche d’apps sur l’App Store. Ce sont des centaines de machines qui ont été commandées par Apple auprès de ce fournisseur, qui reste malgré tout un “petit” sous-traitant qui représente tout de même plusieurs dizaines de millions de dollars d’équipement.
Après la découverte de cette faille, Apple a envoyé des ingénieurs et des avocats dans les bureaux de Super Micro afin d’obtenir des informations sur les protocoles de sécurité observés par l’entreprise. Sans révéler aucune donnée sur le problème constaté. Le constructeur californien a fourni le numéro de version du firmware douteux à Super Micro, mais ce numéro n’était pas valide.
Les micrologiciels de Super Micro, accessibles aux clients de l’entreprise depuis un FTP privé, proviennent habituellement de sous-traitants. Dans le cas qui nous intéresse ici, le firmware provenait d’un constructeur de puces réseau. Tau Leng, vice-président en charge de la technologie chez Super Micro, a même demandé à une société de sécurité indépendante de vérifier leurs processus ; le fournisseur a procédé aux améliorations demandées. Mais sans qu’Apple revienne sur sa décision.
Leng explique que seule Apple a rencontré cette faille alors que l’entreprise compte « plusieurs centaines de clients ». L’été dernier, Super Micro indiquait avoir perdu deux clients importants, sans citer Apple dont on a appris au printemps dernier qu’elle développait ses propres serveurs, justement pour éviter ces soucis de sécurité (lire : Apple voudrait fabriquer ses serveurs pour éviter tout espionnage).
