A chaque jour, son épisode du Chip Gate ! Après le rebondissement d’hier soir (où Bloomberg amenait Yossi Appleboum un nouvel expert sécurité), nombreux sont ceux à douter de l’existence de la puce espion, voire à suggérer que Bloomberg se soit tout simplement trompé.
Deux sénateurs, Marco Rubio et Richard Blumenthal, ont décidé de faire le point en convoquant le principal intéressé du dossier. Dans ce courrier adressé à Charles Liang, le CEO de Supermicro, il est expressément demandé des informations -sous forme de 8 questions- sur les cartes mères vendues à Apple, Amazon et au gouvernement américain qui contiendraient des micro-puces espions. Rappelons que tous les intervenants (y compris Supermicro, Apple et Amazon ou les agences gouvernementales) ont publié des démentis.
1.) Quand Supermicro a-t-elle pris connaissance pour la première fois des rapports faisant état de composants malveillants dans ses ordinateurs et son matériel ? Supermicro a-t-elle déjà constaté une altération de ses composants ou programmes concernant ses produits ?
2.) Supermicro a-t-elle mené une enquête sur sa chaîne de fournisseurs pour identifier d'éventuelles modifications ou problèmes de sécurité de ses produits ? Si elle a été amenée à constater des altérations, a-t-elle rompu les liens avec ces fournisseurs?
3.) Dans l’hypothèse où Supermicro aurait constaté ou eu connaissance d'une modification sur le matériel ou un logiciel, a-t-elle pris des mesures pour supprimer le produit de la chaîne d'approvisionnement ?
4.) Lorsque, en février 2017, The Information signalait qu'Apple avait découvert un micrologiciel compromis, Supermicro avait-elle mené une enquête sur les risques d’attaques de sa chaîne de production, comme M. Leng l'avait promis? Si oui, quels ont été les résultats de cette enquête?
5.) Supermicro a-t-elle coopéré avec les forces de l'ordre aux États-Unis pour traiter ces informations ? Si une anormalité était constatée, allez-vous fournir aux autorités américaines une liste des clients potentiellement concernés et leur fournir des informations ?
6.) Supermicro a-t-elle mis en place des procédures de contrôle ou des audits pour évaluer sa chaîne d’approvisionnement et détecter / limiter les tentatives de modifications de ses produits ?
7.) Si une falsification est constatée, Supermicro estime-t-elle qu’elle puisse être corrigée avec des mises à jour de sécurité, des modifications de la configuration ou des défenses du système d'exploitation ?
8.) Le gouvernement chinois a-t-il déjà demandé l’accès aux informations de sécurité confidentielles de Supermicro ou cherché à restreindre les informations relatives à la sécurité des produits Supermicro ?
