Des soupçons pèsent sur certains composants électroniques fabriqués en Chine qui pourraient intégrer des « portes dérobées » matérielles. Ce sont des mouchards invisibles et quasi indétectables, installés directement à l’usine.
La menace de la « chaîne d’approvisionnement »
Le problème est d’une complexité redoutable. Aujourd’hui, presque tous nos appareils électroniques sont assemblés avec des composants qui viennent de partout. Et une grande majorité vient de Chine.
Cette chaîne d’approvisionnement mondiale est devenue un maillon faible. Un État ou un groupe de pirates pourrait compromettre un maillon de cette chaîne. Pour insérer une puce espionne ou modifier un composant avant même qu’il ne soit intégré à votre appareil.
Le cheval de Troie parfait : le malware matériel
Un logiciel malveillant, un antivirus peut le détecter et le supprimer. Mais un malware « matériel », c’est une tout autre histoire. C’est une modification physique d’un circuit imprimé. Ou une instruction cachée dans le micro-code d’un processeur ou la RAM.
Par définition, il est invisible pour tous les logiciels de sécurité. Car il opère à un niveau bien plus bas. Avant même que le système d’exploitation ne démarre. On ne peut le détecter que par une analyse physique du composant. Une opération que personne ne fait sur un produit de grande consommation.
A quoi pourrait servir une telle porte dérobée ?
Une fois activée à distance, cette porte dérobée pourrait donner un contrôle total au pirate. Il pourrait intercepter toutes les données qui passent. Même si elles sont chiffrées par un VPN. Il pourrait activer le micro ou la caméra sans que vous le sachiez. Ou utiliser l’appareil pour infiltrer tout un réseau d’entreprise.
Pour un État, c’est l’outil d’espionnage ultime. Pour un groupe criminel, c’est la garantie d’un accès privilégié pour voler des données.
Des soupçons qui ne datent pas d’hier
Cette menace n’est pas que de la théorie. Des cas ont déjà fait la une. L’affaire « Supermicro » en 2018 a marqué les esprits. Bloomberg affirmait que de minuscules puces espionnes chinoises avaient été trouvées sur les cartes mères de serveurs, des serveurs utilisés par Apple et Amazon. Même si les entreprises ont démenti, l’incident a mis en lumière la vulnérabilité de la chaîne d’approvisionnement.
Comment se prémunir d’un danger invisible ?
Pour le simple consommateur, la protection est quasi impossible. Difficile de savoir si un appareil est « Made in China » de A à Z. Tant les chaînes de production sont mondialisées.
La seule parade, c’est une prise de conscience au niveau des États et des grandes entreprises. Qui commencent à relocaliser la production des composants stratégiques. Et à mettre en place des contrôles bien plus stricts. Pour nous, utilisateurs, cette affaire est un rappel. La confiance que nous mettons dans le matériel que nous achetons est peut-être le plus grand pari que nous faisons sur notre sécurité.
