Espionnage chinois d’Apple et Amazon: après la révélation tonitruante, les doutes

Peu à peu, la stupeur des premiers jours se dissipe. Dans une enquête étayée, menée sur plusieurs années auprès de dix-sept sources anonymes, Bloomberg révélait la semaine passée l'existence d'une affaire d'espionnage d'une trentaine d'entreprises, Apple et Amazon en tête, par la Chine. En cause, des puces "pas plus grosses qu'un grain de riz", implantées dans leurs serveurs respectifs pour mieux récupérer des informations. Parmi les acteurs incriminés dans cet espionnage sur le long terme, des sous-traitants chinois et une unité de l’armée populaire chinoise spécialisée dans le piratage de matériel.

Une série de démentis

Très rapidement, Apple et Amazon ont fait valoir leurs démentis. Précis, factuels et argumentés, ils détonnent par leur fermeté. Les deux firmes assurent que la plupart des allégations de Bloomberg sont fausses et qu’aucune puce suspecte n’a été découverte sur leurs serveurs. 

"Apple n'a jamais trouvé de puces malveillantes, de manipulations matérielles ou de vulnérabilités insérées de manière intentionnelle sur un serveur. Apple n'a jamais eu aucun contact avec le FBI ni aucune autre agence à propos d'un tel incident. Nous ne sommes au courant d'aucune enquête du FBI, pas plus que nos contacts dans le domaine de l'application de la loi", peut-on lire chez Apple. Le démenti a été réitéré ce dimanche, cette fois-ci auprès du Congrès, par le biais d'une lettre rédigée par son vice-président en charge de la sécurité. "Les outils de sécurité propriétaires d’Apple recherchent en permanence ce type de trafic sortant, car il indique l’existence de programmes malveillants ou d’autres activités malveillantes. Rien n'a jamais été trouvé", tranche-t-il, dans le document récupéré par Reuters. 

Les agences américaines et britanniques de la cybersécurité ont rejoint Apple et Amazon, quatre jours après la publication de l'article. Toutes deux n’ont pas réussi à recouper les découvertes de Bloomberg. "Comme notre homologue au Royaume-Uni, le National Cyber Security Center, nous n’avons pas, à ce stade, de raison de douter des déclarations des entreprises impliquées", mentionne le communiqué officiel de l’autorité américaine de sécurité nationale, le DHS.

Les experts dubitatifs

Les réactions d'experts en sécurité viennent progressivement s'entremêler à ces démentis officiels. Un nombre grandissant d'entre eux pointent les failles de l'article initial. Les dix-sept sources mentionnées sont toutes anonymes. Aucun document ne vient corroborer leurs témoignages. La fiabilité du rapport d'analyse mentionné pour prouver l'existence d'une puce dans les serveurs d'Amazon ne tient qu'à l'une de leurs sources, seule à l'avoir visionné. Seules des illustrations de cette même puce sont fournies et aucune photo ne vient compléter l'article. 

Kim Zetter, journaliste spécialisée en cybersécurité, fait remarquer que le dessin de la puce présent dans l'article est une illustration réalisée par un designer. 

Thomas Rid, professeur à l'Université John Hopkins et l'un des premiers à avoir relayé l'article de Bloomberg, estime que l'affaire pourrait durablement nuire à la réputation du journal américain en matière de cybersécurité. 

Le chercheur en sécurité informatique Dan Kaminsky émet lui aussi ses doutes vis-à-vis de cette affaire d'espionnage, qu'il qualifie de "bizarre". 

Malgré ces démentis successifs, Bloomberg n'est pas revenu jusqu'à présent sur sa version des faits. Ses révélations ont été portées par un contexte bien particulier. Elles mettent en lumière la dépendance progressive des Américains aux usines et composants chinois pour la fabrication de leurs produits technologiques, décriée dans le pays, en particulier par les conservateurs.

Par ailleurs, elles s'inscrivent dans un contexte de méfiance occidentale à l'égard des produits chinois. Fin août, les autorités australiennes ont exclu les firmes chinoises Huawei et ZTE des contrats de mise en place de la future infrastructure 5G du pays. A quelques jours d'intervalle, Donald Trump a également banni les produits Huawei et ZTE de l'administration américaine, pour raison de "sécurité nationale".

Mi-septembre, une note interne de la Commission européenne faisait état d'inquiétudes prononcées face à la percée des chinois Huawei et ZTE. Début octobre, L'Express attribuait des inquiétudes similaires à l'Etat français. Toujours d'après l'hebdomadaire, l’équipement prochain des véhicules officiels par des solutions Huawei susciterait les craintes des services de renseignement.