• Catégories
    • Toutes les catégories
    • Planète Warez
      Présentations
      Aide & Commentaires
      Réglement & Annonces
      Tutoriels
    • IPTV
      Généraliste
      Box
      Applications
      VPN
    • Torrent & P2P
    • Direct Download et Streaming
    • Autour du Warez
    • High-tech : Support IT
      Windows, Linux, MacOS & autres OS
      Matériel & Hardware
      Logiciel & Software
      Smartphones & Tablettes
      Graphismes
      Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
      Tutoriels informatiques
    • Culture
      Actualités High-Tech
      Cinéma & Séries
      Sciences
      Musique
      Jeux Vidéo
    • Humour & Insolite
    • Discussions générales
    • Espace détente
    • Les cas désespérés
  • Récent
  • Populaire
  • Résolu
  • Non résolu
Réduire

Planète Warez
,
  • Politique
  • Règlement
  • À propos
  • Annonces
  • Team
  • Tutoriels
  • Bug Report
  • Wiki
    • Light
    • Default
    • Ubuntu
    • Lightsaber
    • R2d2
    • Padawan
    • Dim
    • FlatDark
    • Invaders
    • Metallic
    • Millennium
    • Leia
    • Dark
    • DeathStar
    • Starfighter
    • X-Wing
    • Sith Order
    • Galactic

La marine américaine, l'OTAN et la NASA utilisent les puces de cryptage d'une société chinoise louche

Planifier Épinglé Verrouillé Déplacé Actualités High-Tech
4 Messages 4 Publieurs 85 Vues
    • Du plus ancien au plus récent
    • Du plus récent au plus ancien
    • Les plus votés
Répondre
  • Répondre à l'aide d'un nouveau sujet
Se connecter pour répondre
Ce sujet a été supprimé. Seuls les utilisateurs avec les droits d'administration peuvent le voir.
  • duJambonundefined Hors-ligne
    duJambonundefined Hors-ligne
    duJambon Pastafariste Rebelle
    a écrit sur dernière édition par duJambon
    #1

    Le gouvernement américain avertit que le fabricant de puces de cryptage Hualan a des liens suspects avec l’armée chinoise.

    8d050c88-98e5-407d-b311-870bad202df2-image.png

    Des routeurs TikTok aux routeurs Huawei en passant par les drones DJI, les tensions croissantes entre la Chine et les États-Unis ont rendu les Américains – et le gouvernement américain – de plus en plus méfiants à l’égard des technologies appartenant à des Chinois. Mais grâce à la complexité de la chaîne d’approvisionnement du matériel, les puces de chiffrement vendues par la filiale d’une société spécifiquement signalée dans les avertissements du département américain du Commerce pour ses liens avec l’armée chinoise se sont retrouvées dans le matériel de stockage des réseaux militaires et de renseignement. à travers l’Ouest.

    En juillet 2021, le Bureau de l’industrie et de la sécurité du Département du commerce a ajouté le fabricant de puces de cryptage basé à Hangzhou, en Chine, Hualan Microelectronics, également connu sous le nom de Sage Microelectronics, à sa soi-disant «liste d’entités», une liste de restrictions commerciales vaguement nommée qui met en évidence des entreprises « agissant contrairement aux intérêts de la politique étrangère des États-Unis ». Plus précisément, le bureau a noté que Hualan avait été ajouté à la liste pour “acquisition et … tentative d’acquisition d’articles d’origine américaine à l’appui de la modernisation militaire de l’Armée populaire de libération [de la Chine]”.

    Pourtant, près de deux ans plus tard, Hualan - et en particulier sa filiale connue sous le nom d’Initio, une société initialement basée à Taïwan qu’elle a acquise en 2016 - fournit toujours des puces de microcontrôleur de cryptage aux fabricants occidentaux de disques durs cryptés, dont plusieurs qui figurent comme clients sur leur agences aérospatiales, militaires et de renseignement des gouvernements occidentaux : NASA, OTAN et armées américaine et britannique. Les dossiers d’approvisionnement fédéraux montrent que les agences gouvernementales américaines, de la Federal Aviation Administration à la Drug Enforcement Administration en passant par la marine américaine, ont également acheté des disques durs cryptés qui utilisent les puces.

    La déconnexion entre les avertissements du département du Commerce et les clients du gouvernement occidental signifie que les puces vendues par la filiale de Hualan se sont retrouvées au plus profond des réseaux d’information occidentaux sensibles, peut-être en raison de l’ambiguïté de leur marque Initio et de son origine taïwanaise avant 2016. La propriété chinoise du fournisseur de puces a fait craindre aux chercheurs en sécurité et aux analystes de la sécurité nationale axés sur la Chine qu’ils pourraient avoir une porte dérobée qui permettrait au gouvernement chinois de déchiffrer furtivement les secrets des agences occidentales. Et bien qu’aucune porte dérobée de ce type n’ait été trouvée, les chercheurs en sécurité avertissent que s’il en existait une, il serait pratiquement impossible de la détecter.

    “Si une entreprise figure sur la liste des entités avec un avertissement spécifique comme celui-ci, c’est parce que le gouvernement américain affirme que cette entreprise soutient activement le développement militaire d’un autre pays”, déclare Dakota Cary, chercheur spécialisé sur la Chine à l’Atlantic Council, un Groupe de réflexion basé à Washington, DC. “Cela signifie que vous ne devriez pas acheter chez eux, non seulement parce que l’argent que vous dépensez va à une entreprise qui utilisera ces bénéfices dans la poursuite des objectifs militaires d’un autre pays, mais parce que vous ne pouvez pas faire confiance au produit.”

    Techniquement, la liste des entités est une liste de “contrôle des exportations”, explique Emily Weinstein, chercheuse au Centre pour la sécurité et les technologies émergentes de l’Université de Georgetown. Cela signifie que les organisations américaines n’ont pas le droit d’exporter des composants vers des entreprises figurant sur la liste, plutôt que d’en importer des composants . Mais Cary, Weinstein et le département du Commerce notent qu’il est souvent utilisé comme un avertissement de facto aux clients américains de ne pas acheter auprès d’une société étrangère cotée en bourse. La société de réseautage Huawei et le fabricant de drones DJI ont été ajoutés à la liste, par exemple, pour leurs liens présumés avec l’armée chinoise. “Il est utilisé un peu comme une liste noire”, explique Weinstein. “La liste des entités devrait être une alerte rouge ou peut-être jaune à quiconque au sein du gouvernement américain qui travaille avec cette entreprise pour jeter un second regard sur cela.”

    Lorsque WIRED a contacté le Bureau de l’industrie et de la sécurité du Département du commerce, un porte-parole a répondu que la BRI est empêchée par la loi de commenter à la presse des entreprises spécifiques et que la filiale non cotée d’une entreprise, comme Initio, n’est techniquement pas affectée par l’entité. Liste des restrictions légales. Mais le porte-parole a ajouté que “de manière générale, l’affiliation à un parti inscrit sur la liste des entités doit être considérée comme un” drapeau rouge “”.

    Hualan n’a pas répondu aux multiples demandes de commentaires de WIRED, mais le porte-parole d’Initio, Mike Ching, a répondu dans un communiqué qu’Initio fabrique principalement des puces de contrôleur pour les produits de stockage grand public et que ses “produits actuels sont développés par Initio lui-même”. Il a ajouté que “Initio n’est pas en mesure de définir des portes dérobées pour leurs produits”.

    Les puces Initio de Hualan sont utilisées dans les périphériques de stockage cryptés en tant que contrôleurs de pont, placés entre la connexion USB dans un périphérique de stockage et des puces de mémoire ou un disque magnétique pour crypter et décrypter les données sur une clé USB ou un disque dur externe. Les démontages des chercheurs en sécurité ont montré que les fabricants de périphériques de stockage, notamment Lenovo, Western Digital, Verbatim et Zalman, ont tous parfois utilisé des puces de chiffrement vendues par Initio.

    Mais trois fabricants de disques durs moins connus, en particulier, intègrent également les puces Initio et répertorient les agences gouvernementales, militaires et de renseignement occidentales comme clients. Le fabricant de disques durs basé à Middlesex, au Royaume-Uni, iStorage répertorie sur son site Web des clients tels que l’OTAN et le ministère britannique de la Défense. SecureDrive, basé à South Pasadena, en Californie, répertorie comme clients l’armée américaine et la NASA. Et les dossiers d’approvisionnement fédéraux américains montrent qu’Apricorn, basée à Poway, en Californie, a vendu ses produits de stockage cryptés à la NASA, à la marine, à la FAA et à la DEA, entre autres.

    Les fonctions de chiffrement activées par les puces Initio dans ces disques sont conçues pour protéger leurs données contre la compromission si les disques sont physiquement consultés, perdus ou volés. Mais la sécurité de cette fonctionnalité de cryptage dépend essentiellement de la confiance dans le concepteur de la puce, avertissent les experts en cryptographie. S’il y avait une vulnérabilité secrète ou une porte dérobée intentionnelle dans les puces, cela permettrait à quiconque mettrait la main sur des disques qui les utilisent - les disques sont souvent commercialisés pour une utilisation “sur le terrain” - de contourner cette fonctionnalité. Et cette porte dérobée pourrait être très, très difficile à détecter, notent les cryptographes, même lors de l’inspection la plus proche.

    “En fin de compte, c’est une question de confiance, que vous fassiez confiance à ce fournisseur et à ses composants avec toutes vos données sensibles”, explique Matthias Deeg, chercheur en sécurité à la société allemande de cybersécurité Syss, qui a analysé les puces Initio. “Ces types de microcontrôleurs sont une boîte noire pour moi et tous les autres chercheurs essayant de comprendre comment cet appareil fonctionne.”

    L’année dernière, Deeg a analysé le premier micrologiciel d’une clé USB sécurisée Verbatim qui utilise une puce Initio et a trouvé plusieurs vulnérabilités de sécurité : l’une lui permettait de contourner rapidement un lecteur d’empreintes digitales ou un code PIN sur les disques et d’accéder à tout mot de passe “administrateur” qui avait été défini. pour les disques, une fonctionnalité de mot de passe principal conçue pour permettre aux administrateurs informatiques de déchiffrer les appareils des utilisateurs. Une autre faille lui a permis de “forcer brutalement” la clé de déchiffrement des disques, en dérivant la clé pour accéder à leur contenu en 36 heures maximum.

    Deeg dit qu’Initio a depuis corrigé ces vulnérabilités. Mais le plus troublant, dit-il, était la difficulté d’effectuer cette analyse du micrologiciel des appareils. Le code n’avait aucune documentation publique et Hualan n’a pas répondu à ses demandes d’informations supplémentaires. Deeg dit que le manque de transparence indique à quel point il serait difficile de trouver une porte dérobée matérielle dans les puces, comme un composant minuscule caché dans leur conception physique pour permettre un décryptage subreptice.

    Il note également qu’il n’y a aucun moyen de savoir si les vulnérabilités qu’il a découvertes étaient accidentelles. “Vaut-il mieux avoir une porte dérobée cachée”, demande Deeg, “ou une qui est plus visible mais qui peut être attribuée à la négligence du développeur ?”

    Lorsque WIRED a contacté les fabricants d’appareils qui utilisent des puces Initio, iStorage, le fabricant de disques durs cryptés basé au Royaume-Uni, a déclaré à WIRED que l’architecture de ses périphériques de stockage signifie que les utilisateurs n’ont pas à faire confiance à Hualan ou à sa filiale Initio car les clés privées utilisées pour chiffrer et déchiffrer les données qui y sont stockées sont générées et stockées par une puce distincte provenant d’un autre fabricant basé en France, et la puce Initio ne stocke jamais cette clé. “J’apprécie les inquiétudes concernant l’utilisation de la technologie chinoise, mais nous sommes convaincus que même si nous utilisons ces puces, nos produits ne peuvent pas être piratés, même par Initio ou Hualan”, a déclaré le PDG d’iStorage, John Michael. (Michael a également noté que certains des produits iStorage utilisent une puce vendue par la société taïwanaise Phison au lieu de Hualan ou Initio, mais n’a pas précisé quels produits.)

    Même si une puce de contrôleur de pont ne crée pas de clé secrète et n’est pas destinée à la stocker, elle y a toujours suffisamment accès pour activer une porte dérobée, explique Matthew Green, professeur d’informatique spécialisé dans la cryptographie à Johns Hopkins. Université. Après tout, un contrôleur de pont effectue le chiffrement et le déchiffrement à l’aide de cette clé secrète, et peut donc soit l’exfiltrer secrètement et la stocker, soit chiffrer furtivement les données avec sa propre clé différente. “Si la puce a la clé et effectue le cryptage, il y a une possibilité de malversation”, déclare Green.

    iStorage a également transmis une déclaration d’Initio soulignant qu’Initio n’est pas spécifiquement nommé sur la liste des entités de Commerce et arguant que l’inclusion de Hualan sur la liste ne s’applique pas à Initio. Mais Cary de l’Atlantic Council soutient – ​​faisant écho au commentaire «drapeau rouge» du porte-parole du Commerce à WIRED – que les filiales en propriété exclusive des sociétés figurant sur la liste sont généralement considérées comme étant également sur la liste. « Je ne suis pas d’accord avec cet argument », déclare Cary à propos de la prétention d’Initio de ne pas être affectée par la liste des entités, soulignant qu’autrement, les restrictions de la liste pourraient être facilement contournées grâce à l’utilisation de filiales. “Si la société qui vous appartient figure sur la liste des entités, vous êtes inclus.”

    WIRED a également contacté les clients de Hualan et d’Initio, notamment l’OTAN, la NASA, la marine et l’armée américaines, la DEA et la FAA. Parmi ceux qui ont répondu, aucun n’a fait de commentaires sur le matériel qu’ils achètent. Mais les déclarations de l’OTAN, de la marine américaine et du ministère britannique de la Défense ont toutes répété qu’elles contrôlaient soigneusement la sécurité de la technologie qu’elles utilisent. «Nous avons mis en place des politiques pour gérer la gestion des risques de la chaîne d’approvisionnement, ainsi que des normes de sécurité établies pour garantir que tous les produits et services commerciaux achetés sont inspectés pour détecter les vulnérabilités de sécurité», lit-on dans un communiqué de la marine américaine, par exemple. Un porte-parole de la FAA a déclaré que l’agence se conformait aux réglementations gouvernementales telles que la loi sur l’autorisation de la défense nationale concernant l’achat de matériel, mais n’a pas répondu aux questions sur l’achat de composants auprès d’entreprises figurant sur la liste des entités du Commerce.

    En fait, plusieurs des disques durs cryptés qui utilisent les puces de Hualan et d’Initio prétendent avoir une certification de cybersécurité de l’Institut national des normes et de la technologie, telle que la norme FIPS 140-2. Mais Johns Hopkins’ Green note que pour ce niveau de certification, le NIST ne vérifie généralement que les vulnérabilités accidentelles dans les produits cryptographiques, et non celles intentionnellement cachées créées par un adversaire déterminé.

    “Ces portes dérobées peuvent être si subtiles et intelligentes, et il y a tellement de façons de les faire que vous ne les verrez peut-être même pas dans le code”, déclare Green. “Cela me choquerait vraiment si l’un de ces tests supposait un fabricant non fiable.”

    Le simple fait que tant d’agences gouvernementales occidentales achètent des produits comprenant des puces vendues par la filiale d’une société figurant sur la liste des restrictions commerciales du département du Commerce souligne la complexité de la navigation dans la chaîne d’approvisionnement du matériel informatique, déclare Cary de l’Atlantic Council. « Au minimum, c’est un véritable oubli. Les organisations qui devraient accorder la priorité à ce niveau de sécurité ne sont apparemment pas en mesure de le faire ou commettent des erreurs qui ont permis à ces produits de pénétrer dans leur environnement », dit-il. « Cela semble très important. Et ce n’est probablement pas une erreur ponctuelle.

    Sources: https://arstechnica.com/information-technology/2023/06/the-us-navy-nato-and-nasa-are-using-a-shady-chinese-companys-encryption-chips/
    Et https://www.wired.com/story/hualan-encryption-chips-entity-list-china/

    Boobacscoundefined 1 réponse Dernière réponse
    2
  • Snoubiundefined Hors-ligne
    Snoubiundefined Hors-ligne
    Snoubi Membre
    a écrit sur dernière édition par
    #2

    ça me fait un peu penser à l’aile ou la cuisse la fin, j’en fait pas une généralité mais bcp de chose sorte de Chine …Merci pour l’article

    1 réponse Dernière réponse
    0
  • Ashuraundefined Hors-ligne
    Ashuraundefined Hors-ligne
    Ashura Trolls
    a écrit sur dernière édition par
    #3

    c’est bien ils s’en rendent compte au bout de 20 ans, va savoir ce que les chinois ont déjà siphonné ou installer en backdoor

    °°° Si la manière forte ne fonctionne pas, c'est que tu n’as pas frappé assez fort °°°

    1 réponse Dernière réponse
    :ahah:
    1
  • Boobacscoundefined Hors-ligne
    Boobacscoundefined Hors-ligne
    Boobacsco Membre
    a répondu à duJambon le dernière édition par
    #4

    Ça équilibre avec les back-doors de la NSA dans le matos Cisco…^^

    1 réponse Dernière réponse
    1






©2023 planete-warez.net
L'actualité Warez & underground en continu
Politique   RGPD  @dev  Sudonix
    • Se connecter
    • Vous n'avez pas de compte ? S'inscrire
    • Connectez-vous ou inscrivez-vous pour faire une recherche.
    • Premier message
      Dernier message
    0
    • Catégories
      • Toutes les catégories
      • Planète Warez
        Présentations
        Aide & Commentaires
        Réglement & Annonces
        Tutoriels
      • IPTV
        Généraliste
        Box
        Applications
        VPN
      • Torrent & P2P
      • Direct Download et Streaming
      • Autour du Warez
      • High-tech : Support IT
        Windows, Linux, MacOS & autres OS
        Matériel & Hardware
        Logiciel & Software
        Smartphones & Tablettes
        Graphismes
        Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
        Tutoriels informatiques
      • Culture
        Actualités High-Tech
        Cinéma & Séries
        Sciences
        Musique
        Jeux Vidéo
      • Humour & Insolite
      • Discussions générales
      • Espace détente
      • Les cas désespérés
    • Récent
    • Populaire
    • Résolu
    • Non résolu