Fin 2017, des cyber-espions chinois ont eu accs aux systmes du fabricant nerlandais de puces NXP via les comptes des employs et en utilisant la force brute. NXP est la deuxime plus grande socit europenne de semi-conducteurs derrire ASML et le 18e fabricant mondial de puces en termes de capitalisation boursire. Ce hack est pass inaperu pendant plus de deux ans. NXP dclare qu’aucun dommage matriel n’a t subi. La proprit intellectuelle a t vole, mais on ne sait pas encore dans quelle mesure. Au moins sept socits tawanaises de puces lectroniques ont galement t victimes du mme groupe de pirates informatiques. Et Transavia, filiale de KLM, a galement t touche.
Un groupe de hackers chinois, baptis Chimera mais aussi connu sous le pseudonyme G0114 , s’est introduit dans le fabricant de puces NXP via les comptes d’employs. Une fois dans le rseau de l’entreprise, les pirates se sont dirigs vers les serveurs scuriss, la recherche de modles de puces et d’autres secrets d’entreprise. Ils ont eu tout le temps pour le faire : pendant prs de deux ans et demi, de fin 2017 au printemps 2020, des cyber-espions ont eu accs aux systmes informatiques du fabricant nerlandais de puces.
Sur cette priode, les cybercriminels accdaient priodiquement aux courriels des employs et aux lecteurs rseau la recherche de conceptions de puces et d’autres proprits intellectuelles de NXP, selon le journal national nerlandais NRC Handelsblad, qui a cit plusieurs sources proches de l’incident mais aussi un rapport publi (puis supprim) en janvier 2021 par la socit de scurit Fox-IT, intitul Abusing Cloud Services to Fly Under the Radar. La faille na t dcouverte que lorsque des cybercriminels ont t dtects dans un rseau dentreprise distinct connect plusieurs reprises des systmes NXP compromis. Les dtails de la brche sont rests jusqu prsent un secret bien gard.
NXP reste la cible de cyberattaques. En septembre 2023, lentreprise a annonc avoir subi une violation de donnes. Cette fois, il ne s’agissait pas de systmes internes, mais d’une base de donnes qui stocke les donnes personnelles des visiteurs du site NXP. Ce vol de donnes a eu lieu le 11 juillet. La faille a t dcouverte et colmate en trois jours, a rapport NXP, soit beaucoup plus vite que deux ans et demi.
Tout a commenc par un seul compte pirat
Dans le billet de la socit de scurit Fox-IT, intitul Abusing Cloud Services to Fly Under the Radar, la socit a donn des dtails sur deux cyberattaques trs avances, pour lesquelles l’aide de la socit nerlando-britannique a t sollicite. La premire victime tait une compagnie arienne anonyme il sagira plus tard de Transavia. En outre, une entreprise europenne du secteur des semi-conducteurs tait elle aussi concerne. NRC Handelsblad a dclar que la victime non identifie tait NXP.
Cette entreprise est le principal fournisseur de puces pour l’industrie automobile depuis qu’elle a rachet l’amricain Freescale en 2015. Aprs ASML, NXP est l’entreprise la plus valorise de l’industrie europenne des puces, avec une valeur marchande de 52 milliards de dollars. Les deux socits sont issues de Philips. NXP dveloppe galement des puces scurises Mifare pour la carte puce et les titres d’accs des transports publics. Il fournit galement les lments scuriss pour les puces de l’iPhone, pour les paiements sans contact via Apple Pay. Il y a deux mois, le PDG d’Apple, Tim Cook, s’est rendu Eindhoven pour sceller cette collaboration.
NXP est peut-tre leader en matire de scurit, mais jusqu’au dbut 2020, la multinationale ne se rendait pas compte qu’elle avait t pirate depuis un certain temps. En octobre 2017, des cyber-espions ont pntr son rseau. Dans un premier temps, les pirates se sont servi de comptes rguliers des employs de NXP pour se connecter au rseau de l’entreprise.
Ils ont obtenu ces informations de compte partir de fuites de donnes antrieures provenant d’autres services Web, tels que LinkedIn ou Facebook. En devinant ensuite les mots de passe par force brute, les pirates ont accd au rseau VPN. Bien que NXP ait protg ses systmes avec un code supplmentaire fourni par tlphone, les pirates ont contourn cette double authentification en modifiant les numros de tlphone.
Une fois installs sur un premier ordinateur (le patient zro), les cybercriminels ont tendu progressivement leurs droits daccs, effac leurs traces et se sont faufil vers les parties protges du rseau. Ils ont tent de cacher les donnes sensibles qu’ils ont trouv dans des fichiers d’archives chiffrs via des services de stockage cloud tels que Microsoft OneDrive. Selon les fichiers journaux trouvs par Fox-IT, les cybercriminels ont pntr le rseau toutes les quelques semaines pour voir si de nouvelles donnes intressantes pouvaient tre trouves chez NXP et si davantage de comptes d’utilisateurs et de parties du rseau pouvaient tre pirats.
NXP n’a pas alert les clients ou les actionnaires de l’intrusion, en dehors d’une brve rfrence dans un rapport annuel 2019 o on pouvait lire :
Nous avons, de temps autre, subi des cyberattaques dont l’objectif tait d’accder nos systmes et rseaux informatiques. De tels incidents, qu’ils russissent ou non, pourraient entraner le dtournement de nos informations et technologies exclusives, la compromission des informations personnelles et confidentielles de nos employs, clients ou fournisseurs, ou interrompre nos activits. Par exemple, en janvier 2020, nous avons eu connaissance dune compromission de certains de nos systmes. Nous prenons des mesures pour identifier l’activit malveillante et mettons en uvre des mesures correctives pour accrotre la scurit de nos systmes et rseaux afin de rpondre l’volution des menaces et aux nouvelles informations. la date de ce dpt, nous ne pensons pas que cette compromission du systme informatique ait entran un effet ngatif important sur notre activit ou un quelconque dommage matriel pour nous. Cependant, l’enqute est en cours et nous continuons d’valuer la quantit et le type de donnes compromises. Rien ne garantit que cette violation ou tout autre incident naura pas dimpact significatif sur nos oprations et nos rsultats financiers lavenir.
Le manque de communication de NXP sur le sujet est surprenant , selon certains chercheurs en scurit
Certains chercheurs en scurit ont dclar qu’il tait surprenant que les responsables de NXP n’aient pas inform les clients de l’intrusion des acteurs malveillants sur les deux ans pendant lesquels elle a dur.
Cela devrait recevoir beaucoup plus dattention. Les puces NXP sont prsentes dans de nombreux produits. Il est probable que les cybercriminels [ndlr. il a utilis TA pour threat actors] connaisse des failles spcifiques signales NXP qui peuvent tre exploites pour se servir d’appareils dans lesquels les puces sont intgres, et tout a en supposant qu’ils n’ont pas eux-mmes implment de portes drobes. Sur 2,5 ans (au moins), ce nest pas irraliste.
Un autre chercheur qui a publi des recherches dans le pass documentant un piratage russi d’un produit largement utilis contenant des puces NXP a exprim une surprise similaire :
Si un groupe de cybercriminels chinois obtient le code source ou les conceptions matrielles d’un fabricant de puces, ce type de groupe peut utiliser le code source mme si le code source n’est pas trs bien comment et document , a dclar le chercheur un mdia, demandant ne pas tre identifi. Pour moi, [lintrusion] est un gros problme. Jai t surpris que NXP ne communique pas avec ses clients .
La raction de NXP
Dans un courriel, un reprsentant de NXP a dclar que le rapport du NRC est trs dat car il a t trait en 2019. Comme indiqu dans notre rapport annuel 2019, nous avons pris connaissance d’une compromission de certains systmes informatiques et, aprs une enqute approfondie, nous avons dtermin que cet incident na pas eu deffet dfavorable important sur nos activits. Chez NXP, nous prenons la scurit des donnes trs au srieux. Nous avons tir les leons de cette exprience et accordons la priorit au renforcement continu de nos systmes informatiques afin de nous protger contre les menaces de cyberscurit en constante volution .
La socit de scurit Cycraft a document une vague de piratage informatique qui a dur deux ans et qui visait les fabricants de semi-conducteurs ayant des activits Taiwan, o NXP dispose d’installations de recherche et dveloppement. Une attaque contre lune des victimes anonymes a compromis 10 points de terminaison et une autre a compromis 24 points de terminaison :
L’objectif principal de ces attaques semblait tre de voler des renseignements, en particulier des documents sur les puces IC, les kits de dveloppement logiciel (SDK), les conceptions IC, le code source, etc. Si de tels documents sont russis tre vols, limpact peut tre dvastateur. Le motif de ces attaques vient probablement du fait que les concurrents, voire les pays, cherchent obtenir un avantage concurrentiel sur leurs rivaux. tant donn que ces techniques et tactiques taient similaires aux activits dattaque prcdentes, nous souponnons que lattaquant est un groupe de pirates informatiques bas en Chine. Nous esprons donc que ce rapport aidera les fabricants de semi-conducteurs mieux comprendre les dangers de telles attaques.
De plus, comme nous avons travaill avec plusieurs fournisseurs de semi-conducteurs pour amliorer leur cyberscurit, nous souhaitons partager cette prcieuse exprience et mettre en vidence les dfis actuels auxquels est confront l’ensemble du secteur.
Conclusion
Suite la violation, NXP aurait pris des mesures pour renforcer la scurit de son rseau. L’entreprise a amlior ses systmes de surveillance et impos des contrles plus stricts sur l’accessibilit et le transfert des donnes au sein de l’entreprise. Ces mesures visent se prmunir contre des incidents similaires l’avenir afin d’viter les violations, de protger les prcieux actifs intellectuels de l’entreprise et de maintenir l’intgrit de son rseau.
Mais qui sait ce qui a dj t vol ? De plus, personne ne sait combien dautres socits de semi-conducteurs ont t pirates mais nont pas divulgu ces violations au public.
Sources : NRC, Abusing Cloud Services to Fly Under the Radar, Cycraft
Et vous ?
Quelles sont les consquences potentielles de cette cyberattaque pour NXP et ses clients ? Plus gnralement, quel sont les consquences potentielles d’une cyberattaque contre ce types d’entreprises pour les clients directs et indirects ?
Comprenez-vous les experts qui estiment que le manque de communication au sujet de la situation est surprenant ? Partagez-vous cet avis ?
Que pensez-vous des propos de NXP qui justifie sa position par les rsultats d’une enqute selon laquelle nous avons dtermin que cet incident na pas eu deffet dfavorable important sur nos activits ?
Quelles sont les mesures prendre pour protger les secrets industriels des fabricants de puces face aux hackers ?
Quel est, selon vous, le rle des tats-nations dans le cyberespionnage des semi-conducteurs ?
Comment la coopration internationale peut-elle contribuer lutter contre le cyberespionnage et promouvoir une concurrence loyale dans le secteur des semi-conducteurs ?