(NdT : functionary désigne les entités qui valident les blocs dans Liquid ou le hardware qu’ils utilisent pour réaliser cette fonction. Dans un souci de clarté, nous avons mis le terme entre guillemets quand il désigne clairement le hardware)
Bloomberg a publié aujourd’hui un article indiquant qu’un composant inconnu aurait été ajouté sur des cartes-mères fabriquées par Supermicro. Ce composant dont l’utilité et l’origine restent inconnues pourrait avoir été ajouté discrètement comme une porte dérobée qui permettrait à un attaquant d’infiltrer n’importe quel système qui utilise ces cartes-mères. Bien que Supermicro, Apple, and Amazon aient tous nié tout fondement à cet article, il repose sur suffisamment de sources pour que cette possible menace puisse être prise au sérieux.
Le champ de l’article est limité aux cartes-mères Elemental Technologies fabriquées par Supermicro et utilisées pour l’accélération vidéo. On ne sait pas encore si seules les cartes-mères fabriquées par Supermicro sont concernées ou si celles d’autres fabricants ont également été la cible de cette attaque ou d’une autre similaire.
Lors de la conception du serveur des fonctionnaires de Liquid, nous savions que la menace d’un hardware compromis devait être prise au sérieux. Pour limiter l’impact d’un hardware potentiellement compromis, le “fonctionnaire” de Liquid est composé d’un serveur et d’un module spécifique construit par Blockstream, dans lequel la clé est isolée. Ces deux appareils ne communiquent qu’à travers une interface limitée, ce qui réduit significativement le risque que des clés privées puissent être dérobées.
Des précautions ont été prises pour limiter l’impact d’un hardware compromis en :
- limitant l’accès au réseau du serveur,
- désinstallant les drivers inutiles,
- réinstallant le firmware,
- désactivant IPMI,
- exigeant un accès physique à la machine pour réaliser toute mise à jour.
Le module de clé Blockstream permet une validation supplémentaire pour toute signature qu’il envoie au serveur. Cette approche limite le risque qu’une machine hôte compromise ne dégrade le réseau.
Bien que nous n’ayons pas de raison de penser que nos cartes-mères soient compromises, nous ne pouvons écarter totalement cette possibilité. Dans les jours à venir, nous allons fournir un échantillon de nos cartes-mères à une compagnie de sécurité externe pour un examen approfondi. Cette opération va prendre du temps, mais nous publierons les résultats aussitôt qu’ils seront disponibles.
À l’avenir, nous poursuivrons notre stratégie de limitation des risques hardware avec plusieurs techniques, dont :
- La diversification de nos fournisseurs, de cette manière, si l’un d’entre eux est compromis cela n’affectera pas le réseau Liquid.
- Le renforcement des validations avant signature sur le module de clé.
- L’introduction d’une fonctionnalité du daemon de Liquid dans le but de détecter des comportements inhabituels qui indiqueraient un possible bug ou la compromission du “fonctionnaire”, ce qui permettrait aux autres utilisateurs d’attendre que la situation soit résolue.
Les menaces hardware ont été prises en compte dans le modèle de risques du réseau Liquid. Nous pensons que la vulnérabilité Supermicro, si elle est confirmée indépendamment et présente dans nos serveurs, est atténuée par d’autres éléments du modèle de sécurité de Liquid. Chez Blockstream, nous ne plaisantons pas avec la sécurité de nos clients. Nous améliorons constamment nos processus pour le software et le hardware, et faisons le maximum pour construire les systèmes les plus sûrs au monde.