Là où Businessweek se trompe concernant Apple

L’édition du 8 octobre 2018 de Bloomberg Businessweek a relaté de façon erronée qu’Apple a découvert des processeurs malveillants sur les serveurs de son réseau en 2015. Comme Apple l’a expliqué à maintes reprises aux journalistes et rédacteurs en chef de Bloomberg ces 12 derniers mois, ces allégations sont fausses. 

Apple a envoyé à Bloomberg Businessweek la déclaration suivante avant la publication de l’article :

Au cours de l’année passée, Bloomberg nous a contactés à plusieurs reprises au sujet d'affirmations parfois évasives, parfois précises, sur un supposé incident de sécurité chez Apple. Chaque fois, nous avons mené des investigations internes rigoureuses pour répondre à ces questions. Nous n'avons trouvé absolument aucune preuve étayant chacune de ces affirmations. Nous avons systématiquement envoyé par écrit des réponses factuelles, réfutant quasiment chaque aspect de l'article rédigé par Bloomberg au sujet d'Apple.

Nous pouvons être très clairs sur les points suivants : Apple n’a jamais découvert de puces malveillantes, « manipulations matérielles », ni vulnérabilités implantées intentionnellement sur aucun de ses serveurs. Apple n’a jamais été en contact avec le FBI, ni aucune autre agence, concernant un tel incident. Ni nous, ni nos contacts au sein des autorités, n’avons connaissance d’une quelconque enquête du FBI.

En réponse à la dernière version de l’article de Bloomberg, nous présentons les faits suivants : Siri et Topsy n'ont jamais partagé de serveurs. Siri n'a jamais été déployé sur des serveurs vendus par Super Micro. Les données de Topsy étaient limitées à 2 000 serveurs Super Micro environ, et non 7 000. Aucun processeur malveillant n'a été découvert sur aucun de ces serveurs.

Il est de pratique courante qu’avant toute mise en production chez Apple, les serveurs soient inspectés pour déceler toute vulnérabilité de sécurité. Nous mettons à jour tous les firmwares et logiciels pour bénéficier des dernières protections. Nous n'avons découvert aucune vulnérabilité inhabituelle sur les serveurs achetés auprès de Super Micro lors de la mise à jour des firmwares et logiciels conformément à nos procédures standard.

Nous sommes profondément déçus qu'au cours de nos échanges, les journalistes de Bloomberg n’aient pas envisagé l’éventualité d’une erreur ou d'une mauvaise information de leur part ou de leurs sources. Nous supposons une confusion de leur part avec un incident déjà dévoilé. En 2016, nous avions découvert un pilote infecté sur un seul serveur Super Micro dans l’un de nos laboratoires. Nous avions déterminé que cet événement exceptionnel était accidentel et ne constituait pas une attaque ciblée contre Apple. 

Bien qu’il n'y ait aucune mise en cause des données de nos clients, nous prenons ces allégations très au sérieux. Nos utilisateurs peuvent être assurés que nous déployons tous les efforts possibles pour protéger les informations personnelles qu’ils nous ont confiées. Nous leur garantissons également que les assertions de Bloomberg concernant Apple sont inexactes.

La transparence sur le traitement et la protection des données a toujours été une valeur fondamentale chez Apple. Si un événement comme le relate Bloomberg News s’était produit, loin de le dissimuler, nous collaborerions étroitement avec les autorités. Les ingénieurs d'Apple mènent des contrôles réguliers et rigoureux pour vérifier la sécurité de nos systèmes. Nous savons que la sécurité est une course sans fin. C’est pourquoi nous renforçons nos systèmes en permanence contre les hackers et cybercriminels toujours plus intelligents qui cherchent à voler nos données.

L’article publié par Businessweek affirme aussi qu’Apple a signalé l'incident au FBI, mais a gardé secrets, même en interne, les détails de ce qu’elle avait découvert. En novembre 2017, quand cette allégation nous a été présentée pour la première fois, nous avons fourni à Bloomberg les informations ci-dessous dans une longue réponse écrite et détaillée. Elle dément d'abord l’affirmation non étayée d’une supposée enquête interne :

Après avoir interrogé de nombreuses équipes et entités, personne chez Apple n’a jamais entendu parler de cette enquête. Businessweek a refusé de nous transmettre des informations permettant d’enquêter sur les mesures ou observations alléguées. Les journalistes n’ont fait preuve d’aucune connaissance des procédures standard qui auraient été contournées. 

Personne chez Apple n'a jamais contacté le FBI à ce sujet et nous n'avons jamais été contactés par le FBI concernant une enquête de ce genre et encore moins tenté d'étouffer cette dernière. 

Dans son intervention sur Bloomberg Television ce matin, le journaliste Jordan Robertson a déclaré au sujet de la supposée découverte de puces malveillantes : « Dans le cas d’Apple, nous pensons que cette détection est le résultat d’un contrôle ponctuel aléatoire sur certains serveurs posant problème. »

Comme nous en avons déjà informé Bloomberg, c’est totalement faux. Apple n’a jamais décelé de puces malveillantes sur ses serveurs.

Enfin, pour répondre aux questions posées par d'autres médias depuis la publication de l’article dans Businessweek, aucune obligation de silence ou de confidentialité ne nous est imposée.