Les États-Unis accusent la Chine d’avoir mené une vaste cyberattaque contre ses infrastructures. Depuis deux ans, des hackers chinois ont infiltré différents secteurs, dont des bases militaires stratégiques…
Depuis mi-2021, des pirates chinois ont infiltré les réseaux d’infrastructures critiques des États-Unis, révèle la NSA (National Security Agency). Rejoint par les agences de défense du Canada, du Royaume-Uni, de l’Australie et de la Nouvelle-Zélande, l’organisme gouvernemental affirme que les hackers ont notamment pénétré dans les systèmes de plusieurs bases militaires.
Dans un communiqué sur son site Web, le géant Microsoft évoque longuement l’opération. L’entreprise a en effet remarqué la présence « d’activités malveillantes furtives et ciblées » dans « des infrastructures de communication critiques ». Microsoft Defender, l’antivirus par défaut de Windows, a joué un rôle clé dans la détection.
D’après le groupe, l’île de Guam, dans l’océan pacifique, où se trouve une base militaire américaine, fait partie des cibles. Ce territoire indépendant de l’archipel des Mariannes abrite en effet une vaste base navale, considérée comme un avant-poste stratégique pour les forces américaines. L’île est proche de la péninsule coréenne, du Vietnam… et de Taïwan. En cas d’invasion chinoise à Taïwan, ce sont vraisemblablement les troupes américaines de Guam qui réagiront en premier.
Pékin est accusé d’avoir organisé la cyberattaque
Pour les autorités américaines, « un cyberacteur parrainé par l’État de la République populaire de Chine » est derrière l’opération. Celle-ci a été découverte en février dernier quand un ballon espion chinois a été abattu par un avion de chasse F-22 au large de la Caroline du Sud. Les États-Unis ont pu « récupérer d’importants débris sur le site, y compris tous les capteurs prioritaires et les pièces électroniques identifiées ainsi que de grandes parties de la structure ». C’est apparemment ce qui a facilité la découverte des activités chinoises sur les systèmes américains.
En plus de la NSA, Microsoft accuse Pékin d’avoir orchestré toute l’attaque. L’éditeur américain pointe du doigt un groupe de hackers financé par le Parti communiste chinois, Volt Typhoon. Spécialisé dans l’espionnage et le vol de données sensibles, le groupe utilise une technique appelée « Living-off-the-land ».
Concrètement, les pirates s’appuient sur des fonctionnalités déjà installées sur les ordinateurs cibles, par le système d’exploitation par exemple, afin de se faire un chemin. Ce type d’offensive est très difficile à détecter. Dans ce cas-ci, les hackers sont passés par un pare-feu installé sur les machines. Par la suite, Volt Typhoon camoufle ses activités au maximum en utilisant des outils comme des serveurs proxy, des VPN ou des équipements réseau tombés sous sa coupe.
Une opération de cyberespionnage
Toujours en cours, l’attaque vise à exfiltrer des données sensibles à l’insu des autorités étrangères. D’après l’enquête menée par Microsoft, l’attaquant avait « l’intention de faire de l’espionnage et de conserver l’accès (aux infrastructures) sans être détecté aussi longtemps que possible ». C’est pourquoi Volt Typhoon « met fortement l’accent sur la furtivité », souligne la firme.
Les pirates ne visent pas uniquement les bases militaires américaines. Depuis les prémices de la cyberattaque, Volt Typhoon s’est attaqué « aux secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, du gouvernement, des technologies de l’information et de l’éducation », met en garde Microsoft. Les stratagèmes employés dans le cadre de l’opération sont susceptibles d’être recyclés pour d’autres attaques, « dans le monde entier », note la NSA.
« L’attaque actuelle de Volt Typhoon contre les États-Unis devrait susciter une vive préoccupation à l’échelle mondiale. Elle témoigne de l’intention persistante de la Chine de menacer les industries essentielles au bon fonctionnement d’un pays », explique Fabien Rech, senior vice-président de la société Trellix, dans une prise de position envoyée à 01net.com.
Comme toujours, la Chine a rapidement démenti les accusations de Washington. Pékin assure que l’alliance « Five Eyes », qui comprend l’Australie, les Etats-Unis, le Canada, le Royaume-Uni et la Nouvelle-Zélande, mène « une campagne de désinformation collective » à son encontre.
« Comme chacun le sait, l’alliance Five Eyes est la plus grande organisation de renseignement du monde et l’Agence nationale (américaine) de sécurité (NSA) est la plus grande organisation de piratage informatique du monde. Le fait qu’ils s’associent pour publier un tel rapport de désinformation est en soi ironique », a fait valoir Mao Ning, une porte-parole du ministère chinois des Affaires étrangères.
Si les États-Unis et leurs alliés tirent la sonnette d’alarme, plusieurs experts en sécurité informatique estiment que la découverte de Volt Typhoon est une aubaine. C’est le cas de John Hultquist, analyste de la société de cybersécurité Mandiant. L’expert assure qu’il s’agit d’une « occasion rare » – la Chine n’ayant pas « régulièrement recours à des cyberattaques destructrices et perturbatrices » – pour enquêter et se prémunir contre de futures opérations. C’est aussi le point de vue de Jen Easterly, la directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures. La responsable veut profiter de la découverte pour « mieux comprendre comment détecter et atténuer cette activité malveillante ».
source : 01net