Le ministère de la Justice américaine dévoilé deux campagnes de piratage ciblant des entreprises dans une douzaine de pays. Des centaines de gigaoctets de données, dont des secrets industriels, auraient ainsi été exfiltré vers l’Empire du Milieu.
Une fois de plus, les Etats-Unis appliquent leur stratégie du « naming and shaming » (nommer et recouvrir de honte) pour lutter contre les attaques informatiques chinoises.
Le ministère de la Justice a annoncé jeudi l’inculpation de deux Chinois accusés d’avoir mené des cyberattaques contre 12 pays, s’attirant une réaction furieuse de Pékin. Zhu Hua et Zhang Shilong travaillaient officiellement pour l’entreprise technologique Huaying Haitai Science and Technology Development Company. Mais officieusement, ils auraient réalisé des actes des piratages pour le compte du ministère chinois de la Sécurité d’Etat, dans le cadre d’un groupe de pirates connu sous le nom d’APT 10, alias Red Appollo ou Stone Panda.
Au menu : des spearphish et quelques RAT
De 2006 à 2018, ce groupe a mené au moins deux grandes campagnes mondiales de piratage, volant des données confidentielles et des secrets industriels à des dizaines d’entreprises dans 12 pays, dont les Etats-Unis, la France, l’Allemagne, le Canada et le Royaume-Uni, selon le ministère américain de la Justice.
La première campagne, baptisée « Technology Theft Campaign », aurait démarré en 2006 et visé plus de 45 entreprises technologiques et agences gouvernementales américaines. Le mode opératoire était assez classique. Les pirates auraient ciblé les victimes à l’aide de courriels intégrant notamment des documents Word corrompus (« spear phishing »). Une fois ouvertes, ces pièces jointes auraient installé des outils d’espionnage tels que des enregistreurs de frappes de claviers ou des logiciels d’accès à distance (« Remote Access Trojan »). L’un de ces logiciels était Poison Ivy, un RAT très utilisé car simple et gratuit.
Au final, cette campagne aurait permis aux pirates d’APT 10 d’exfiltrer des centaines de gigaoctets de données auprès de plus d’une centaine d’ordinateurs infectés. Les entreprises victimes opèrent dans des secteurs comme l’aviation, l’espace, les technologies de l’information, l’électronique, l’énergie ou la défense. Parmi les entités ciblées figurent des entités de renom comme le Jet Propulsion Laboratory et le Goddard Space Center de la NASA (dédiés aux missions d’exploration spatiale) ou le Lawrence Berkeley National Laboratory (dédié à la recherche scientifique fondamentale).
Infecter des prestataires pour accéder aux clients
La seconde campagne, baptisée « MSP Theft Campaign », aurait démarré en 2014 en ciblant des fournisseurs de services managés, qui peuvent par exemple assurer auprès des entreprises des services d’hébergement, de sauvegarde des données, de communication, de sécurité informatique, etc. Les pirates ont infecté ces prestataires avec des logiciels d’espionnage tels que PlugX, RedLeaves ou QuasarRAT, afin de voler des mots de passe ou de surveiller l’activité des salariés. Les pirates se sont appuyés sur ces machines infectés pour accéder, dans un second temps, à des ordinateurs d’entreprises clientes, notamment au travers de connexions Microsoft Remote Desktop Protocol. Les données volées ont été regroupées dans des archives chiffrées, puis exfiltrées par l’un des ordinateurs infectés précédemment.
Lors d’une conférence de presse, le gouvernement américain n’a pas mâché ses mots. « Il s’agit tout simplement de tricherie et de vol, et ça donne à la Chine un avantage injuste aux dépens des entreprises et des pays qui respectent les règles internationales », a dénoncé le numéro deux du ministère de la Justice, Rod Rosenstein. « Il va être difficile pour la Chine de feindre l’ignorance », maintenant que les Etats-Unis ont rendu public un acte d’accusation très précis et détaillé, a-t-il estimé. « L’Amérique et ses alliés savent ce que la Chine fait. Nous savons pourquoi elle le fait. Et dans certains cas, nous savons même qui sont les individus » derrière les ordinateurs, a énuméré Rod Rosenstein. Aucun pays ne représente « une menace aussi lourde et sur un temps aussi long » que la Chine, a assuré de son côté le directeur du FBI Christopher Wray. La Chine veut, selon lui, « remplacer les Etats-Unis comme première puissance mondiale ».
La guerre économique bat son plein
Dans un communiqué, la diplomatie chinoise a promptement réagi en dénonçant vendredi matin des accusations « montées de toutes pièces ». Accusant les Etats-Unis de se livrer eux-mêmes à l’espionnage informatique du reste du monde, Pékin appelle les autres pays à « cesser de diffamer délibérément la Chine afin de ne pas nuire à leurs relations bilatérales » avec elle.
En tous les cas, si ces accusations se révèlent correctes, cela veut dire que le cyberpacte de non-agression, que Barack Obama et Xi Jinping avaient noué en 2015, est définitivement mort et enterré. Cet accord visait à éliminer les opérations d’espionnage économique entre les deux pays. Dans l’année qui a suivi, il semblait que l’accord fût respecté. Les experts en sécurité informatique avaient bel et bien constaté une diminution sensible des attaques d’origine chinoises. Mais visiblement, ce n’était pas totalement le cas.
A court et moyen termes, les actes chinois d’espionnage économique ne risque pas de disparaître, étant donné que Donald Trump a déterré la hache de guerre économique début 2018. Depuis peu, les deux pays observent une trêve, mais celle-ci est fragile. Une autre affaire judiciaire empoisonne les relations bilatérales : le 1er décembre, une responsable du géant chinois des télécoms Huawei a été arrêtée au Canada à la demande des Etats-Unis. Meng Wanzhou, 46 ans, est soupçonnée d’avoir fraudé pour contourner les sanctions américaines contre l’Iran. Remise en liberté sous caution, elle reste sous le coup d’une procédure d’extradition. Huawei, fondé par un ancien ingénieur de l’armée chinoise, est déjà mis à l’index dans plusieurs pays, dont les Etats-Unis, pour des soupçons d’espionnage potentiel.