19 février, séisme informatico-politique mondial

La société privée Mandiant, qui conseille entre autres le gouvernement américain en terme de sécurité informatique, publie un rapport dans lequel elle accuse clairement une unité militaire chinoise d’espionnage industriel d’état via Internet. Les entreprises visées par ces cyber-attaques (environ 140 sociétés) seraient principalement américaines, et certains accès aux données d’entreprises remonteraient à 2006. Selon le rapport, la quantité de données volées peut se calculer en teraoctets, et ce grâce à un réseau informatique dédié à ce piratage.

Mandiant accuse une unité de l’armée rouge chinoise : l’unité 61398, qui serait installée dans un immeuble de douze étages, entièrement consacré à l’espionnage numérique, en plein Shanghai. Depuis la publication du rapport, il est impossible de se rapprocher pour les journalistes de ce fameux immeuble, des policiers en interdisant tout accès. Parallèlement, le gouvernement chinois nie toute cyber-attaque en masse.

Ce rapport est repris par des dépêches Reuters (homologue américain de l’AFP), dès le 19 février, puis par de nombreux journaux internationaux.

Le 22 février 2013, Microsoft, après Apple, reconnaît avoir également été la cible de cyber-attaques.

Du contexte économique et politique de l’affaire

Il ne s’agit pas dans cet article de mener une enquête dans laquelle nous n’avons aucun moyen, mais tout simplement d’observer les jeux mis en œuvre par les différents protagonistes : les positions et déclarations de chacun des gouvernements, puis en quoi cette affaire dépasse le cyber-espionnage classique.

Tout d’abord, il s’agit de mesurer le comportement public des deux principaux pays intéressés. Les États-Unis, comme la Chine, se disent en situation de victime, et accusent l’autre camp d’avoir commencé en premier cette boucle : « si tu m’espionnes, je t’espionne ».

La Chine serait-elle de mauvaise foi ? Pour prouver son honnêteté, il serait facile pour elle de publier alors qui sont ces personnes dans cet immeuble de douze étages, que l’adresse IP a confondu sans hésitation pour la société Mandiant. Pour Sarah McKune, chercheuse à la Munk School of Global Affairs à l’université de Toronto, « le rapport de Mandiant comporte des affirmations très précises qui exigent une vraie réponse » : la Chine ne devrait pas faire l’économie d’une réponse précise sur ces accusations.

Actuellement, tout le monde cyber-espionne tout le monde, pour James Lewis, directeur du programme dédié aux technologies au sein du CSIS (Center for Strategic and International Studies, cercle d’influence des Etats-Unis en matière de politique extérieure). Les experts s’accordent à dire que c’est monnaie courante entre les pays en ce qui concerne l’armement par exemple, pour prévenir les conflits armés. Ce qui est vraiment significatif dans cette histoire, c’est que le cyber-espionnage a pris une autre dimension, la dimension commerciale. En effet, un état a sûrement espionné des entreprises, qui n’ont pas de lien avec la défense nationale. « Le volet économique de cette affaire d’espionnage est le plus troublant car il révèle que la Chine se joue des règles du système international », dit James Lewis. Il faut comprendre ici « système international » comme le jeu des brevets, de la propriété intellectuelle et autres règles qui encadrent les relations commerciales internationales, forcément bafouée si ce cyber-espionnage s’avère vrai.

Résumons : le Chine espionne, la France espionne, les Etats-Unis espionnent… Mais la Chine semble avoir opéré à la suite de cet événement, une transition inédite dans sa stratégie d’intelligence économique : le passage d’une cyber-stratégie de défense (plus ou moins pour la défense nationale), avec une petite équipe, à une cyber-stratégie d’attaque, orientée vers le commerce mondial, avec une incroyable force de frappe.

Il ne faut pas non plus sous-estimer dans des accusations comme celles-ci celui qui les prononce, il s’agit d’une entreprise qui vend de la sécurité au gouvernement américain… La défense actuelle de la Chine repose sur cette ambiguité et sur une paranoïa américaine possible. Pour l’agence de presse Chine nouvelle, les Etats-Unis ont « une capacité sans égale au monde à inventer des cyber-attaques ».

Rappelons tout de même que des affaires similaires ont déjà vu le jour, comme l’affaire dite « Opération Aurora », en 2010.
Parallèlement, Barack Obama, dès le 12 février, a lancé un mandat pour renforcer la sécurité Internet de l’état ainsi que des entreprises indispensables à l’économie américaine. Affaire à suivre.

Du contenu technique du rapport Mandiant

Le rapport de Mandiant fourmille de détails techniques sur les supposées attaques des espions chinois. Malgré un mode de fonctionnement très classique, les pirates Chinois parviennent à tromper la vigilance de leurs victimes. En voici les deux principales raisons:

  • une grande variété de codes malicieux sophistiqués, souvent inconnus du grand public
  • une infrastructure (serveurs, réseau IP) conséquente, principalement en Chine mais aussi hors Chine. Par exemple, environ 13% des serveurs émetteurs d’attaques sont localisés aux USA.

A noter, le rapport de Mandiant semble ne montrer que la partie émergée de l’iceberg.

Un fonctionnement classique …

La principale méthode utilisée pour infecter une cible est le phishing. Des emails sont envoyés aux collaborateurs de l’entreprise, avec une adresse d’émetteur qui contient les nom et prénom d’un responsable hiérarchique ou le nom d’un département de l’entreprise. Par exemple le service comptabilité ou le nom d’un directeur de division. Le code malicieux est alors dissimulé dans une pièce jointe ou sur une page web dont le lien est contenu dans l’email. Parfois l’email de phishing se fait passer pour une banale publicité envoyée par un client ou un fournisseur, avec en pièce jointe un calendrier « offert ».

Utilisé depuis longtemps, le emails de phishing sont aujourd’hui bien connus des utilisateurs et même souvent rangés automatiquement dans les boîtes « courriers indésirables » des clients de messagerie. Cependant il y en a qui arrivent encore à passer à travers les mailles du filet.

… Mis en oeuvre avec du code sophistiqué …

Une fois installé sur un ordinateur de l’entreprise attaquée, les malware chinois utilisent les astuces suivantes pour accomplir leurs tâches sans être repérés:

  • installation de backdoor pour communiquer à travers les pare-feu. Par exemple, en imitant des protocoles légitimement autorisés: messagerie, chat, etc…
  • collecte de logins / mots de passe, de hash, permettant de se connecter à des serveurs contenant des ressources de plus grande valeur
  • prolifération, notamment des backdoors, afin d’en avoir de disponibles si quelques uns sont trouvés et supprimés.

De telles astuces sont aussi classiques et font même partie des règles de base des malware. Les malware chinois réussissent malgré tout parce que mis au point avec des techniques avancées et en perpétuelles mutations. Il en existe des centaines de familles, la plupart du temps gardées dans le secret.

… S’appuyant sur une infrastructure dense …

Les attaques Chinoises proviennent de plusieurs centaines d’adresse IP, principalement en Chine. Même si la zone de Pudong à Shanghai (Chine) concentre l’essentiel des serveurs permettant de contrôler les malware, il en existe une bonne partie hors de Chine, notamment au USA (environ 13%). Cela complexifie la tâche d’identification et de colmatage des brèches de sécurité.

Lexique

  • Malware / logiciel malveillant: programme développé dans le but de nuire à un système informatique
  • Backdoor / porte dérobée: accès secret, inconnu de tous les utilisateurs

Sources et pour en savoir plus