Info

Cybersécurité : l'Amérique recrute des pirates informatiques

La justice américaine a condamné le 19 mai dernier cinq militaires chinois pour espionnage informatique. Un an après le scandale des écoutes de la NSA dévoilées par Edward Snowden, alors que l'administration de Barak Obama continue à recruter des pirates informatiques aux conventions BlackHat ou DefCon, sur son propre territoire, comment comprendre cette décision ? Retour sur l'histoire, le discours et les méthodes très spéciales des Etats-Unis d'Amérique en matière d'espionnage cybernétique et de piraterie informatique.

dans
Cette annonce publiée par le département de la justice américaine le 19 mai 2014 est une première mondiale dans l'histoire de la cybersécurité. Les Etats-Unis d'Amérique ont condamné cinq fonctionnaires de l'administration chinoise, des militaires, pour "hacking informatique, espionnage économique et autres malversations dirigées à l'encontre de six acteurs industriels (américains, ndlr) du nucléaire, de la métallurgie et de l'industrie solaire” :


Cette unité 61398 de l'Armée populaire de libération (nouvelle dénomination de l'Armée rouge, ndlr) où travaillaient les pirates a été localisée par les services américains au "208 Daton Road" à Shangaï. Ces spécialistes en sécurité informatique chinois auraient tenté et réussi à voler des secrets industriels américains depuis 2006, grâce à des techniques très classiques et anciennes d'ingénierie sociale. La technique la plus utilisée par le groupe de militaires chinois incriminés serait celle du "spearfishing", littéralement  "harponnage ou hameçonnage". Ces méthodes sont connues et ne requièrent pas des compétences techniques informatiques très élevées, ce que confirme le responsable éditorial du magazine d’info-hacking Reflets.info, Antoine Champagne : "Sur le papier, il est bien plus aisé de réaliser des opérations qui reposent sur des techniques éculées d'ingénierie sociale que de pénétrer les réseaux informatiques en profondeur, de s'y installer dans la durée sans être repéré. Les APT (Advanced Persistant Threats) sont généralement bien plus dangereuses pour une entité que le phishing amélioré. Elles requièrent toutefois des compétences bien plus importantes".

Le département de la justice indique clairement dans son rapport comment les pirates ont réussi à voler des courriers électroniques par l’envoi de mails aux entreprises concernées :

"About three weeks after Alcoa announced a partnership with a Chinese state-owned enterprise (SOE-3) in February 2008, Sun sent a spearphishing e-mail to Alcoa.  Thereafter, in or about June 2008, unidentified individuals stole thousands of e-mail messages and attachments from Alcoa’s computers, including internal discussions concerning that transaction."

Trois semaine après qu'Alcoa (l'entreprise américaine, ndlr) eut annoncé un partenariat avec l'entreprise publique chinoise SOE-3, en février 2008, Sun (le militaire pirate, ndlr) a envoyé un courrier électronique d'harponnage (spearfishing) à Alcoa. Peu après, autour de juin 2008, des individus non-identifiés ont volé des milliers de courriers électroniques et leurs pièces jointes des ordinateurs d'Alcoa, incluant les échanges concernant cette transaction commerciale.

Les outils de hacking informatique sont ceux des spécialistes en sécurité (illustration P. Hérard)
Les outils de hacking informatique sont ceux des spécialistes en sécurité (illustration P. Hérard)
Ces e-mails envoyés par les militaires chinois contiennent des pièces jointes qui sont en réalité des "chevaux de Troie", et qui s’ils sont exécutés, ouvrent un accès distant à la machine concernée et offrent ainsi la possibilité aux pirates de la contrôler. Récupérer les mails devient alors un jeu d'enfant, puisque les pirates voient littéralement tout ce que fait l'utilisateur distant et peuvent agir comme s'ils étaient devant le poste de travail informatique. Le "cheval de Troie" (outil d'administration à distance, selon les termes utilisés par le fameux groupe de hackers cDc qui l'avait créé, ndlr) le plus célèbre, dans les années 90, BackOrifice, permettait exactement ce type de procédés.

L'affaire, si elle s'avère exacte, est gênante, mais surtout pour les entreprises concernées : ces vols d'informations sont avant tout causés par un manque de vigilance des employés et d'une sécurisation efficace des postes, plus que d'une véritable attaque informatique venue de l'étranger. La Chine a nié ces opérations en les qualifiant "d'invention", et l'administration américaine, si elle persiste à vouloir condamner pour la forme, les pirates de l'armée populaire de libération, prend des risques : celui de démontrer la faiblesse de la sécurité informatique de ses entreprises et des bonnes pratiques de leurs employés, et celui de devoir justifier ses propres opérations de piratage industriel en direction d'autres Etats…comme la Chine.

Washington recrute des hackers “black hats“ tous les ans au Def Con

Au DefCon, la convention de hackers black hat, on gagne des t-shirts en repérant les agents fédéraux
Au DefCon, la convention de hackers black hat, on gagne des t-shirts en repérant les agents fédéraux
La grande réunion des spécialistes en sécurité informatique et en hacking, la convention Def Con, a lieu chaque année aux Etats-Unis à Las Vegas.

"Cette convention est pour la plupart composée de professionnels de la sécurité des systèmes d'information, de crackers, hackers, journalistes, avocats et employés du gouvernement fédéral intéressés par la programmation, l'architecture, le phreaking, la modification de matériel informatique et tout ce qui peut être "hacké". L'évènement consiste en de multiples discours à propos de sujets liés aux ordinateurs ou au piratage informatique. DEF CON est aussi constitué d'évènements sociaux et de concours tels que de créer le plus long réseau wifi, craquer des systèmes informatiques ou même rafraîchir le plus efficacement une bière avec la chaleur importante du Nevada." (source : Wikipedia)

Des agents du département de la Défense américaine ou du FBI viennent à la convention de hackers effectuer des recrutements, et de nombreux observateurs de l'événement estiment que DEF CON est en réalité parrainé par le gouvernement américain. Antoine Champagne a assisté à deux éditions du DEF CON en 1999 et 2000 et confirme ce mélange des genres entre gouvernement et hackers au sein de la convention DEF CON : "Autant en 1999, les représentants de l'Etat américain se faisaient discrets, ils collectaient des informations sur les gens et les thématiques abordées, autant en 2000, ils appellaient les hackers à les rejoindre. A defcon, le grand jeu est de repérer un membre de l'Etat américain (les Feds) et de monter sur scène à tout moment en expliquant pourquoi on pense que telle personne est un fonctionnaire d'une agence. Comme aux Etats-Unis il est mal vu de mentir, la personne avoue généralement et celui qui l'a repérée gagne un T-Shirt "I spotted the fed". En 2000, un représentant du département de la Défense a lancé cette phrase lors d'une conférence : "si vous êtes parmi les meilleurs, venez nous rejoindre, nous avons des jouets bien plus sophistiqués que les vôtres". C'était une nouveauté."

L'armée, les services de renseignements américains ont misé sur le cyber-espionnage depuis une quinzaine d'années. Utiliser des pirates informatiques est une évidence que l'administration des Etats-unis a vite comprise. Si la réalité des vols de données commerciales à travers le réseau Internet a longtemps été niée par l'administration américaine, qui avoue seulement des opérations axées sur l’anti-terrorisme, il lui est aujourd'hui difficile de tenir ce même discours. Les documents révélés depuis un an par Edward Snowden démontrent que les écoutes et pénétrations de systèmes distants sont le quotidien des agents de la NSA, dont des entreprises chinoises. Ces cyber-piratages n'ont pas lieu uniquement à l'encontre de supposés terroristes ou Etats ennemis, mais bel et bien envers des entreprises de pays alliés, comme le cas de Siemens en Allemagne l’a bien démontré.

Les spécialistes du piratage informatique recrutés par Washington participent donc ouvertement à une “cyber-guerre économique mondiale”  : comment, dans ces conditions, s’indigner des piratages de l’armée chinoise et approuver les condamnations de la justice américaine pouvant aller jusqu’à 15 ans d’emprisonnement ?

L’administration américaine veut plus de pouvoir en matière de cybersécurité

Obama, le 12 février 2014 déclarant vouloir renforcer les lois sur la cybersécurité
Obama, le 12 février 2014 déclarant vouloir renforcer les lois sur la cybersécurité
L’affaire de la condamnation des cinq militaires chinois de l’unité 61398 de piratage informatique a des conséquences qui ne sont pas vraiment celles attendues. L’incident diplomatique n’a pas eu lieu, le Département d’Etat américain qui gère les affaires étrangères a très rapidement déclaré que “les Etats-Unis et la Chine pouvaient toujours avoir une relation constructive". Mais en contrepartie, les ressortissants chinois voulant participer à des événements sur la sécurité informatique comme le DefCon, BlackHat ou même SpaceFoundation se voient refuser leurs demandes de visa.

L’administration de Barak Obama établit désormais, à la lumière de ces condamnations, qu’il est nécessaire de durcir les règles de cybersécurité, renforçant le discours présidentiel du 12 février dernier qui annonçait que “la prospérité économique et la sécurité nationale de l'Amérique, ainsi que nos libertés individuelles dépendent de notre engagement à garantir le cyberespace et à maintenir Internet ouvert, interopérable, sûr et fiable. Nos infrastructures essentielles continuent d'être en danger du fait de menaces dans le cyberespace, et notre économie souffre du vol de notre propriété intellectuelle”. 

L’affaire de la condamnation des cyber-pirates militaires chinois est survenue très peu de temps après la visite d’un chef d’Etat-major chinois aux Etats-Unis. Il semble que le Pentagone ait alors insisté auprès de lui pour une transparence des programmes balistiques et spatiaux chinois, ce que le responsable militaire aurait refusé. Si Obama a également appelé le Congrès à avancer pour établir une législation en matière de cybersécurité qui donne plus de pouvoir au gouvernement au sujet des questions de cybersécurité, avec un secteur privé qui continue de s'y opposer, il semble que l’affaire de cyber-espionnage des militaires chinois soit avant tout un moyen de pression diplomatique. Puisqu’en matière de piraterie informatique commerciale ou étatique, les Etats-Unis sont certainement les premiers acteurs du domaine. Sur la planète entière.