Info

Cybersécurité : le FBI accuse deux agents du gouvernement chinois de piratage mondial

(AP Photo/Manuel Balce Ceneta)

Deux spécialistes en cybersécurité offensive, du groupe chinois de piratage informatique APT10, sont accusés par le département de Justice américain d'avoir pénétré les systèmes d'information d'au moins un gestionnaire de services distants d'entreprises. Ce piratage a permis à la Chine d'accéder à des systèmes d'information de dizaines d'entreprises disséminées à travers 12 pays. Une compromission de sécurité informatique à l'échelle mondiale, très inquiétante, qui pose la question de la centralisation de services sur et par Internet.

Après l'inculpation par le département d'Etat de la justice américaine de cinq militaires chinois en mai 2014 pour "hacking informatique, espionnage économique et autres malversations dirigées à l'encontre de six acteurs industriels (américains, ndlr) du nucléaire, de la métallurgie et de l'industrie solaire" — suivie de négociations entre les deux pays au sujet des attaques informatiques — il semblait acquis que la "cybermenace" entre ces deux pays s'était abaissée. TV5Monde s'en faisait l'écho à l'époque et concluait deux ans après les événéments : 

"Les tentatives de piratage contre des entreprises ou des infrastructures américaines depuis la Chine — suite à cette négociation — ont baissé de 90% en 2016 : la preuve est donc faite qu'en discutant entre Etats, les attaques numériques peuvent être, sinon stoppées, diminuées."

> Lire notre article : "Etats-Unis Russie : la cyber guerre froide a-t-elle débuté ?" 

La stratégie de "cyberdissuasion" américaine dite "stratégie de la honte" semblait fonctionner… sur le papier : en inculpant officiellement des agents gouvernementaux chinois, avec leur visage, leur nom et leur fonction, l'administration des Etats-Unis signifiait à la Chine qu'elle était capable de l'humilier mondialement. Rien de pire que d'être mis à jour de façon personnelle dans le monde secret du piratage informatique d'Etat, où compétence rime avec invisibilité. Il semble pourtant que la baisse de tentatives de pénétrations des systèmes d'information américains constatée en 2016 — bien que réelle —, n'ait pas empêché le gouvernement chinois de continuer son espionnage par piratage Internet. Mais en changeant de stratégie. C'est en tout cas ce que dévoile aujourd'hui le département de Justice américain avec l'avis de recherche du FBI à l'encontre des deux agents de l'agence de "cyberpiratage" chinoise APT10.

Attaquer les centres mondiaux de gestion des entreprises ?

Le FBI explique dans son acte d'accusation que les deux  pirates (hackers) chinois, "en association avec leur gouvernement ont piraté de nombreuses entreprise et agences gouvernementales dans une douzaine de pays". Ces deux spécialistes en cyberécurité — toujours selon le FBI et le département de Justice américain — "sont réputés être des membres d'un groupe de pirates informatiques financés par l'Etat chinois nommé APT10 (Advanced Persistent Threat) ou de Cloudhopper, qui s'est employé pendent une décennie à voler de secrets commerciaux et technologiques à des entreprises ou des agences gouvernementales de partout sur la planète." 

Mais là où l'affaire prend une tournure très inquiétante c'est lorsque le FBI détaille ce qu'ont fait précisément les deux cyberspécialistes chinois incriminés. Ce ne sont  pas des entreprises de 12 pays qui ont été piratées de façon directe depuis 2014 par les membres d'APT10, mais une seule entreprise de services informatiques distants, une MSP (Managed Service Provider). Les MSP gèrent les système d'information de dizaines voire de centaines d'entreprises et dans le cas d'espèce, d'au moins 45 entreprises réparties dans au moins 12 pays. 

Un Managed Service Provider (MSP) est une société de services informatiques qui gère à distance les systèmes informatiques de ses clients, de manière proactive et sous un modèle forfaitaire.  (Extrait du site : BeMSP)

Pouvoir pénétrer le système d'information d'une entreprise demande plus ou moins d'efforts aux pirates tout en les obligeant à ne pas laisser de traces, et chaque tentative est un nouveau défi qui augmente les possibilités d'être pris "la main dans le sac numérique". Pour 50 entreprises à pirater, ce sont 50 opérations à monter, avec 50 fois la possibilité d'échouer ou d'être repéré. S'en prendre à une seule entreprise qui détient les accès distants, gestion de mots de passe ou de parefeu de 50 entreprises, c'est s'offrir — si le piratage réussit — les "clés du coffre-fort d'accès informatique" de 50 entreprises… en une seule opération ! Et c'est ce qu'ont visiblement fait les deux spécialistes chinois en pénetrant un MSP basé à New-york, gestionnaire informatique de grandes sociétés allant de la banque, de la finance, des biotechnologies, à la fabrication de composants électroniques, de la santé, du pétrole et du gaz, en passant par les télécommunications. 

Hameçonnage, Malware et droits d'administrateurs : compromission totale

Sans détailler les méandres techniques de l'opération, il est acté que les deux spécialistes chinois d'APT10 ont réussi de façon classique à installer un malware par ouverture de fichier via une messagerie électronique — non détectable par les antivirus — malware qui leur a donné des accès distants avec des droits administrateurs. En plus simple : nos deux agents chinois ont pu se promener dans le système d'information du gestionnaires de services informatique avec les permissions les plus élevées et accéder aux outils des administrateurs système. Ce qui signifie — selon toute probabilité — que les membres d'APT10 ont pu aller fouiller sur tous les systèmes distants des clients de l'entreprise de gestion de services, les fameux industriels répartis dans 12 pays. Avec un avantage énorme : les copies de centaines de gigaoctets de données qu'ils ont effectuées chez les clients l'ont été de façon parfaitement transparente, sans besoin de pirater quoi que ce soit puisqu'ils les effectuaient depuis l'entreprise gestionnaire de services, s'ils le souhaitaient…

Le gouvernement chinois a dénoncé les accusations de l'administration américaine arguant qu'elles étaient "montées de toutes pièces" et rappelant que "les Etats-Unis se livrent eux-mêmes à l'espionnage informatique du reste du monde". Pékin a conclu son communiqué en appellant les autres pays à "cesser de diffamer délibérément la Chine afin de ne pas nuire à leurs relations bilatérales" [avec elle].

La centralisation et l'autonomie en question

Selon le ministère américain de la Justice, les Etats-Unis, la France, l'Allemagne, le Canada, le Royaume-Uni, ou le Brésil font partie des pays dans lesquels des entreprises ont été "controlées à distance" par les agents chinois. Cette affaire remet en perspective le rôle des "opérateurs centralisateurs de services sur Internet": l'attaque par déni de service distribué (DDoS) en octobre 2016 à l'encontre de l'entreprise Dyn qui opère la gestion de noms de domaines des plus grandes entreprises du Net, a suffit à rendre indisponible Twitter, Paypal, Amazon ou Airbnb aux Etats-Unis, pendant des heures.

> Lire notre article : Etats-Unis : la cyberattaque qui a mis en difficulté des géants du web

La "résilience d'Internet" a été réfléchie à l'origine par la création d'une infrastructure décentralisée, mais avec la montée en puissance des géants du numérique, de nombreux "œufs du réseau" se retrouvent désormais dans le même "panier d'entreprises". Ce qui commence à poser problème.

La Chine a entendu le message américain de 2014 sur la nécessité de baisser le nombre d'attaques informatiques à leur encontre mais en parallèle des entreprises américaines développaient de plus en plus de services et d'outils… centralisés. C'est ce paradoxe qui mène à la situation actuelle : une seule brèche dans une seule entreprise centralisatrice de services mène à la compromission de dizaines d'autres dans le monde entier.

Il n'y a pas de sécurité informatique fiable à 100%, ce que répètent tous les spécialistes du domaine depuis longtemps, mais ce constat devrait inciter les entreprises à mieux envisager leur autonomie informatique et donc à ne pas tout laisser reposer sur des opérateurs distants. La facilité technique vaut-elle la fuite de secrets industriels ou gouvernementaux vers la Chine durant 4 ans ? Rien n'est moins certain…