Une firme de sécurité néerlandaise découvre des actions de cyber-espionnage chinois au niveau mondial

Des pirates chinois ont pénétré ces dernières années dans les systèmes informatiques de dizaines d’entreprises et de pouvoirs publics dans le monde entier. Voilà ce qu’affirme Fox-IT, qui a découvert les attaques et rend aujourd’hui public son travail de recherche en la matière. A ce qu’on sache, les entreprises belges sont restées hors d’atteinte.

Dans notre pays, Fox-IT est surtout connue comme l’entreprise qui, en 2013, a découvert le piratage de Belgacom, une tentative d’espionnage qui, ultérieurement, s’avéra avoir été perpétrée par GCHQ, le service secret britannique. Aujourd’hui, la firme de cyber-sécurité annonce que des pirates se sont ces dernières années infiltrés dans les systèmes informatiques de dizaines d’entreprises et d’institutions publiques dans le monde entier. Daun un volumineux rapport, les Néerlandais concluent “avec un haut degré de certitude” qu’il s’agit d’un groupe chinois, qui “recherchait probablement des informations à des fins d’espionnage au profit du gouvernement chinois.” Il est possible que ces attaques aient été exécutées par un ténébreux groupe de pirates appelé ‘APT20’.

Qualifier les agresseurs de ‘pirates d’état chinois’, c’est un peu réducteur, selon Frank Groenewegen, directeur de Fox-IT, qui s’est confié à Data News: “Mais si on examine les victimes et les secteurs dans lesquels elles sont actives, cela va dans ce sens. Les pirates ne dérobaient par exemple pas d’argent, mais recherchaient des renseignements et de la connaissance professionnels, susceptibles de profiter surtout aux autorités chinoises.” On ne sait pas combien de données les agresseurs ont pu emporter exactement ces dernières années.

Fox-IT ne souhaite pas citer les noms d’instances ainsi piratées, mais bien les secteurs concernés. Il s’agit entre autres d’entreprises d’aviation, de construction, d’énergie, d’institutions financières, de transporteurs et d’éditeurs de logiciels. Les sièges de ces entreprises se trouvent notamment en Allemagne, en France, aux Etats-Unis, en Grande-Bretagne, au Brésil et en Espagne. “Il est question d’acteurs en vue actifs partout dans le monde et donc inévitablement aussi en Belgique, mais nous n’avons pourtant pas découvert de pirates actifs dans un réseau belge de l’une de ces entreprises”, explique Groenewegen.

Contournement de l’authentification à deux facteurs (2FA)

Les pirates ont utilisé diverses techniques pour pénétrer dans les systèmes informatiques et y rester. L’une d’elles n’était pas nouvelle: ils ont abusé d’une forme d’authentification à deux facteurs. Certaines entreprises pourtant avaient minutieusement prévu que lorsqu’ils se connectaient, leurs collaborateurs devaient encore saisir un code qui leur était envoyé, afin d’éviter tout abus. C’est précisément ce système qui a pu être contourné. Les pirates ont pu eux-mêmes créé ce genre de code. En fait, ils se sont eux-mêmes attribué l’autorisation de se connecter chez les victimes.

Durant leurs actions d’espionnage, les pirates ont cependant commis des erreurs, ce qui fait qu’ils ont laissé des ’empreintes digitales’. C’est ainsi que l’un des agresseurs n’avait pas bien sécurisé ses propres paramètres. Le navigateur utilisé par le pirate était paramétré sur la langue chinoise. Lors de l’enregistrement d’un serveur loué, il déclina une adresse américaine inventée, mais ajouta par mégarde le nom de l’état de Louisiane en caractères chinois. De plus, des pirates utilisèrent un code qui n’existait que sur un forum chinois.

Horaires de bureau chinois

Au bout de quelque temps, Fox-IT constata aussi que les pirates observaient strictement les horaires de bureau chinois. “A un moment donné, nous savions que nous devions nous mettre au travail à 3 heures du matin, parce que c’est à cette heure qu’ils commençaient”, ajoute encore Groenewegen.

La cerise sur le gâteau fut la réaction d’un des cyber-espions qui, au bout d’un petit temps, est revenu à la charge chez une entreprise déjà piratée, où les portes dérobées avaient été entre-temps découvertes et supprimées, et où Fox-IT avait jugulé l’attaque numérique. Le pirate tenta de pénétrer de la manière habituelle et découvrit qu’il se trouvait devant une porte fermée. Aucune tentative de connexion de sa part ne réussit. Frustré, il saisit alors cinq signes: ‘wocao’, ce qui signifie ‘shit’ en chinois de la rue.