CYBER-GUERRE

Une société américaine a espionné un groupe de hackers pendant 6 ans ; cette filature 2.0 l’a menée à l’Unité 61398, cyber-cellule secrète de l’armée chinoise.

Après l’arroseur arrosé, voici le hacker hacké. Dans une vidéo mise en ligne sur YouTube ce lundi, l’entreprise de sécurité informatique américaine Mandiant montre en direct comment un groupe de hackers chinois, qu’elle a nommé APT1 (Advanced Persistent Threat), s’est introduit dans les réseaux d’organisations occidentales pour y dérober des fichiers confidentiels.

VIDÉO DE MANDIANT EN TRAIN D’ESPIONNER DES HACKERS CHINOIS
Cette vidéo, qui accompagne un rapport de 60 pages [PDF] publié mardi par la firme sur son site, est venue aggraver un climat déjà tendu entre les Etats-Unis et la Chine.
La semaine dernière déjà, le rapport secret du National Intelligence Estimate, réalisé grâce au travail conjoint de 16 agences de renseignement américaines, avait désigné la Chine comme le pays le plus agressif en matière d’attaques sur les systèmes informatiques de la première puissance mondiale.
En s’en prenant à des entreprises liées à l’énergie, la finance, l’aérospatial ou encore l’automobile, les hackers chinois auraient fait perdre des dizaines de milliards de dollars à leur rival.

Répartition des attaques du groupe pirate APT1 (rapport Mandiant)

Secteurs ciblés par les attaques d’APT1 (rapport Mandiant)
Ce document semblait confirmer les inquiétudes exprimées par Google, Twitter et quelques grands médias américains. Ceux-ci ont constaté de nombreuses intrusions ces derniers mois, imputées plus ou moins ouvertement au gouvernement chinois.
Eric Schmidt, le patron de Google, est allé jusqu’à qualifier la Chine, dans un livre à paraître prochainement, de « superpuissance la plus dangereuse au monde ».
Guet-apens et filature
Là où le nouveau rapport signé Mandiant est original – et lourd de conséquences –, c’est qu’il passe de la conjecture à la preuve, au terme d’une longue enquête.
Ce travail, digne d’un bon thriller américain, a été réalisé dans le plus grand secret. Six années auront été nécessaires pour réunir des preuves quasi irréfutables de l’existence d’un lien entre le gouvernement chinois et un groupe de pirates basé à Shanghai.
Les agents de Mandiant ont eu accès aux réseaux internes de nombreuses entreprises américaines avec leur accord, et ont attendu que les hackers pointent leur nez et opèrent avant de les suivre à la trace.
Une piste qui les a menés jusqu’à un immeuble de douze étages dans le quartier du Pudong à Shanghai. D’apparence tout à fait quelconque, discrétion oblige, le bâtiment abriterait en réalité le quartier général de l’Unité 61398 de l’Armée populaire de libération.

Quartier général de l’Unité 61398 (rapport Mandiant)
Dans l’enceinte de ces murs blancs, des informaticiens de talent ont bombardé pendant des années 141 entreprises américaines de faux e-mails, libérant un virus espion au moindre clic (« spearphishing »).
Cyber-Pearl Harbor
Plus grave qu’un simple espionnage industriel, un certain type d’attaques a particulièrement inquiété les autorités. Certaines d’entre elles ne se seraient pas limitées au vol d’informations confidentielles, mais auraient eu pour but de prendre le contrôle d’infrastructures stratégiques, presque avec succès.
En septembre, la filiale canadienne de Telvent a été piratée. L’entreprise fabrique des logiciels permettant aux entreprises de gazoducs et oléoducs de contrôler à distance les valves et les systèmes de sécurité de leur réseau ; ces clients représentent plus de la moitié des pipelines en Amérique. L’entreprise a tout juste eu le temps de couper les accès avant que les intrus n’aient pu prendre les commandes.
On imagine aisément les dégâts que pourrait causer une attaque mal intentionnée qui parviendrait à contrôler les vannes d’un barrage, les feux d’un réseau routier ou les systèmes de transmission d’une tour de contrôle dans un aéroport.
Léon Panetta, secrétaire d’Etat à la Défense américain et ancien directeur de la CIA, est allé jusqu’à parler d’un risque sérieux de « cyber-Pearl Harbor », une image toujours très vivante dans l’imaginaire américain.
Les preuves
Quelles preuves que le groupe de pirates baptisé APT1 et l’Unité 61398, le très discret (et ronronnant) mais officiel second bureau du troisième département de l’état-major de l’Armée populaire de libération, ne font qu’un ?
Un faisceau de plus 3 000 indices ont été récoltés par Mandiant ; du béton armé pour son directeur Kevin Mandia, contacté par le New York Times :
« Soit les membres [d’APT1] viennent de l’Unité 61398, soit les gens qui dirigent les réseaux Internet les plus contrôlés et les plus surveillés de la planète ne sont absolument pas conscients que des milliers d’individus lancent des attaques depuis ce petit quartier [de Shanghai]. »
La conclusion du rapport ne laisse d’ailleurs aucun doute quant aux convictions de ses auteurs sur les possibles liens entre gouvernement chinois et hackers d’APT1 :
« Soit une organisation secrète, ultra-spécialisée, remplie d’individus parlant chinois et ayant un accès direct aux infrastructures de télécommunication de Shanghai est impliquée dans une entreprise d’espionnage industriel depuis des années au nez et à la barbe de l’Unité 61398, exécutant des tâches similaires à la mission connue de l’Unité 61398 ;
soit APT1 est l’Unité 61398. »
Guerre froide 2.0
On aurait pu s’attendre à ce que les preuves accablantes de ce rapport aggravent les tensions entre les deux superpuissances économiques. Pourtant, pour des raisons commerciales et diplomatiques évidentes, il est très probable qu’aucune des deux parties ne haussera le ton.
Contactés par le New York Times, les diplomates de l’ambassade de Chine à Washington ont assuré aux journalistes que leur gouvernement ne pratiquait pas de piratage informatique, avant de souligner que leur propre pays était victime de piratages dont beaucoup provenaient de groupes basés aux Etats-Unis.
Barack Obama a quant à lui évoqué le danger des cyber-attaques lors de son discours sur l’Etat de l’Union ce week-end, mais s’est abstenu de désigner les coupables ou de citer la Chine en exemple.
La politique de défense informatique américaine pourrait pourtant se durcir dès aujourd’hui. Une directive signée par le Président la semaine dernière prévoit de partager avec les fournisseurs internet américains les infos que le gouvernement a rassemblées sur les groupes de hackers basés à Shangai.
La Maison Blanche serait également en train de peaufiner une réglementation qui donnerait au Président des pouvoirs de ripostes en cas de cyber-attaque, similaires à ceux qu’il a déjà en matière d’usage des drones.
SOURCE NOUVEL OBS