Lors d'une conférence de presse officielle, le ministère de la Justice américain a clairement accusé deux hackers chinois d'avoir effectué du cyberespionnage contre des entreprises américaines, pour le compte de Beijing. En lançant l'avis de recherche, les États-Unis accusent pour la première fois la Chine de faire appel à des cybercriminels.

Les accusations sont graves. Le 21 juillet, le ministère de la Justice américaine a convoqué solennellement la presse, en insistant lourdement sur l’ampleur de l’annonce : les autorités américaines lancent un avis de recherche contre deux hackers chinois. Elles les accusent d’avoir volé des téraoctets de documents secrets appartenant à des centaines d’entreprises, américaines et plus largement « non-chinoises » . Dernièrement, ils s’en seraient pris à des entreprises qui travaillent sur les tests et les vaccins liés à la Covid-19.

D’après la justice américaine, le duo menait en parallèle du cyberespionnage pour le compte du gouvernement chinois — plus précisément, pour le ministère de la Sécurité nationale — et des cyberattaques pour leur propre compte. Plusieurs groupes de cybercriminels d’élite ont adopté ce genre de fonctionnement. La Russie s’est spécialisée dans l’utilisation de ces agents doubles, au même titre que l’Iran et la Corée du Nord.

Le ministère de la Justice a émis un avis de recherche pour les deux hackers, qu’il poursuit avec 11 chefs d’accusation. // Source : ministère de la justice américain

Le principe est simple : le gouvernement ferme les yeux sur les actes de malveillance des cybercriminels, et les fournit en ressources matérielles et logicielles. En échange, si les activités des cybercriminels sont démasquées, l’État peut décliner toute responsabilité, et la rejeter sur le groupe.

« La Chine a désormais pris sa place, aux côtés de la Russie, de l’Iran et de la Corée du Nord, dans un club honteux de nations qui offrent un refuge aux cybercriminels, en échange de leur travail pour le compte de l’État », a dénoncé lors de la conférence de presse John Demers, un haut gradé du ministère de la Justice, avant d’enchainer, « ils alimentent la faim insatiable du parti communiste chinois pour la propriété intellectuelle durement obtenue par les entreprises américaines et non chinoises. » Plusieurs entreprises de cybersécurité dénoncent depuis plusieurs années la liaison de certains groupes de criminels avec l’État chinois, mais c’est la première fois que le gouvernement américain l’évoque frontalement.

Les autorités avancent 11 chefs d’accusation contre les deux citoyens chinois, désormais officiellement recherchés par le renseignement américain.

La même méthode, dans différents secteurs

Li Xiaoyu et Dong Jiazhi opéraient depuis 2009, dans un rayon d’action particulièrement large : la robotique, l’aéronautique, l’énergie solaire, le jeu vidéo ou encore les biotechs. En revanche, ils adoptaient toujours le même mode opératoire, qui leur permettait de lancer un grand nombre de cyberattaques. C’est aussi ce qui a permis aux enquêteurs de relier leurs différentes activités.

Don Jiazhi se chargeait de faire le repérage : il déterminait quelles entreprises représentaient un intérêt stratégique, et à quelles vulnérabilités elles étaient exposées. Ensuite Don Li Xiaoyu s’occupait de l’intrusion sur les systèmes de l’entreprise cible et de l’exfiltration des données.

D’après le dossier d’accusation, le duo exploitait les dernières failles de sécurité publiques pour s’en prendre aux entreprises en retard dans leurs mises à jour.  Ils parvenaient à obtenir la capacité d’exécuter des programmes à distance sur les ordinateurs de leurs victimes, puis ils déployaient des logiciels de vols d’identifiants, et installaient une voie d’exfiltration.

Les autorités américaines citent par exemple le piratage d’une agence de recherche biomédicale du gouvernement le 20 octobre 2018, pour lequel les hackers ont utilisé une faille du logiciel Adobe, découverte à peine 40 jours plus tôt. Une autre fois, précise le rapport d’enquête, le ministère de la Sécurité d’état chinois leur aurait fourni un malware zero-day, qui profite d’une faille inconnue de l’éditeur du logiciel, pour passer les défenses d’une entreprise correctement sécurisée.

La Chine, cyberennemi numéro 1 des États-Unis ?

Chaque vol pesait des douzaines voire des centaines de gigaoctets de données, compressées dans des fichiers RAR. Le dossier d’accusation évoque le pillage de 200 Go sur les technologies de laser et de radio d’une entreprise californienne, ou encore l’exfiltration de 140 Go de données appartenant à un sous-traitant de défense, qui contenaient le détail de projets de l’U.S. Air Force [l’aviation U.S, ndlr]  et des données personnelles d’officiers. La taille du vol dépasse même le téraoctet (1 000 Go) dans le cas d’une entreprise qui développe des turbines au gaz.

Parallèlement à ce cyberespionnage industriel, le duo lançait des demandes de rançon en échange de la restitution des fichiers volés, pour des montants supérieurs à 10 000 dollars en cryptomonnaies. Quelle que soit leur activité, ils s’assuraient de rester le plus discret possible dans leurs méthodes d’exfiltration, avec toutes sortes de ruses techniques.

Il y a 5 ans, U.S. et Chine signaient un accord

L’avis de recherche contre eux devrait tendre encore plus les relations entre la Chine et les USA, déjà désastreuses tant sur le volet commercial que sur le volet diplomatique. Le FBI, par l’intermédiaire de son directeur adjoint David Bowdich, a même rajouté son grain de sel, déclarant la Chine comme ennemi numéro 1 des U.S.dans le cyberespace : «  L’ampleur des activités de hacking soutenues par le renseignement chinois contre les USA et nos partenaires internationaux est sans comparaison avec les autres menaces auxquelles nous faisons face aujourd’hui. » Le dirigeant a ajouté que pour lui la Chine adoptait le « comportement d’une organisation de criminels », et non celui « d’un leader mondial de confiance ».

Cette escalade politique marque l’échec définitif de l’accord sur les relations cyber entre les deux pays, signé gouvernement chinois actuel et l’administration Obama en 2015. Parmi les quatre axes majeurs de l’accord, les états s’engageaient à « s’abstenir de mener ou de soutenir sciemment le vol de propriété intellectuelle par des cyberattaques ». Raté.

Partager sur les réseaux sociaux