
La Chine était jusqu’à présent épargnée par les fuites de données qui ont dévoilé les pratiques de cyberespionnage des États-Unis et de la Russie. Mais le 16 février, un « leak » concernant un sous-traitant privé de la police chinoise a levé le voile sur les opérations de Pékin.
(...) C’est en effet à Chengdu que l’on retrouve des sociétés privées, dont la façade officielle est la « sécurité informatique » et qui se présentent comme des « gentils hackers » (des « white hats », chapeaux blancs dans le jargon du secteur), mais qui se livrent en réalité à des opérations de surveillance, en Chine ou à l’étranger, pour le compte de la police ou des services de renseignement. Et sont donc plutôt à ranger du côté des « blacks hats », les « méchants hackers ». (...)
Malgré l’opacité qui règne dans ces milieux, on connaissait certains aspects de leurs activités, notamment grâce à des enquêtes menées ces dernières années par le FBI qui avaient abouti à la mise en examen, aux États-Unis, de hackers chinois. Dans l’une d’elles, trois salariés de l’entreprise Chengdu 404, basée dans la ville éponyme, avaient été inculpés, en août 2020, pour s’être introduits illégalement dans les réseaux informatiques d’une centaine d’entreprises aux États-Unis et dans le monde entier.
« Les accusés ont également compromis des réseaux informatiques de gouvernements étrangers en Inde et au Vietnam, et ont ciblé, sans les compromettre, des réseaux informatiques gouvernementaux au Royaume-Uni. Dans un cas notable, les accusés ont mené une attaque par rançongiciel sur le réseau d’une organisation à but non lucratif dédiée à la lutte contre la pauvreté dans le monde », expliquait alors le communiqué du ministère de la justice des États-Unis.
De leur côté, au gré des attaques, les spécialistes des menaces informatiques reconstituaient, non sans mal, une nébuleuse formée d’acteurs publics et privés, où ces derniers sont mus à la fois par un « esprit patriotique » et par l’appât du gain. La grandeur du pays, alliée au business le plus pur. (...)
une récente fuite de données, publiées le 16 février sur le site GitHub, lieu de ralliement des codeurs et codeuses du monde entier, a révélé les secrets d’une de ces entreprises mercenaires. Elle s’appelle I-Soon (Anxun en chinois, « an » signifiant sécurité et « xun » vraiment) et emploie moins de cent employés.
Elle est basée à Shanghai, même si le cœur de son activité est à Chengdu. Elle est partenaire et concurrente de Chengdu 404. Cette dernière a d’ailleurs poursuivi en justice I-Soon pour un litige concernant le développement d’un logiciel, avait révélé en octobre 2023 un groupe d’experts situé aux États-Unis, Natto Thoughts.
Représentant plus de 500 documents, à la fois du matériel de promotion, des catalogues – où l’on peut choisir des services et des produits capables de contrôler notamment des comptes Twitter ou Gmail –, des contrats, des listes de cibles (en France, les comptes mails de deux professeurs de Sciences Po ont été ciblés, un sinologue et le responsable du campus Asie au Havre), la grille des salaires et, surtout, des discussions entre employés ou entre les deux patrons de l’entreprise, cette fuite rend possible, pour la première fois, une plongée au cœur du cyberespionnage à la chinoise. (...)
Les hackers ont été hackés – personne n’a revendiqué l’opération, mais deux employés ont confirmé la fuite à un journaliste de l’agence Associated Press qui s’est rendu à Chengdu – et soudain s’ouvre tout un monde. (...)
« les outils documentés et présentés dans cette fuite ne présentent pas de technologies particulièrement avancées ». La particularité du cyberespionnage chinois, relève l’expert, auteur de livres sur les menaces APT, n’est pas d’être « plus évolué, mais efficace et constant ».
Un sentiment partagé par Ivan Kwiatkowski, chercheur en sécurité informatique pour la société HarfangLab et qui a réalisé une étude sur la fuite de données I-Soon : « Sur le plan technique, on n’a rien trouvé qui soit exceptionnel. Ce qui m’a beaucoup surpris, c’est de voir qu’il y a beaucoup de produits qu’ils commercialisent qui sont en réalité dérivés ou même construits sur des projets open source dans le monde de la cybersécurité. » (...)
Le but de la fuite, dont on ignore l’origine, est sans conteste de noircir l’image de l’entreprise, les intitulés sur les documents sont parlants : « Informations privilégiées sur Shanghai I-Soon. Les données de Shanghai I-Soon ne sont pas fiables et escroquent les agences gouvernementales nationales. La vérité derrière I-Soon. » Il pourrait s’agir d’un·e salarié·e mécontent·e. Ou bien d’un concurrent. Ou d’une agence de renseignement étrangère, à l’heure où le FBI vient d’annoncer avoir déjoué une cyberattaque chinoise visant des « infrastructures critiques »... (...)