Cyberguerre : du hacking à la guerre cognitive

Vol d’informations sensibles liées au nouveau missile de croisière de l’US Navy et à la guerre sous-­marine, vol de la base des données personnelles des 22 millions de fonctionnaires fédéraux, vol du fichier des réservations et des données clients de la chaîne d’hôtels Marriott… Dès qu’une attaque informatique massive défraye la chronique, tous les yeux se tournent désormais vers la Chine. Le pays serait à l’origine de plus de la moitié des attaques informatiques dans le monde, et de plus du tiers des malwares en circulation. Mais cette excellence technique reste pourtant anecdotique face à l’ampleur du dispositif en cours de déploiement au sein de l’Armée Populaire de Libération (APL).

Les prémices

Les « Hackers rouges »

Les premières attaques revendiquées sont survenues à partir de 1999 lors de la guerre du Kosovo, après le bombardement de l’ambassade de Chine à Belgrade, et en 2001, après l’atterrissage d’urgence d’un avion de renseignement américain EP‑3 Aries II sur l’île de Hainan. Les pages d’accueil de milliers de sites américains, dont celui de la Maison-Blanche, furent détournées. Mais aussi celles liées au nouveau président indépendantiste taïwanais. Ces attaques présentées comme patriotiques étaient systématiquement revendiquées par des coalitions de groupes de hackers indépendants comme Red Hacker’s Alliance ou China Eagle Union. L’instrumentalisation et la structuration de ces groupes par les autorités chinoises en raison de leur agilité perdurent jusqu’à aujourd’hui. Selon le spécialiste américain Scott Henderson, Beijing disposerait d’un vivier évalué à 300 000 individus. Et parfois, certains sont même recrutés au sein des forces de sécurité, comme l’a démontré une enquête de la société de cybersécurité russe Kaspersky en 2015, à propos du groupe d’élite APT 17.

La sécurité intérieure

Mais l’implication du gouvernement chinois dans les opérations cyber fut en priorité motivée par des raisons de sécurité intérieure. Très tôt, Beijing a mis en place un « Great Firewall » pour filtrer les sources d’informations auxquelles ses citoyens pouvaient avoir accès. Un dispositif rendu encore plus efficace par la suite grâce à Google et à Facebook, puisque leur coopération fut imposée par le gouvernement comme une condition sine qua non de leur implantation sur le marché chinois. Mais ce dispositif ne se contente pas d’être passif, il est également actif. Ainsi, le moteur de recherche Beidou, souvent présenté comme le Google chinois, implante des malwares dans les terminaux qui s’y connectent afin de pister les internautes cherchant à contourner la censure via des sites comme GreatFire​.org. Si les activités de la secte Falun Gong en 1999 ont poussé la Chine à s’investir dans les opérations de cybersécurité intérieure, d’autres mouvements de protestation n’ont fait que radicaliser cette posture, comme les manifestations lors de l’élection présidentielle de 2009 en Iran, les émeutes altermondialistes de 2011 à Londres et à Wall Street et, bien évidemment, les printemps arabes.

Le gouvernement chinois comprit alors qu’Internet et les réseaux sociaux étaient en mesure de permettre à des groupes minoritaires, instrumentalisés ou non, de devenir des facteurs d’instabilités politiques et sociales durables. Ici, il ne se contente pas de censurer ou de rendre indisponibles par attaques DDoS (Distributed Denial of Services) les sites liés aux mouvements ouïghour, tibétain ou religieux, mais met en place des opérations extrêmement offensives, y compris à l’extérieur de son territoire. Ainsi, en 2011, la chaîne militaire du réseau télévisé CCTV avait diffusé un documentaire sur les armes cybernétiques développées par l’Institut d’ingénierie électrique de l’APL pour neutraliser tout le dispositif informationnel de Falun Gong sur le territoire américain.

L’espionnage

C’est à partir de 2003 que le recours au cyberespionnage est systématisé pour supporter l’effort industriel et militaire chinois, par des attaques portant sur certains serveurs d’agences fédérales ou d’industriels américains travaillant tous pour l’armée américaine. Une opération d’ampleur, baptisée « Titan Rain », parvint ainsi à dérober plusieurs téraoctets d’informations classifiées. Le groupe de hackers APT 1 parvint entre 2006 et 2014 à détourner des informations industrielles et commerciales critiques de plus de 141 organisations. Mais l’effroi s’empara de l’administration Obama lorsque la société de cybersécurité Fire Eye, principal sous-­traitant de la NSA, démontra que plus de 20 groupes analogues opéraient sous la coordination directe de l’unité 61398, alors rattachée au 3e département de l’état-­major de l’APL, mais aussi que 52 autres étaient sollicités de manière ponctuelle, dont ceux appartenant au réseau GhostNet connu pour s’être introduit dans les serveurs des organisations privées et étatiques de plus de 103 pays, ou encore ceux issus du vivier de l’École d’informatique de Jiaotong à Shanghai ou de celle de Lanxiang. Ces opérations parvinrent à dérober au géant américain Boeing plus de 630 000 fichiers, et à compromettre plus 10 000 machines de son intranet. Toutes étaient liées à la production de l’avion de transport militaire stratégique C‑17. L’opération contre Boeing n’aurait coûté en tout et pour tout que 393 000 dollars pour permettre de concevoir l’Y‑20 chinois, alors que le C‑17, lui, aurait représenté un total de plus de 40 milliards de dollars de R&D.

General Atomics et le programme de drone armé Reaper auraient également fait les frais de telles attaques, à en juger par le design du drone MALE chinois Wing Loong. Après l’inculpation de cinq officiers chinois et l’accord américano-­chinois de septembre 2015, la fréquence des attaques subit une chute considérable, mais la Chine se concentra sur des objectifs encore plus stratégiques afin de soutenir le 15e plan quinquennal. En fait, les préparatifs avaient déjà commencé bien avant 2015 sous l’égide du général Liu Xiaobei, à la tête du 3e département. Ce cryptologue de formation avait en effet constitué un dispositif de plus de 100 000 hackers, linguistes et analystes. Si le 3e département, ou « Bureau des reconnaissances techniques » dispose d’un QG à Haidan, près de Beijing, ses unités sont réparties à Shanghai, Sanya, Chengdu, Qingdao, et Guangzhou. En utilisant les contacts d’hommes d’affaires chinois installés en Amérique du Nord, il parvint à cibler des centaines d’individus travaillant pour des sous-­traitants de premier rang de la BITD américaine. Si le spear phishing reste la méthode la plus employée par le 3e département, d’autres outils ciblant Windows sont particulièrement utilisés. Il s’agit du scanner de serveurs Nbtscan ou de PoisonIvy, un cheval de Troie simple et gratuit qui permet de prendre le contrôle des ordinateurs à distance. Le groupe APT 10 a lui modifié certains malwares pour y parvenir, comme PlugX ou RedLeaves, mais aussi certains chevaux de Troie comme QuasarRAT.

Parallèlement, toute une ingénierie s’est mise en place pour élaborer des exploits « 0 Days », qui permettent, grâce à l’exploitation de vulnérabilités de certains systèmes (inconnues des concepteurs), de s’y introduire. On relève également tout un savoir-­faire dans le domaine de la recherche OSINT et celle relevant de l’Internet des objets. Ce savoir-­faire aurait permis de subtiliser la liste des sous-­traitants de SpaceX auprès de sa direction des achats, comme l’a démontré la reconstitution réalisée par le Pasadena City College en mars 2018 ; ou encore de localiser et de copier les rapports du plus important sous-­traitant du Pentagone, Booz Allen Hamilton, stockés sur des serveurs non protégés du cloud d’Amazon. Mais d’autres coups magistraux défrayèrent la chronique, dont le plus spectaculaire reste le vol de 614 Go de données à l’US Navy, de janvier à février 2018. Selon l’enquête menée par le Washington Post, les plans du futur missile de croisière supersonique Sea Dragon, des éléments du système de cryptographie et la bibliothèque des menaces acoustiques seraient désormais compromis. Pour autant, résumer la stratégie cyber chinoise aux activités de cyberespionnage ne permet pas d’appréhender toute la complexité de sa réflexion dans ce domaine, ni la rupture stratégique qu’elle est en train de mettre en place.

Vers une cyberforce

Enclavement numérique

L’autre objectif principal de l’APL porte sur la protection des infrastructures critiques. La Chine accroît en effet chaque jour sa dépendance à l’égard des réseaux numériques. Ainsi, les services informatiques de son administration s’appuient dans leur totalité sur Internet pour des raisons de coût. Or, comme l’illustre une carte réalisée en 2014, la Chine est particulièrement mal placée sur le réseau mondial des fibres optiques (1). Sur cette carte, deux paramètres ont été représentés : d’une part, les chemins parcourus par ces fibres entre les territoires et, d’autre part, la hiérarchie de ces territoires dans la topologie du réseau. Ici, plus un territoire est critique plus son rôle d’intermédiation est important, car il est placé sur le plus grand nombre de plus courts chemins entre tous les autres membres du réseau. Or, selon cette carte, la Chine a non seulement un poids marginal au regard de son rang mondial, mais surtout, une action au niveau de Taïwan ou de Singapour peut la déconnecter irrémédiablement d’Internet, avec des conséquences immédiates sur sa stabilité économique et sociale. En somme, la profondeur stratégique de la Chine dans l’infosphère est si restreinte qu’elle implique une posture cyber résolument offensive. Aussi, le projet de « route de la soie » a également pour but de lui permettre de sortir de son désenclavement numérique, et ce parallèlement au projet Pacific Light pour la relier directement au continent américain. On comprend donc mieux son investissement actuel pour s’imposer sur tous les marchés d’infrastructures numériques en Afrique, mais également pour créer avec la Russie un Internet parallèle lui permettant de disposer de ses propres serveurs DNS (2).

Bienvenue sur Areion24.news.
Ce site regroupe une sélection d'articles et d'entretiens rédigés par des spécialistes des questions internationales et stratégiques (chercheurs, universitaires, etc.) et publiés dans les magazines Diplomatie, Carto, Moyen-Orient et DSI.

Dans notre boutique

id id, ut ut elit. venenatis eget libero Donec mattis commodo
Votre panier
Areion24.news

GRATUIT
VOIR