Magazine DSI HS

Cyberguerre : du hacking à la guerre cognitive

Vol d’informations sensibles liées au nouveau missile de croisière de l’US Navy et à la guerre sous-­marine, vol de la base des données personnelles des 22 millions de fonctionnaires fédéraux, vol du fichier des réservations et des données clients de la chaîne d’hôtels Marriott… Dès qu’une attaque informatique massive défraye la chronique, tous les yeux se tournent désormais vers la Chine. Le pays serait à l’origine de plus de la moitié des attaques informatiques dans le monde, et de plus du tiers des malwares en circulation. Mais cette excellence technique reste pourtant anecdotique face à l’ampleur du dispositif en cours de déploiement au sein de l’Armée Populaire de Libération (APL).

Les prémices

Les « Hackers rouges »

Les premières attaques revendiquées sont survenues à partir de 1999 lors de la guerre du Kosovo, après le bombardement de l’ambassade de Chine à Belgrade, et en 2001, après l’atterrissage d’urgence d’un avion de renseignement américain EP‑3 Aries II sur l’île de Hainan. Les pages d’accueil de milliers de sites américains, dont celui de la Maison-Blanche, furent détournées. Mais aussi celles liées au nouveau président indépendantiste taïwanais. Ces attaques présentées comme patriotiques étaient systématiquement revendiquées par des coalitions de groupes de hackers indépendants comme Red Hacker’s Alliance ou China Eagle Union. L’instrumentalisation et la structuration de ces groupes par les autorités chinoises en raison de leur agilité perdurent jusqu’à aujourd’hui. Selon le spécialiste américain Scott Henderson, Beijing disposerait d’un vivier évalué à 300 000 individus. Et parfois, certains sont même recrutés au sein des forces de sécurité, comme l’a démontré une enquête de la société de cybersécurité russe Kaspersky en 2015, à propos du groupe d’élite APT 17.

La sécurité intérieure

Mais l’implication du gouvernement chinois dans les opérations cyber fut en priorité motivée par des raisons de sécurité intérieure. Très tôt, Beijing a mis en place un « Great Firewall » pour filtrer les sources d’informations auxquelles ses citoyens pouvaient avoir accès. Un dispositif rendu encore plus efficace par la suite grâce à Google et à Facebook, puisque leur coopération fut imposée par le gouvernement comme une condition sine qua non de leur implantation sur le marché chinois. Mais ce dispositif ne se contente pas d’être passif, il est également actif. Ainsi, le moteur de recherche Beidou, souvent présenté comme le Google chinois, implante des malwares dans les terminaux qui s’y connectent afin de pister les internautes cherchant à contourner la censure via des sites comme GreatFire​.org. Si les activités de la secte Falun Gong en 1999 ont poussé la Chine à s’investir dans les opérations de cybersécurité intérieure, d’autres mouvements de protestation n’ont fait que radicaliser cette posture, comme les manifestations lors de l’élection présidentielle de 2009 en Iran, les émeutes altermondialistes de 2011 à Londres et à Wall Street et, bien évidemment, les printemps arabes.

Le gouvernement chinois comprit alors qu’Internet et les réseaux sociaux étaient en mesure de permettre à des groupes minoritaires, instrumentalisés ou non, de devenir des facteurs d’instabilités politiques et sociales durables. Ici, il ne se contente pas de censurer ou de rendre indisponibles par attaques DDoS (Distributed Denial of Services) les sites liés aux mouvements ouïghour, tibétain ou religieux, mais met en place des opérations extrêmement offensives, y compris à l’extérieur de son territoire. Ainsi, en 2011, la chaîne militaire du réseau télévisé CCTV avait diffusé un documentaire sur les armes cybernétiques développées par l’Institut d’ingénierie électrique de l’APL pour neutraliser tout le dispositif informationnel de Falun Gong sur le territoire américain.

L’espionnage

C’est à partir de 2003 que le recours au cyberespionnage est systématisé pour supporter l’effort industriel et militaire chinois, par des attaques portant sur certains serveurs d’agences fédérales ou d’industriels américains travaillant tous pour l’armée américaine. Une opération d’ampleur, baptisée « Titan Rain », parvint ainsi à dérober plusieurs téraoctets d’informations classifiées. Le groupe de hackers APT 1 parvint entre 2006 et 2014 à détourner des informations industrielles et commerciales critiques de plus de 141 organisations. Mais l’effroi s’empara de l’administration Obama lorsque la société de cybersécurité Fire Eye, principal sous-­traitant de la NSA, démontra que plus de 20 groupes analogues opéraient sous la coordination directe de l’unité 61398, alors rattachée au 3e département de l’état-­major de l’APL, mais aussi que 52 autres étaient sollicités de manière ponctuelle, dont ceux appartenant au réseau GhostNet connu pour s’être introduit dans les serveurs des organisations privées et étatiques de plus de 103 pays, ou encore ceux issus du vivier de l’École d’informatique de Jiaotong à Shanghai ou de celle de Lanxiang. Ces opérations parvinrent à dérober au géant américain Boeing plus de 630 000 fichiers, et à compromettre plus 10 000 machines de son intranet. Toutes étaient liées à la production de l’avion de transport militaire stratégique C‑17. L’opération contre Boeing n’aurait coûté en tout et pour tout que 393 000 dollars pour permettre de concevoir l’Y‑20 chinois, alors que le C‑17, lui, aurait représenté un total de plus de 40 milliards de dollars de R&D.

General Atomics et le programme de drone armé Reaper auraient également fait les frais de telles attaques, à en juger par le design du drone MALE chinois Wing Loong. Après l’inculpation de cinq officiers chinois et l’accord américano-­chinois de septembre 2015, la fréquence des attaques subit une chute considérable, mais la Chine se concentra sur des objectifs encore plus stratégiques afin de soutenir le 15e plan quinquennal. En fait, les préparatifs avaient déjà commencé bien avant 2015 sous l’égide du général Liu Xiaobei, à la tête du 3e département. Ce cryptologue de formation avait en effet constitué un dispositif de plus de 100 000 hackers, linguistes et analystes. Si le 3e département, ou « Bureau des reconnaissances techniques » dispose d’un QG à Haidan, près de Beijing, ses unités sont réparties à Shanghai, Sanya, Chengdu, Qingdao, et Guangzhou. En utilisant les contacts d’hommes d’affaires chinois installés en Amérique du Nord, il parvint à cibler des centaines d’individus travaillant pour des sous-­traitants de premier rang de la BITD américaine. Si le spear phishing reste la méthode la plus employée par le 3e département, d’autres outils ciblant Windows sont particulièrement utilisés. Il s’agit du scanner de serveurs Nbtscan ou de PoisonIvy, un cheval de Troie simple et gratuit qui permet de prendre le contrôle des ordinateurs à distance. Le groupe APT 10 a lui modifié certains malwares pour y parvenir, comme PlugX ou RedLeaves, mais aussi certains chevaux de Troie comme QuasarRAT.

Parallèlement, toute une ingénierie s’est mise en place pour élaborer des exploits « 0 Days », qui permettent, grâce à l’exploitation de vulnérabilités de certains systèmes (inconnues des concepteurs), de s’y introduire. On relève également tout un savoir-­faire dans le domaine de la recherche OSINT et celle relevant de l’Internet des objets. Ce savoir-­faire aurait permis de subtiliser la liste des sous-­traitants de SpaceX auprès de sa direction des achats, comme l’a démontré la reconstitution réalisée par le Pasadena City College en mars 2018 ; ou encore de localiser et de copier les rapports du plus important sous-­traitant du Pentagone, Booz Allen Hamilton, stockés sur des serveurs non protégés du cloud d’Amazon. Mais d’autres coups magistraux défrayèrent la chronique, dont le plus spectaculaire reste le vol de 614 Go de données à l’US Navy, de janvier à février 2018. Selon l’enquête menée par le Washington Post, les plans du futur missile de croisière supersonique Sea Dragon, des éléments du système de cryptographie et la bibliothèque des menaces acoustiques seraient désormais compromis. Pour autant, résumer la stratégie cyber chinoise aux activités de cyberespionnage ne permet pas d’appréhender toute la complexité de sa réflexion dans ce domaine, ni la rupture stratégique qu’elle est en train de mettre en place.

Vers une cyberforce

Enclavement numérique

L’autre objectif principal de l’APL porte sur la protection des infrastructures critiques. La Chine accroît en effet chaque jour sa dépendance à l’égard des réseaux numériques. Ainsi, les services informatiques de son administration s’appuient dans leur totalité sur Internet pour des raisons de coût. Or, comme l’illustre une carte réalisée en 2014, la Chine est particulièrement mal placée sur le réseau mondial des fibres optiques (1). Sur cette carte, deux paramètres ont été représentés : d’une part, les chemins parcourus par ces fibres entre les territoires et, d’autre part, la hiérarchie de ces territoires dans la topologie du réseau. Ici, plus un territoire est critique plus son rôle d’intermédiation est important, car il est placé sur le plus grand nombre de plus courts chemins entre tous les autres membres du réseau. Or, selon cette carte, la Chine a non seulement un poids marginal au regard de son rang mondial, mais surtout, une action au niveau de Taïwan ou de Singapour peut la déconnecter irrémédiablement d’Internet, avec des conséquences immédiates sur sa stabilité économique et sociale. En somme, la profondeur stratégique de la Chine dans l’infosphère est si restreinte qu’elle implique une posture cyber résolument offensive. Aussi, le projet de « route de la soie » a également pour but de lui permettre de sortir de son désenclavement numérique, et ce parallèlement au projet Pacific Light pour la relier directement au continent américain. On comprend donc mieux son investissement actuel pour s’imposer sur tous les marchés d’infrastructures numériques en Afrique, mais également pour créer avec la Russie un Internet parallèle lui permettant de disposer de ses propres serveurs DNS (2).

Souveraineté

En outre, la majeure partie de sa supply chain domestique, tant dans le domaine des logiciels que dans celui des matériels, est largement dominée par les groupes américains. La presse chinoise revient régulièrement sur les huit « King-Kong » qui dominent son économie numérique : Apple, Cisco, Google, IBM, Intel, Microsoft, Oracle et Qualcomm. La souveraineté numérique est donc devenue une véritable obsession pour la CMC qui a fait de la sécurité de l’information dans les secteurs critiques une priorité stratégique. En 2015, celle-ci publiait un document intitulé « Stratégie militaire chinoise ». Si la volonté de sortir vainqueur d’un conflit local lourdement « informatisé » reste une préoccupation majeure, pour la première fois, les stratèges chinois adoptent dans ce document une approche plus globale. Le cyberespace y est décrit comme un pilier essentiel du développement économique et social chinois, mais aussi de sa sécurité nationale. Or les militaires estiment que les infrastructures numériques de leur pays et son rayonnement sont soumis à de graves menaces. Pour eux, le but principal d’une stratégie cyber doit leur permettre d’accroître leurs capacités défensives en cas d’offensive majeure dans ce domaine, afin de pouvoir dans un deuxième temps effectuer des contre-­frappes plus ciblées. Cette notion a d’ailleurs été particulièrement théorisée par le colonel Li Daguang. Deux chiffres permettent de mieux comprendre la posture chinoise. En 2018, la Chine a subi une moyenne quotidienne de plus de 800 millions d’attaques par déni de services. Mais surtout, son influence sur la Toile reste marginale puisque, malgré ses 700 millions d’internautes, moins de 1,7 % des sites sont en chinois, contre 53,9 % en anglais.

Guerre cognitive

La stratégie militaire chinoise de 2015 introduit en fait une véritable révolution doctrinale et opérationnelle au sein de l’APL, en préparation depuis 2010. Sous l’impulsion de Xi Jinping, l’état-major général est démantelé au profit d’un état-­major directement sous les ordres de la CMC et de cinq commandements de théâtre qui seront soutenus par des dispositifs transverses. Aux côtés de la Deuxième Artillerie pour les capacités nucléaires, l’ensemble des capacités informationnelles chinoises (à savoir les capacités spatiales, de guerre électronique, cyber et d’opérations psychologiques) sont rassemblées au sein d’une entité unique, la Force de Soutien Stratégique (FSS), placée sous l’autorité directe de la CMC, et confiées à un proche de Xi Jinping, l’ancien chef d’état-major de l’armée de l’air, le général Gao Jin. Par cette initiative, la Chine entend combler son retard sur les États-Unis en s’inspirant du Strategic Command tout en le dépassant. Le regroupement de ces quatre entités qui totalisent plus de 400 000 hommes constitue de fait le premier commandement intégré affecté à la guerre dans la datasphère, mais surtout dans le champ cognitif (3).

La FSS dispose de deux ensembles principaux. Tout d’abord le département des systèmes spatiaux qui intègre les sites de lancement, de tests et d’entraînement, le corps des taïkonautes, les moyens d’écoute spatiaux et la flotte des satellites militaires et civils. Mais surtout le département des systèmes de réseaux, sous les ordres du général Zheng Junjie, qui se distingue au regard de l’approche occidentale en intégrant l’ensemble des capacités cyber, de guerre électronique et d’opérations psychologiques de l’APL. Avec la nomination de Zheng Junjie, le 3département chargé des activités de renseignement électronique prend ainsi le contrôle du 4e département chargé, lui, des moyens de lutte électronique offensive, et de celui des opérations psychologiques. Finalement, seules les capacités tactiques ont pu être conservées par les trois armes. Comme nous l’avons vu précédemment, le 3e département concentrait toutes les capacités de renseignement cyber. Il était constitué de 12 bureaux de reconnaissance technique, de trois centres de recherche (56e, 57e, et 58e Instituts) pour la conception des outils, ainsi que de l’Institut des langues étrangères de Luoyang et de l’Université d’ingénierie de l’information de L’APL. Les capacités de lutte informatique offensive du 4e département étaient pour leur part constituées de quatre brigades de guerre électronique (Langfang, Yingtan, Beidaihe, Nicheng), du 54e Institut de recherche et de l’Institut d’ingénierie électrique. Cette fusion des 3e et 4e départements en une seule entité permet ainsi d’intégrer de manière disruptive les capacités de renseignement et de frappe dans la datasphère et de concentrer les ressources.

L’intégration supplémentaire de la Base 311 chargée des opérations psychologiques permettra à celle-ci de démultiplier l’impact des opérations d’information de l’APL. Par ce dernier rattachement, les stratèges chinois démontrent que, pour eux, le cerveau humain constitue un autre système de la datasphère qu’il est possible de hacker ou d’incapaciter. À terme, il s’agit de fusionner l’ensemble des renseignements collectés pour démultiplier les capacités défensives, mais aussi offensives, des différents théâtres. Il ne s’agit plus seulement d’une guerre de l’information, mais surtout d’une guerre du temps. En accélérant le rythme de sa boucle OODA et de sa killing chain, la CMC est persuadée de pouvoir s’imposer face aux dispositifs américains, souvent pénalisés par la multiplicité de systèmes redondants et parfois contradictoires. Si ce dispositif reste encore en cours d’intégration, ne nous méprenons pas : l’APL, qui certes n’a pas combattu depuis longtemps, se donne, par cette révolution conceptuelle associée à ses efforts dans le domaine des armes à énergie dirigée et antisatellite (4), les moyens d’infliger à ses adversaires des dommages majeurs sans contact, qu’ils soient militaires, économiques ou sociétaux.

Notes

(1) La France, présente sur presque tous les sous-­réseaux grâce à ses DOM-TOM, est au contraire en position de leader mondial avec les États-Unis.

(2) Un serveur DNS est une sorte d’annuaire qui permet de faire correspondre l’adresse URL d’un site et l’adresse IP de la machine qui l’héberge. Internet ne compte en tout qu’un peu plus de 4 milliards d’adresses IP.

(3) Les conflits armés comptent trois sphères d’opérations : topologique (air, terre, mer), électronique et psychologique. La réunion des sphères électronique et psychologique constitue une entité propre : la guerre cognitive.

(4) Voir « La Force spatiale chinoise », Défense & Sécurité Internationale, no 141, mai-juin 2019.

Légende de la photo en première page : la conception chinoise de l’action psychologique dépasse de loin les actions classiques à destination des populations… également pratiquées (ici, par des Casques bleus au Soudan). (© MoD/Li Xin)

Article paru dans la revue DSI hors-série n°68, « Chine : Quelle puissance militaire ? », octobre-novembre 2019.
0
Votre panier