Vols de données, espionnage politique, sabotage : l’invisible avancée des hackers chinois

La Chine s’immisce de plus en plus profondément dans nos infrastructures numériques, en mobilisant une armée de talents, y compris au sein d’entreprises privées.

Chaque année, la puissance chinoise devient plus visible. Le pays fabrique des équipements à un rythme extraordinaire, allant des navires de guerre aux missiles. Et dans le monde plus discret du cyberespace, il progresse tout aussi vite. Le 4 mars dernier, le ministère américain de la Justice a inculpé huit citoyens chinois pour avoir mené des cyberattaques massives contre des institutions gouvernementales, des médias et des dissidents aux États-Unis et ailleurs dans le monde. Ils travaillaient pour i-Soon, une entreprise chinoise opérant pour le compte du gouvernement. Deux responsables, qui auraient dirigé ces attaques, ont également été poursuivis.

Mais ce n’est que la partie émergée d’un gigantesque iceberg. Ces dix dernières années, le programme de hacking chinois a connu une croissance fulgurante. En 2023, Christopher Wray, directeur du FBI, déclarait que ce programme était plus vaste que ceux de tous les autres grands pays réunis. La Chine s’est imposée dans trois domaines majeurs.

Trois types d’attaques

Le premier est l’espionnage politique, principalement lié au ministère de la Sécurité d’État, qui est en réalité le service de renseignement extérieur de la Chine. L’an dernier, il est apparu qu’un groupe de hackers chinois nommé Salt Typhoon avait piraté au moins neuf opérateurs téléphoniques américains, obtenant ainsi un accès aux conversations et aux messages de hauts responsables.

Ciaran Martin, qui a dirigé l’agence britannique de cyberdéfense de 2016 à 2020, compare cette affaire aux révélations d’Edward Snowden en 2013, qui avaient mis en lumière l’ampleur des activités de cybersurveillance menées par les agences de renseignement américaines. Selon lui, la Chine “a obtenu un accès massif aux communications nationales par le biais d’une opération d’espionnage stratégique d’une audace à couper le souffle”.

L’Armée populaire de libération

Le deuxième type est le piratage qui prépare le terrain à des actes de sabotage, en cas de crise ou de guerre. Cette mission revient principalement à l’Armée populaire de libération. En 2023, on a découvert qu’un groupe de hackers lié à l’armée chinoise, connu sous le nom de Volt Typhoon, s’était infiltré pendant plusieurs années dans un très grand nombre d’infrastructures critiques américaines. Cela allait des ports aux usines en passant par les stations d’épuration, réparties sur l’ensemble du territoire américain, mais aussi dans des zones stratégiques à l’étranger, comme l’île de Guam.

Vol de propriété intellectuelle à grande échelle

Tout cela s’appuie sur une troisième forme de piratage chinois : le vol de propriété intellectuelle à grande échelle. En 2013, Mandiant, un service de renseignement spécialisé dans les cybermenaces (désormais propriété de Google), avait provoqué un scandale en révélant l’existence du groupe APT1, un collectif de hackers lié à l’Armée populaire de libération. APT1 ne visait pas les secrets politiques ou les réseaux électriques, mais ciblait les plans, procédés de fabrication et stratégies commerciales d’entreprises américaines. Un an plus tard, le gouvernement américain avait inculpé cinq hackers chinois pour ces faits — une démarche sans précédent à l’époque. Keith Alexander, ancien directeur de la NSA, avait qualifié ces activités de “plus grand transfert de richesse de l’histoire”.

Un écosystème structuré

Cette période s’est terminée par une trêve partielle. En 2015, le président américain Barack Obama et son homologue chinois Xi Jinping ont annoncé un “accord commun”. Aucun des deux pays ne devait mener de cyberspionnage pour voler de la propriété intellectuelle. L’accord a fonctionné. Ce type de spionnage commercial a diminué de manière drastique, bien que temporairement. Et il s’est avéré que cela n’était que le début d’une nouvelle ère de spionnage politique et de sabotage.

Trois grands changements ont marqué les programmes de piratage chinois. Le premier concerne qui réalise les attaques. En 2015-2016, peu après que la Chine a été ébranlée par les révélations d’Edward Snowden, le pays a réorganisé ses forces cyber. L’Armée populaire de libération s’est alors vue confier exclusivement les missions de renseignement militaire et de reconnaissance. La Sécurité d’État a, elle, repris la collecte de renseignements politiques – et s’en est acquittée avec zèle. Elle s’est également livrée à l’espionnage économique, mais à une échelle plus réduite. “Aujourd’hui, c’est le ministère de la Sécurité d’État qui est le grand hacker”, écrit Tom Uren, auteur de la newsletter cybersécurité Risky Business.

Par ailleurs, le piratage chinois s’est perfectionné. Il y a encore une vingtaine d’années, lorsque les entreprises de cybersécurité ont commencé à détecter la menace, les hackers chinois étaient “très bruyants”, affirme John Hultquist, de l’entreprise Mandiant. “Ils ne se souciaient pas de déclencher des alarmes ni d’être repérés.”

Une responsable européenne le confirme. Il y a à peine cinq ans, dit-elle,“les cyberpirates chinois n’étaient pas considérés comme très sophistiqués.” Ce n’est plus du tout le cas aujourd’hui. “La rapidité avec laquelle ils progressent surprend toujours les Occidentaux, même si cela ne devrait plus être une surprise”, ajoute-t-elle. “Quand la Chine veut accélérer dans un domaine, elle le fait. Le pays dispose de beaucoup de gens très intelligents.”

Cela indique une troisième évolution : le piratage chinois s’appuie de plus en plus sur un vaste écosystème florissant d’entreprises privées. Celles-ci forment un immense vivier de talents pour les opérations cyber chinoises à travers le monde. Un exemple parlant est la Tianfu Cup, une compétition liée à l’armée et organisée dans la ville de Chengdu, dans le sud-ouest du pays. Elle est devenue un véritable centre névralgique pour ce type d’activités. C’est l’un des nombreux concours où de jeunes experts techniques démontrent leurs compétences en piratage en trouvant et en exploitant des failles dans les logiciels. Depuis 2004, la Chine a organisé environ 130 de ces événements, dont la majorité après 2014, souvent avec le soutien des ministères.

Des concours pour repérer les hackers chinois les plus talentueux

De tels événements attirent des masses de candidats. Le plus connu, la Wangding Cup est organisée par le ministère de la Sécurité publique, qui supervise la police et recueille des renseignements intérieurs. L’événement est connu sous le nom de « olympiade de la cybersécurité » et attire jusqu’à 30 000 participants. Les tournois servent de terrains de repérage pour les espions chinois. Il y a dix ans, les hackers chinois pouvaient encore se rendre à de tels concours à l’étranger ; cela est désormais limité. Les failles de sécurité qu’ils découvrent – des points faibles dans le code, qui peuvent être utilisés pour obtenir un accès – sont « immédiatement transmises à l’appareil d’État », affirme une personne connaissant le processus. En 2021, le gouvernement a sanctionné Alibaba Cloud, une entreprise technologique, pour avoir révélé une faille informatique sans l’avoir d’abord signalée à l’État.

Ces compétitions de talents ne sont que le début. L’année dernière, des documents de i-Soon ont fuité sur Internet. Il en ressort que l’entreprise fonctionnait comme un service de renseignement privé, avec des antennes dans 23 pays, y compris au palais présidentiel du Népal, des données de cartes routières de Taïwan, des journaux téléphoniques sud-coréens, des systèmes d’immigration indiens et les services de renseignement de la Thaïlande. i-Soon fait partie des nombreuses entreprises de Chengdu.

Echecs et désorganisation

Les entreprises ne sont pas des ninjas incontournables – les fichiers fuités montrent des preuves de querelles internes, de désorganisation et d’échecs – mais elles contribuent à la cyberpuissance de la Chine. Même le ministère de la Sécurité de l’État fait appel aux outils et à l’infrastructure de ce genre d’entreprises pour ses opérations de piratage. Au début, les hackers chinois « sortaient directement et sans beaucoup de camouflage des réseaux de Shanghai », déclare John Hultquist de Mandiant. Aujourd’hui, ils utilisent des réseaux dits de boîtes de relais opérationnelles (ORB), construits et maintenus par des entreprises privées. Ces entreprises utilisent des appareils infectés dans le monde entier, comme des routeurs Internet dans des foyers, pour dissimuler l’origine des attaques.

L’augmentation de l’échelle, du raffinement et de l’agression du piratage chinois est « de loin le changement le plus important dans la menace cybernétique depuis plus de dix ans », remarque Carian Martin. Volt Typhoon et Salt Typhoon représentent chacun des menaces stratégiques pour l’Occident à une échelle jamais vue jusqu’à présent, avertit-il.

Pas encore de cyber-guerre

Pour l’instant, la Chine ne mène pas encore de cyber-guerre. « Ce qui distingue la Chine des pays comme la Russie, la Corée du Nord et l’Iran, c’est que ces pays franchissent systématiquement la frontière entre espionnage et perturbation, ainsi qu’entre exploration et sabotage pur et simple », explique Hultquist. La Chine « n’a jamais appuyé sur la gâchette », dit-il. Même dans les réseaux d’infrastructure américains, la Chine n’a pas encore installé de code destructeur. « Nous les voyons faire de l’exploration. Nous les voyons arriver à leur place. Mais ils ne nous montrent pas l’arme. »

The Economist