huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Attaques informatiques et acteurs étatiques 2
2 Cyber dragon

Il est rare qu'il soit question de la Chine ou d'Internet sans entendre évoquer trois thèmes récurrents :  les fabuleuses promesses du marché chinois, première réserve d'internautes de la planète, la "grande muraille de feu" qui permet à Pékin de garder le contrôle sur les messages et navigations de cette population, et enfin les multiples cyberattaques qui sont sensées en provenir. 
Aux États-Unis en particulier, les  rapports se succèdent et se ressemblent qui pointent la responsabilité de Pékin dans une série de "vagues" : de grandes attaques contre les institutions ou les entreprises occidentales. Pour mémoire, depuis au moins 1999 le département de l'Énergie se préoccupe d'une pénétration chinoise qui pourrait menacer la sécurité nucléaire du pays. Dix ans plus tard, en 2009, un rapport de Northrop et Grunmann sur "les capacités de la R.P. de Chine de conduire la cyberguerre et l'exploitation de réseaux d'ordinateurs" considérait qu'il s'agissait d'une transformation profonde des capacités militaires chinoises engagé depuis plusieurs années. On y apprenait que "Les Chinois ont adopté une stratégie de guerre de l'information dénommée Integrated Network Electronic Warfare (INEW) combinant attaque par des réseaux d'ordinateurs et guerre électronique", en préalable ou en complément d'attaques "classiques" dites cinétiques par le fer et par le feu. Le même rapport d'avertir que la Chine multipliait (et développerait davantage à l'avenir) des intrusions dans les systèmes d'information, occidentaux en particulier, à des fins de renseignement. Pour cela, il faisait alliance avec des acteurs privés, des pirates "chapeau noir", des hackers capables de fabriquer des outils de pénétration dans des systèmes d'information visés. Toujours les mêmes arguments : le niveau des attaques excède les capacités de simples particuliers ou d'organisations privées et, dans des pays aussi surveillés, des groupes de pirates ne pourraient subsister sans au moins l'accord tacite du gouvernement.
Une armée (l'Armée de Libération du Peuple) engagée dans le cyber et y mettant les moyens, une doctrine (ce que la fameux ouvrage de stratégie chinois "La guerre hors limites" de Q. Liang et W. Xiangsui qui fit tant de bruit à la fin de la décennie 90 rendait assez vraisemblable), des capacités offensives, une stratégie d'infiltration et d'espionnage très en amont, le recours à des mercenaires ou à des pirates informatiques : le tableau est dressé ; il ne changera guère par la suite. Il a un corollaire : la Chine est toujours plus ou moins explicitement désignée outre Atlantique comme ennemi principal en ce domaine. 
La rencontre de Sunylands entre B. Obama et XI Jinping en Juin 2013 a été l'occasion de rappeler les griefs des États Unis (quelque temps auparavant, le Washington Post avait révélé que les hackers chinois avaient dérobé des secrets militaires dont ceux du chasseur F-35 Lightning, des secrets "valant plusieurs milliards de dollars et représentant vingt-cinq ans de recherche et développement pour un pays comme la Chine"). Le président américain profita de l'occasion pour réclamer de son homologue une sorte de code des règles communes dans le domaine cyber. Sur fond d'accusations mutuelles (les Chinois ne cessent de se plaindre d'être la première cible au monde en nombre de cyberattaques), cette négociation sur des lignes à ne pas franchir et ce qui commence à ressembler à une grammaire de la dissuasion rappelle des schémas de guerre froide.
Dans le rapport Mandiant (publié en 2013 mais reflétant six ans d'enquête) désignait même les coupables principaux, qui auraient sans doute fait 150 victimes sur une période de sept ans et qu'il aurait repérés d'après des recherches sur les adresses I.P. : l'unité 61398, dite aussi "Comment Crew", dépendant de l'Armée de Libération du Peuple et installée dans la banlieue de Shangai. Cette équipe d'élite aurait prélevé des quantités remarquables de données sensibles chez 100 de leurs clients, aussi bien chez Coca Cola que les infrastructures vitales de distribution de l'électricité.
De la même façon, un rapport de l'agence Kaspersky identifie peu après une autre unité de hackers chinois qu'il nomme Red Star APT, une cinquantaine de personnes actives depuis 2005, et qui auraient visé aussi bien des activistes tibétains que des institutions diplomatiques ou universitaires, des fournisseurs de la défense, des sociétés pétrolières. Ils auraient profité de failles de sécurité pour prélever (à 60% chez des agences gouvernementales, pour le reste surtout des institutions vouées à la recherche), des informations portant souvent sur des technologies de pointe (nanotechnologies, lasers, communication...)

Une des caractéristiques des offensives chinoise (le lecteur comprendra : "attribuées à la Chine ou à des acteurs en Chine") est de procéder par campagnes massives et par "vagues". Certaines ont des noms : Byzantine Candor (commencée peut-être en 2002),Titan Rain (sans doute commencée en 2003) Shady RAT (lancée à partir de 2006), Ghostnet (découverte en 2009), Aurora (découverte en 2010) etc.. On les considère généralement comme des "Advanced Persistent Threats" (des menaces avancées persistantes, même la définition exacte de ce terme n'est pas très bien fixée) ce qui signifie en pratique des attaques élaborées, se développant à partir d'un point d'entrée, visant à prendre le contrôle d'un système important sur une longue durée, y prélevant des données sans être détectées, avec des objectifs politiques ou économiques. Comprenez : typiquement le genre d'offensives que mènerait un acteur étatique ayant des objectifs à long terme et se donnant les moyens de ses ambitions. 
Dans la liste des victimes du cyberdragon, on retrouve donc aussi bien des infrastructures  critiques (énergie, gazoducs, digues Departement of Homeland Security) que des grandes sociétésGoogle, Adobe,  Lockheed Martin, Northrop Gruman etc., médias, services financiers comme  Morgan Stanley ou la chambre américaine de commerce, etc.
Il faut rendre à la justice que le cyberespionnage chinois ne s'en prendrait pas qu'aux États-Unis : il a aussi été mis en cause dans des affaire contre la chambre des communes britannique (2006), contre des intérêts allemands (2009), contre l'Inde, la Corée du Sud, le Japon... Les pays de l'Asean (Laos, Malaisie, Philippines, Singapour, Vietnam, etc.) seraient également victimes d'attaques de cyberespions 
Si l'on en suit l'avis des experts cités plus haut, la "patte" chinoise se manifesterait plutôt dans l'ampleur de ces attaques ou des forces mobilisées (Ghosnet serait actif dans une centaine de pays, par exemple) que par une sophistication extrême. Ces attaques tendraient à utiliser des modes de compromission assez simples, par phishing ou par document infecté joint à un mail, à exploiter à fond les failles découvertes, à rechercher plus l'efficacité que la discrétion...
Quant au choix des cibles, on retrouve souvent un mélange d'institutions publiques, voire militaires et de centres de recherche, ONG, think tanks, entreprises de pointe, éventuellement mélangées à des cibles plus ouvertement "idéologiques" comme de supposés activistes tibétains et ouïgours. Sans oublier les accusations lancées notamment contre la Chine à propos de l'espionnage supposé de la campagne présidentielle Obama contre Mc Cain en 2008 : des hackers chinois auraient pénétré les données et les messageries des deux camps.
En France aussi les dénonciations du cyber-espionnage chinois ne manquent pas : on leur a un moment attribué le pillage des ordinateurs de Bercy en 2011 et de ceux de l'Élysée pendant l'entre-deux tours de 2012, sans oublier les soupçons portés par le rapport du sénateur contre le matériel de routage "made in China". Récemment (26 Octobre 2013) Israël déclarait avoir déjoué une attaque chinoise contre 140 industries de défense et de sécurité par un pourriel porteur d'un cheval de Troie.
 
Le tableau qui se dessine suggère une priorité sur la technologie et le vol de propriété intellectuelle, appuyé sur du renseignement plus général et aboutissant éventuellement à la pose de relais pour de futures actions offensives si la nécessité s'en présentait un jour... Cela semble cohérent avec la façon systématique et hiérarchique de pratiquer l'infiltration et la compromission que l'on prête aux attaquants chinois. Jusqu'à présent la Chine aurait avancé ses pions, acquis un maximum de renseignement dans tous les domaines mais n'aurait pas mené de sabotage contre des infrastructures adverses. Et, sauf peut-être de rares exceptions contre la secte Falung Gogn p.e. ne mènerait guère non plus d'attaques de subversion dans un but de propagande.

Sous les réserves nécessaires (toutes les accusations contre la Chine tombent parfois un peu trop bien, en vertu du principe que l'on ne prête qu'aux riches, mais toutes ne peuvent pas non plus être totalement inventées), l'ensemble donne un tableau cohérent d'une nation avide d'innovation technologique et décidée à se la procurer par les moyens les plus rapides. 
Mais il serait incomplet sans le rappel de deux des forces principales de la Chine :
la continuité : le fait que la Chine ait songé très en amont à se doter d'infrastructures et de technologies nationales, par exemple de l'équivalent d'un Facebook, d'un Google, etc. paie certainement en termes de sécurité et de contrôle
une rhétorique de la souveraineté numérique et du contrôle international qui est admirablement servie par les révélations sur l'adversaire. Le pays qui lance Stuxnet et qui gère la gigantesque machine de Prism et compagnie s'est placé en mauvaise position pour dénoncer le péril jaune.

 Imprimer cette page