Le leak d’I-Soon fait désormais le miel des experts en sécurité informatique. Depuis dimanche dernier, des données de ce fournisseur chinois en cybersécurité, visiblement basé à Shanghai, ont été mystérieusement dévoilées sur un compte GitHub – une traduction française est disponible ici -, une fuite de données qui n’a pas été revendiquée.
Certes, comme le relève l’entreprise de cybersécurité Sentinel One, l’authenticité des documents issus de cette entreprise, liée au groupe APT41 via l’entreprise Chengdu 404, est encore “indécise”. Mais ces données, un mélange de discussions, d’argumentaires commerciaux et de documentation interne, semblent bien mettre en évidence la façon dont un prestataire cyber privé peut travailler avec des services de l’Etat et les modes opératoires utilisés.
Documents marketing
Ainsi, selon la société Malwarebytes, on retrouve parmi ces documents marketing vantant les mérites d’I-Soon des références à un voleur d’information Twitter, qui permettrait d’obtenir l’adresse mail, le numéro de téléphone d’un utilisateur et l’interception de messages privés. De même, des chevaux de Troie pour Windows ont également été repérés, ainsi qu’une version IOS (Apple), qui date toutefois des années 2020, ou encore des équipements de piratage visant les réseaux Wi-Fi et une plateforme de renseignement en source ouverte.
« Nous avons rarement un accès aussi illimité au fonctionnement interne d’une opération de renseignement », a ainsi remarqué l’un des cadres de Mandiant au Washington Post. « Nous avons toutes les raisons de croire qu’il s’agit des données authentiques d’un sous-traitant soutenant des opérations de cyberespionnage nationales et mondiales depuis la Chine », ajoute-t-il. On apprend par exemple que les salariés se plaignent du niveau de leurs salaires et qu’ils jouent au Mahjong au bureau.
Echantillons
Autre exemple, relevé cette fois par la newsletter Risky Business: des échanges montrent comment un sous-traitant peut travaillet avec son client sur ce marché très concurrentiel, en proposant par exemple des échantillons pour pousser à l’achat de données volées. Dans l’exemple cité, l’acheteur n’est pas convaincu de l’intérêt d’acheter des informations sur Jens Stoltenberg, le secrétaire général de l’Otan.
Autant d’outils qui auraient été utilisés par l’administration chinoise contre une vingtaine de cibles gouvernementales, dont la Corée du Sud, l’Inde, la Thaïlande ou encore le Vietnam. Une feuille excel de cibles mentionne même deux enseignants de Sciences-Po, deux spécialistes de la Chine et de l’Asie. La prestigieuse école a précisé au quotidien Le Monde être “en lien avec les autorités compétentes pour établir les faits et les suites à donner”.