Les autorits chinoises ont accus lundi les tats-Unis d’avoir lanc des « dizaines de milliers » de cyberattaque contre la Chine et d’avoir drob une grande quantit de donnes sensibles dans une universit de recherche publique. Le Centre national chinois de rponse aux urgences lies aux virus informatiques a dclar que la NSA a pirat la Northwestern Polytechnical University dans la ville de Xi’an et a exfiltr des donnes sur des programmes de recherche dans les domaines de l’aronautique et de l’espace. Le rapport des autorits chinoises que la NSA a dploy au moins 41 cyberarmes lors des attaques.
L’Office of Tailored Access Operations de la National Security Agency a men les attaques contre la Northwestern Polytechnical University Xi’an. Une quipe du centre et de 360 Security Technology inc. a analys les systmes d’information de l’universit aprs qu’une attaque provenant de l’tranger a t signale en juin. La NSA a men plus de 10 000 cyberattaques « vicieuses » sur des cibles chinoises au cours des dernires annes, recueillant plus de 140 gigaoctets de donnes de « grande valeur » , a dclar le Centre national chinois de rponse aux urgences lies aux virus informatiques (CVERC) dans un communiqu.
La NSA et le dpartement amricain d’tat ont refus de commenter ces allgations. Mais selon des critiques, c’est la dernire tentative de Pkin pour riposter aux plaintes de Washington concernant le cyberespionnage. En effet, ces dernires annes, Washington a rgulirement accus Pkin de piratage contre des entreprises et des agences gouvernementales amricaines, l’un des sujets sur lesquels les liens entre les deux puissances se sont dgrads ces dernires annes. La Chine a toujours ni ces allgations et s’est son tour attaque au prtendu cyberespionnage amricain, mais elle a rarement divulgu des attaques spcifiques.
Selon le rapport du CVERC, c’est l’Office of Tailored Access Operations (TAO) de la NSA qui a infiltr la Northwestern Polytechnical University. L’universit est finance par le ministre chinois de l’Industrie et des Technologies de l’information et est spcialise dans la recherche aronautique et spatiale. Le TAO se serait infiltr dans les rseaux de l’universit et aurait pris « le contrle de dizaines de milliers de dispositifs de rseau », dont des serveurs, des routeurs et des commutateurs de rseau. Il aurait ensuite dploy des cyberarmes et aurait exploit des failles jusqu’alors inconnues dans le systme d’exploitation SunOS.
Dans son rapport, le CVERC a dclar : le TAO a utilis 41 armes et quipements de cyberattaque spcifiques la NSA dans l’opration de cyberattaque contre la NWIT. Au cours de l’attaque, le TAO configurerait de manire flexible la mme cyberarme en fonction de l’environnement cible. Par exemple, il existait 14 versions diffrentes de l’outil de porte drobe « Cunning Heretic » (tel que nomm par la NSA) utilis dans la cyberattaque contre la Northwestern Polytechnical University . L’quipe technique a rpertori ces armes et les a classes suivant plusieurs catgories. En voici quelques-unes :
- Razor : cette arme peut tre utilise pour mener des attaques de vulnrabilit distance sur des systmes X86 et SPARC Solarise dont certains services RPC sont ouverts. L’attaque dtecte automatiquement l’ouverture des services du systme cible et slectionne intelligemment la version approprie du code d’exploitation pour prendre directement le contrle total de l’hte cible. Cette arme a t utilise dans des attaques contre des appareils au Japon, en Core et dans d’autres pays, et les appareils contrls ont t utiliss dans une cyberattaque contre la Northwestern Polytechnical University ;
- Silo : cette arme peut galement tre utilise pour effectuer une attaque par dbordement distance sur un systme Solaris avec un service RPC spcifi ouvert, prenant directement le contrle total de l’hte cible. La NSA a utilis cette arme pour prendre le contrle d’un serveur frontalier de la Northwestern Polytechnical University ;
- Second Date : cette arme rside sur les dispositifs et les serveurs situs la priphrie du rseau, tels que les serveurs passerelles et les routeurs priphriques, et peut effectuer un filtrage prcis et un dtournement automatis du trafic de donnes massif pour raliser des fonctions d’attaque de type « man-in-the-middle » ;
- NOPEN : cette arme est un cheval de Troie de contrle distance qui prend en charge plusieurs systmes d’exploitation et diffrentes architectures, et peut recevoir des commandes par le biais de tunnels chiffrs pour effectuer diverses oprations telles que la gestion de fichiers, la gestion de processus et l’excution de commandes systme, et dispose de ses propres capacits d’lvation de privilges et de persistance. Le TAO a principalement utilis cette arme pour contrler de manire persistante les serveurs des activits principales et les principaux priphriques du rseau de la Northwestern Polytechnical University ;
- Fury Jet : cette arme est un cheval de Troie de contrle distance bas sur Windows qui prend en charge plusieurs systmes d’exploitation et diffrentes architectures. Il peut tre personnalis pour gnrer diffrents types de serveurs de Troie en fonction de l’environnement du systme cible, qui ont de fortes capacits d’anti-analyse et d’anti-dbogage. Le TAO utilise cette arme en conjonction avec la plateforme « Acid Fox » pour mettre en uvre un contrle persistant des htes individuels au sein du rseau de bureaux du NWIT.
Le rapport indique que ces outils ont permis au TAO d’avoir accs des « donnes techniques essentielles », notamment des mots de passe et le fonctionnement de dispositifs rseau cls. Le CVERC a dclar que le TAO a « vol plus de 140 gigaoctets de donnes de grande valeur » ces dernires annes et a reu l’aide de groupes en Europe et en Asie du Sud. Les attaques ont entran des risques importants et des dangers cachs pour le travail et la vie normaux de notre cole , a dclar un responsable de la cyberscurit de l’universit. Ce rapport intervient quelques mois aprs que les tats-Unis ont mis en garde contre de futures cyberattaques chinoises.
En juillet, le directeur du FBI, Christopher Wray, a averti les entreprises occidentales que la Chine visait « saccager » leur proprit intellectuelle afin de pouvoir dominer terme des industries cls. Les deux pays avaient prcdemment convenu de ne pas tolrer le cybertrafic de proprit intellectuelle ou de secrets commerciaux lors de la visite d’tat du prsident chinois Xi Jinping Washington en 2015. Samantha Hoffman, analyste principale l’Australian Strategic Policy Institute, a dclar qu’il y avait une recrudescence d’accusations chinoises spcifiques de cyberattaques amricaines et que les tats-Unis devraient en faire autant.
Les tats-Unis et leurs allis doivent s’efforcer d’expliquer pourquoi l’activit de la Chine dans cet espace est anormale – au-del de ce que font la plupart des agences de renseignement. Bien sr, la Chine va probablement continuer rpondre par des accusations similaires, qui peuvent ou non tre factuelles , a-t-elle dclar. Par le pass, la Chine a gnralement rpondu ces critiques en se prsentant comme une victime du piratage informatique, en qualifiant les tats-Unis d' »empire des pirates » et en rappelant les rvlations faites en 2013 par Edward Snowden, ancien contractant de la NSA, sur l’espionnage amricain.
Il a notamment affirm que la NSA avait pirat les ordinateurs de l’universit de Tsinghua, l’un des principaux centres de recherche chinois. Plus rcemment, Pkin a modifi sa stratgie en accusant directement les tats-Unis de cyberattaques et en dsignant des cibles. En fvrier, la socit chinoise de cyberscurit Pangu Lab a dclar avoir dcouvert des activits de piratage parraines par les tats-Unis en Chine : des logiciels malveillants dans les systmes informatiques nationaux auraient t crs par le groupe de pirates Equation, « gnralement considr » comme li la NSA.
Greg Austin, spcialiste des cyberactivits chinoises l’Institut international d’tudes stratgiques bas Singapour, estime que l’approche chinoise vise sensibiliser l’opinion publique aux activits amricaines et reprendre l’initiative diplomatique sur le plan mondial aux dpens des tats-Unis et de leurs allis, qui accusent la Chine d’attaques depuis plusieurs annes. C’est un changement de direction et probablement attendu depuis prs de 10 ans. La disparit entre ce que le gouvernement amricain et ses allis ont publi sur la Chine et ce que la Chine a publi sur les attaques amricaines et allies est massive , a-t-il dclar.
Nous ne savions presque rien des responsables chinois sur l’ampleur des attaques amricaines. Dans le mme temps, les tats-Unis et leurs allis ont intensifi leurs investissements dans l’espionnage et la surveillance de la Chine et de la Russie , prcise-t-il. Le radiodiffuseur d’tat « China Central Television » et d’autres grands mdias d’tat ont fait tat de piratages prsums la Northwestern Polytechnical University.
Le journal Global Times du Parti communiste a galement tweet sur le rapport et l’a publi sur son compte de mdias sociaux Weibo. La nouvelle a figur parmi les principaux sujets d’actualit sur Weibo lundi, attirant 210 millions de vues. La police de Xi’an a dclar dans un communiqu en juin que l’universit avait signal avoir dtect des courriels d’hameonnage qui reprsentaient une « menace srieuse pour la scurit » des bases de donnes essentielles.
Source : Le rapport du CVERC
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des allgations des autorits chinoises ?
Voir aussi