Les Etats-Unis ont démantelé un réseau d’appareils connectés utilisé par les pirates informatiques de l’Etat chinois afin de masquer leurs activités, ont annoncé le FBI et le ministère américain de la justice mercredi 31 janvier.
Aux Etats-Unis, le groupe de pirate chinois Volt Typhoon utilisait comme base arrière pour ses opérations un grand nombre de routeurs domestiques – l’équivalent des « box » qui équipent nombre de foyers français – préalablement infectés. Ils donnaient ainsi l’impression d’agir depuis le territoire américain afin de dissimuler leurs activités contre les « infrastructures critiques ».
Ce « botnet » a notamment été utilisé par Volt Typhoon pour des cyberopérations dénoncées par les Etats-Unis et ses plus proches alliés en mai 2023. Microsoft, qui avait étudié l’activité du groupe de pirates, avait alors estimé que leur but était sans doute de « développer leur capacité à perturber les infrastructures critiques de communication entre les Etats-Unis et l’Asie en prévision de crises futures ». Et ce dans un contexte où les tensions entre la Chine et les Etats-Unis, en particulier autour de la situation de Taïwan, vont croissant.
Des secteurs sensibles ciblés
« Le logiciel malveillant de Volt Typhoon permettait à la Chine de se cacher tout en ciblant nos secteurs des communications, de l’énergie, de l’eau et des transports, a confirmé, mercredi, Christopher Wray, le directeur du FBI. Ce pré-positionnement constitue une véritable menace pour notre sécurité physique. »
Le FBI a obtenu de la justice américaine l’autorisation de se connecter à distance à chacun des routeurs formant ce « botnet » et d’y envoyer des instructions informatiques pour expulser Volt Typhoon et l’empêcher d’en reprendre le contrôle. Ces routeurs, des marques Cisco et Netgear, étaient anciens, ne bénéficiant plus des mises à jour de sécurité.
Malgré les nombreuses preuves accumulées par les Occidentaux et l’industrie de la cybersécurité depuis bientôt deux décennies, la Chine a toujours nié mener des opérations de cyberespionnage.
Ce n’est pas la première fois que les Etats-Unis mènent ce type d’opérations destinées à détruire les infrastructures informatiques utilisées par des pirates : en avril 2022, quelques semaines après le début de l’invasion russe en Ukraine, le FBI avait rendu inopérant un « botnet » pouvant être utilisé par les services de renseignement russe pour mener des attaques, conformément à la nouvelle stratégie américaine en matière de cyberdéfense, qui consiste, en plus de mesures de sécurisation des réseaux informatiques, à mener des attaques pour empêcher les hackeurs adverses d’opérer.
« Les Etats-Unis vont continuer à démanteler les opérations cybermalveillantes, y compris celles qui sont soutenues par des gouvernements étrangers qui menacent la sécurité du peuple américain », a averti le ministre de la justice, Merrick Garland. D’autant que la pression exercée par les espions de Pékin en matière de cyberespionnage est source d’inquiétude croissante, aux Etats-Unis comme en Europe.