Les Etats-Unis dénoncent les cyber-attaques de la Chine

Cette fois-ci, ce n’est pas un éditeur spécialiste de la sécurité informatique qui dénonce, mais une commission du congrès américain. Celle-ci met en cause sans ambages le gouvernement chinois dans de nombreuses opérations d’espionnage informatique à l’encontre des intérêts américains. Et de souligner non seulement la progression rapide du phénomène, mais aussi le fait qu’il s’appuie sur une doctrine probablement bien définie en matière de lutte informatique offensive. De quoi inciter les nations occidentales à accélérer leurs investissements sur ce nouveau théâtre d'opérations.

Une fois n’est pas coutume : l’alerte n’émane pas des spécialistes de la sécurité informatique. C’est une commission du congrès américain qui tire la sonnette d’alarme, celle chargée de la surveillance des échanges économiques entre la Chine et Etats-Unis. Dans un rapport dévoilé à la fin de la semaine dernière, la commission ne se contente pas dénoncer les activités de pirates informatiques isolés agissant depuis la Chine contre les intérêts des Etats-Unis, elle met directement et très explicitement en cause la responsabilité de la nation chinoise dans des opérations de cyber-espionnage : « en ce qui concerne l’accélération de la modernisation de ses armées et celle de son développement économique, la Chine a été intensément impliquée dans des opérations d’espionnage physique et électronique contre les Etats-Unis. Les responsables du contre-espionnage américain ont conclu que les efforts chinois en matière d’espionnage progressent tant en termes d’échelle, d’intensité que de sophistication. »

Des traces peu discrètes

Certes, les auteurs du rapport reconnaissancent : « l’attribution directe de telles activités visant les Etats-Unis présente des difficultés, compte tenu de la capacité des pirates à camoufler leur localisation. » Mais ils font état de « preuves » indiquant l’implication de l’état chinois, ou d’entités profitant de son soutien. Parmi celles-ci, il faudrait compter avec des « signatures qui peuvent, après analyse, révéler parfois une affiliation avec des acteurs responsables, avec un niveau raisonnable de certitude. » Et d’ajouter que, dans certains cas, « cela permet aux enquêteurs d’impliquer directement des parties spécifiques du gouvernement chinois, comme l’Armée de Libération du Peuple. » Des éléments de preuve auxquels les auteurs ajoutent « le type d’information visé », qui « aide à comprendre l’attaquant et ses affiliations. »

Quitte à enfoncer le clou, la commission assure que « le gouvernement chinois a institutionnalisé nombre de capacités opérationnelles liées à l’informatique et aux réseaux au sein de l’Armée de Libération du Peuple. » Une armée qui recruterait « des personnes techniquement qualifiées, y compris dans le secteur privé. » Le tout pour alimenter les unités d’une « milice » spécialisée. Bigre.

Des exemples embarrassants

La commission évoque quelques exemples, et pas des plus glorieux pour les Etats-Unis : « des attaques sur le SI d’un sous-traitant de la défense en 2007 et 2008 ont permis à des pirates – opérant probablement depuis la Chine – de collecter plusieurs téraoctets de données relatives à la conception et à l’avionique du F35 Lightning II, l’un des avions de chasse les plus avancés de l’armée américaine. » Au final, la commission relève que « les efforts de la Chine, en temps de paix, en matière d’exploitation informatique, se concentrent principalement sur le renseignement à l’encontre de cibles aux Etats-Unis et de groupes dissidents à l’étranger. »

Des efforts qui se traduiraient, concrètement, par « une augmentation marquée du nombre des intrusions dans les systèmes informatiques du gouvernement et de l’armée américains, depuis la Chine. » Une activité « malicieuse » qui aurait, selon la commission, « le potentiel de détruire des infrastructures critiques, perturber les systèmes bancaires et commerciaux, et compromettre des données militaires sensibles. » La commission s’appuie des chiffres fournis par le ministère américain de la Défense pour quantifier le phénomène. Des chiffres en forte progression : en 2008, ce ministère a relevé 54 640 incidents de sécurité sur ses systèmes d’information, contre près de 44 000 au seul premier semestre 2009. De quoi projeter près de 90 000 tentatives d’intrusion pour l’ensemble de l’année. « Une augmentation de l’activité malicieuse de 60 % » qui a un coût : l’armée américaine aurait consacré quelque 100 M$, entre octobre 2008 et avril 2009, à la sécurité de ses SI.

Une stratégie obscure

Rejoignant une partie des conclusions de l’étude récemment diffusée par McAfee sur la cyberguerre, la commission du congrès américain s’inquiète du fait que « le gouvernement chinois n’a pas publiquement présenté de stratégie ou de concepts directeurs pour ses opérations informatiques. » Des éléments sur lesquels « des chercheurs de l’Open Source ont réussi à recueillir des indices. » Ces derniers évoquent clairement des capacités de lutte informatique offensive. Un faisceau d'indices qui devrait conduire les gouvernements européens et américain à accélérer leurs recrutements pour, eux aussi, se doter de forces capables d'attaquer les infrastructures IT d'autres états.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close