Chine : les hackers de l'armée à l'assaut des secrets industriels

Google, les grands journaux américains, le réseau fantôme Ghostnet… A chaque attaque informatique d'envergure, la Chine fait figure de principal suspect, sans que l'on soit en mesure d'en apporter la preuve formelle. La publication, mardi 19 février, par la société de sécurité informatique Mandiant d'un rapport de 60 pages (PDF en anglais) en partenariat avec le New York Times (en anglais) change la donne.

Pour la première fois, des liens clairs sont établis entre les attaques informatiques et l'armée chinoise, via l'unité 61398. Officiellement, ce bureau, qui figure dans l'organigramme de l'Armée populaire de libération, s'occupe de réseaux informatiques. Les informations recoupées par Mandiant indiquent qu'il mène en fait une vaste entreprise d'espionnage industriel à coups d'attaques informatiques. Pékin a immédiatement rejeté ces accusations.

Francetv info a lu ce rapport. En voici l'essentiel.

Comment Mandiant a identifié l'unité 61398

Lorsque le New York Times vient frapper à la porte de Mandiant pour lui demander de l'aide après l'attaque informatique subie fin janvier, cela fait déjà plusieurs années que la firme s'intéresse à un groupe de pirates informatiques, surnommé APT1 pour "menace persistante avancée 1" (l'enquête conclura qu'un autre groupe est responsable de cette attaque).

Sur la période 2006-2013, Mandiant a réussi à observer 1 905 intrusions sur des ordinateurs opérées par le groupe APT1. Dans 97% des cas, le clavier de l'outil utilisé, Microsoft Remote Control, était configuré en chinois simplifié, les caractères utilisés en République populaire depuis les années 1950 (Taïwan et Hong Kong utilisent toujours les caractères traditionnels).

Les serveurs, noms de domaine et adresses IP utilisés par le groupe sont également enregistrés en Chine. Certains renvoient même directement au quartier de Shanghai où se trouve l'immeuble de l'unité. Enfin, certaines imprudences des pirates ont achevé de convaincre Mandiant de leur identité. L'un d'eux s'est connecté à un service de Google en utilisant un numéro de téléphone de Shanghai, comme dans la vidéo ci-dessous. Un autre a enregistré un nom de domaine en renseignant la cité chinoise dans les informations requises.

Qui sont les victimes des hackers

Mandiant a réussi à identifier 141 organisations victimes des pirates de Shanghai. Une liste non exhaustive où l'on retrouve des organisations américaines (115), britanniques (5) et française (1) appartenant principalement au secteur des technologies de l'information (19), de l'aérospatiale (16) et des agences gouvernementales (12).

Informations sur les produits, processus industriels, business plans, comptes-rendus de réunions confidentielles, mails de PDG et de conseils d'administration… La moisson, qui rappelle davantage l'espionnage industriel mené par l'URSS que les opérations informatiques des Etats-Unis et lsraël contre l'Iran, est vaste.

Comment ces données sont-elles exploitées ? Si le rapport de Mandiant ne nomme pas les victimes, le New York Times rapporte que l'infiltration de Coca-Cola en 2009 coïncide avec l'échec du rachat de l'entreprise chinoise Huiyuan Juice Group par la multinationale d'Atlanta. 

Enfin, le quotidien rapporte qu'à la grande inquiétude des autorités américaines, l'unité 61398 s'intéresse de plus en plus aux entreprises qui gèrent les infrastructures, comme les réseaux d'énergie. Ainsi, les pirates ont tenté d'infiltrer Telvent Canada, qui conçoit les logiciels de contrôle utilisés sur 60% des oléoducs et gazoducs nord-américains.

Comment l'unité pratique l'art du hameçonnage

Le mode opératoire identifié par Mandiant est fondé sur l'une des techniques les plus répandues : le phishing, ou hameçonnage. Vous avez sans doute déjà reçu un mail de ce type : un expéditeur se présentant comme EDF ou la CAF vous envoie un message parfois mal orthographié vous demandant de cliquer sur un lien, d'ouvrir une pièce jointe ou de lui donner des renseignements personnels. Une astuce qui permet, au choix, de voler vos identifiants bancaires ou d'installer un logiciel malveillant sur votre ordinateur.

Les pirates de l'unité 61398 utilisent la même technique, de manière bien plus vicieuse et perfectionnée. Le mail est généralement envoyé depuis une adresse e-mail qui semble appartenir à l'un de vos collègues ou patrons (à ceci près qu'elle finit en @rocketmail.com, un service de messagerie gratuite, plutôt qu'en @francetv.fr). Il demande de cliquer sur un lien ou d'ouvrir une pièce jointe.

Si le destinataire se méfie et demande si le document joint est "réglo", il se verra répondre, comme dans un exemple cité par Mandiant, "C'est réglo !" dans les vingt minutes. Une fois la victime piégée, le tour est joué : le pirate a mis un pied dans la porte et va pouvoir installer une "backdoor", un logiciel permettant d'accéder à distance au contenu de l'ordinateur infecté et d'y récupérer des données.

Ses membres : un gorille moche ou un fan d'Harry Potter

Compétences informatiques poussées et maîtrise de l'anglais sont les deux qualités requises pour travailler dans cette unité, selon les CV et descriptions de postes consultés par Mandiant. Ses membres sont diplômés d'universités spécialisées comme l'Institut technologique d'Harbin (nord de la Chine) et l'université informatique du Zhejiang (près de Shanghai).

La firme américaine a réussi à identifier trois personnes. UglyGorilla ("Gorille moche"), alias Wang Dong, a enregistré le premier nom de domaine attribué à l'unité 61398 en 2004 et développé le premier virus de la famille des MANITSME. SuperHard, alias Mei Qiang, ferait de la recherche et développement en virus informatiques pour l'unité. Enfin, DOTA, dont le vrai nom est inconnu, est celui qui a imprudemment enregistré un numéro de téléphone de Shanghai. Il serait également un grand fan d'Harry Potter, un nom qu'il utilise souvent pour ses mots de passe.