La Chine nie tout lien avec i-Soon, la société de cyberespionnage dont les données ont fuité sur GitHub

« La Chine s’oppose à, et punit, toute forme de cyberattaque, en accord avec ses lois » : un porte-parole du ministère chinois des affaires étrangères a nié, jeudi 22 février, tout lien avec des piratages qui auraient été commis par la société i-Soon, dont des centaines de documents internes ont été publiés en ligne une semaine auparavant.

Les fichiers, dont l’authenticité ne semble plus faire de doute, décrivent de multiples outils de piratage informatique ainsi qu’un grand nombre de victimes de vols de données. Parmi ces dernières, des institutions publiques thaïlandaises, taïwanaises ou vietnamiennes, mais aussi des personnels de Sciences Po en France et des opérateurs mobiles au Kazakhstan.

Ces derniers jours, les grandes entreprises de sécurité informatique ainsi que des chercheurs indépendants ont passé au crible les documents. Un consensus émerge pour lier i-Soon au groupe APT 41, qui désigne un réseau de hackers et d’entreprises sous-traitantes, soutenu par l’Etat chinois, qui se livre aussi à des piratages crapuleux.

Lire aussi | Article réservé à nos abonnés Des documents liés à des cybercriminels chinois mis en ligne par un anonyme

Ajouter à vos sélections

Liens directs avec l’Etat

Dans les fichiers, les chercheurs ont trouvé de multiples liens avec des groupes de hackers déjà identifiés, qui se sont par le passé attaqués à des responsables tibétains ou à des universitaires travaillant sur la Chine.

« Ces documents sont toujours en cours d’analyse », explique au Monde Cédric Pernet, de la société de cybersécurité Trend Micro, coauteur d’un rapport sur Earth Lusca, un groupe très actif de pirates chinois. « Néanmoins, plusieurs indicateurs tels que des entités ciblées, ou l’utilisation de certaines familles de malwares et d’outils, nous laissent penser que le modus operandi d’une partie des opérations du groupe de cyberespionnage Earth Lusca et les informations découvertes dans la fuite de données i-Soon sont similaires. » Earth Lusca avait visé ces dernières années des universités et médias en Europe, des organisations politiques à Hong Kong, ou encore des administrations de plusieurs pays d’Asie.

Les dénégations du gouvernement chinois apparaissent comme peu convaincantes, tant les liens entre i-Soon et des opérateurs publics chinois sont nombreux. La société a ainsi travaillé comme sous-traitant de Chengdu 404, une entreprise identifiée par le FBI américain comme une composante centrale d’APT 41. Plusieurs employés de cette société ont d’ailleurs été inculpés en 2020 pour leur rôle présumé dans des piratages d’entreprises américaines. Comme le rappelle le spécialiste de la cybersécurité Brian Krebs, le PDG d’i-Soon, Wu Haibo – connu sous le pseudonyme de « Shutdown » –, faisait par ailleurs partie de la première génération de hackers patriotes chinois et appartenait au groupe pro-gouvernement « Green Army », créé à la fin des années 1990.

La société i-Soon a fermé son site Internet et refuse les demandes d’entretien de la presse, mais a assuré qu’elle publierait bientôt un communiqué détaillé. Mercredi, un journaliste de l’agence Associated Press a pu constater que sa filiale de Chengdu était toujours ouverte. A l’intérieur des locaux, le journaliste a pu apercevoir des posters arborant le drapeau du parti communiste chinois, accompagnés du slogan : « Sauvegarder le parti et les secrets du pays est le devoir de tout citoyen. »

Lire aussi : Article réservé à nos abonnés Le cyberespionnage gagné par l’ubérisation

Ajouter à vos sélections

Le Monde avec AP