Une fuite de données ouvre une fenêtre inédite sur le fonctionnement des pirates informatiques chinois

Des victimes prestigieuses mais une organisation désordonnée et des moyens techniques souvent artisanaux : c’est ce qui frappe à la lecture du rapport, publié vendredi 1^er mars par la société de cybersécurité française HarfangLab, sur les documents rendus publics d’i-Soon, une entreprise chinoise soupçonnée d’avoir commis de très nombreux piratages pour le compte du gouvernement chinois.

A la mi-février, des centaines de documents internes, de présentations commerciales et de discussions entre employés de cette société, dont le siège est à Chengdu, ont été mis en ligne par un anonyme. Plusieurs ministères indiens, la poste birmane, le bureau du premier ministre thaïlandais, des opérateurs téléphoniques ou encore des universités, comme Sciences Po en France… Les fichiers contiennent notamment des listes de victimes de piratages opérés par l’entreprise.

S’il est impossible d’affirmer qu’aucun document n’ait pu être altéré, l’authenticité globale de la fuite ne fait plus guère de doute. Pas plus que les liens de l’entreprise avec APT 41, le nom donné dans le milieu de la cybersécurité à un groupe cybercriminel lié à l’Etat chinois, qui englobe plusieurs sous-groupes. En début de semaine, la société de sécurité informatique Trend Micro a rendu publique une analyse d’une campagne récente de piratage ayant visé des cibles à Taïwan juste avant les élections de janvier ; le mode opératoire du groupe qui en est à l’origine comporte de nombreuses similarités avec ce que décrivent les documents internes d’i-Soon.

Des capacités internes limitées

Ces fichiers offrent une fenêtre inédite sur le fonctionnement des cybercriminels chinois. Ils montrent notamment qu’aux côtés des hackeurs d’élite de l’armée populaire, un vaste réseau d’entreprises, d’administrations et de forces de sécurité travaille de concert pour dérober des données à l’étranger, avec des moyens parfois artisanaux. « C’est un des aspects les plus frappants de cette fuite : on voit que le problème principal d’i-Soon, ce n’est pas de pirater leurs victimes, malgré des moyens techniques de basse sophistication : c’est d’arriver à traiter toutes les données qu’ils ont volées », note Ivan Kwiatkowski, chercheur en sécurité informatique pour HarfangLab et auteur de l’étude.

Lire aussi | Article réservé à nos abonnés Des documents liés à des cybercriminels chinois mis en ligne par un anonyme

Ajouter à vos sélections

Car malgré un imposant tableau de chasse, i-Soon ne dispose pas d’outils de pointe. Elle ne dispose pas non plus d’un service interne pour chercher des failles informatiques, estime HarfangLab. Pour pirater des machines, elle se sert de vulnérabilités déjà connues ou qui lui sont transmises par des « partenaires ». Des échanges entre employés montrent ainsi qu’ils attendaient avec impatience de pouvoir bénéficier des nouvelles failles découvertes lors de la Tianfu Cup, une compétition de piratage organisée chaque année par la Chine, mais qu’ils regrettaient que le ministère de la sécurité publique ne distribue ces dernières qu’avec parcimonie.

Il vous reste 31.01% de cet article à lire. La suite est réservée aux abonnés.