Skip to main content

2 Mar, 2024

Une énorme fuite sur la cybersécurité lève le voile sur le monde des pirates informatiques chinois à louer

Une énorme fuite sur la cybersécurité lève le voile sur le monde des pirates informatiques chinois à louer

Les fichiers divulgués montrent l’éventail des services offerts et achetés, avec des données recueillies auprès de cibles dans le monde entier.

Une importante fuite de données provenant d’une société chinoise de cybersécurité a révélé que des agents de sécurité de l’État payaient des dizaines de milliers de livres sterling pour recueillir des données sur des cibles, y compris des gouvernements étrangers, tandis que des pirates informatiques recueillaient d’énormes quantités d’informations sur toute personne ou institution susceptible d’intéresser leurs clients potentiels.

Le cache de plus de 500 fichiers divulgués par la société chinoise I-Soon a été publié sur le site web de développement Github et est considéré comme authentique par les experts en cybersécurité. Parmi les cibles évoquées figurent l’OTAN et le ministère britannique des affaires étrangères.

Cette fuite donne un aperçu sans précédent de l’univers des pirates informatiques chinois, que le chef des services de sécurité britanniques a qualifié de défi « énorme » pour le pays.

Les fichiers, qui sont un mélange de journaux de conversation, de prospectus d’entreprises et d’échantillons de données, révèlent l’ampleur des opérations de collecte de renseignements de la Chine, tout en mettant en évidence les pressions du marché ressenties par les pirates commerciaux du pays, qui se battent pour obtenir des contrats dans une économie en difficulté.

I-Soon semble avoir travaillé avec une autre société chinoise de piratage informatique, Chengdu 404, dont les pirates ont été inculpés par le ministère américain de la justice pour des cyber-attaques contre des entreprises aux États-Unis et des militants pro-démocratie à Hong Kong, entre autres cibles.

Parmi les autres cibles évoquées dans les fuites d’I-Soon figurent le groupe de réflexion britannique Chatham House, les bureaux de santé publique et les ministères des affaires étrangères des pays de l’ANASE (Association des nations de l’Asie du Sud-Est). Certaines de ces données semblent avoir été recueillies sur commande, tandis que dans d’autres cas, il existe des contrats spécifiques avec un bureau de sécurité publique chinois pour recueillir un certain type de données.

Un porte-parole de Chatham House a déclaré : « Nous sommes au courant de l’arrivée de ces données dans les pays de l’ANASE : « Nous sommes au courant de l’apparition de ces données et sommes naturellement préoccupés. Chatham House prend très au sérieux la sécurité des données et des informations. Dans le climat actuel, nous sommes, comme beaucoup d’autres organisations, la cible de tentatives d’attaques régulières de la part d’acteurs étatiques et non étatiques.

« Nous avons mis en place des mesures de protection, y compris des sauvegardes technologiques qui sont régulièrement revues et améliorées.

Un responsable de l’OTAN a déclaré : « L’alliance est confrontée à des cybermenaces persistantes : « L’alliance est confrontée à des cybermenaces persistantes et s’y est préparée en investissant dans d’importantes cyberdéfenses. L’OTAN examine chaque plainte relative à des cybermenaces ».

Le ministère britannique des affaires étrangères s’est refusé à tout commentaire.

Les services proposés par I-Soon sont variés. Par exemple, le bureau de la sécurité publique d’une ville de Shandong a payé près de 44 000 livres sterling (51350 €) pour obtenir l’accès aux boîtes aux lettres électroniques de dix cibles pendant un an.

L’entreprise affirme être en mesure de pirater des comptes sur X, d’obtenir des informations personnelles sur Facebook, d’obtenir des données à partir de bases de données internes et de compromettre divers systèmes d’exploitation, notamment Mac et Android.

L’extérieur de l’immeuble de bureaux d’I-Soon à Chengdu, dans la province chinoise du Sichuan (sud-ouest).

L’un des fichiers contient une capture d’écran d’un dossier intitulé « Notes du secrétariat des affaires européennes de Macédoine du Nord ». Une autre capture d’écran montre des fichiers qui semblent concerner l’UE, dont un intitulé « Draft EU position with regard to COP 15 part 2 ». Les noms des fichiers font référence à un système de cryptage utilisé par les entités de l’UE pour sécuriser les données officielles.

Dans certains cas, l’objectif de la collecte des données n’est pas clair. « L’État chinois cherche essentiellement à récupérer le plus de données possible », explique Alan Woodward, expert en sécurité informatique à l’université du Surrey. « Ils veulent simplement obtenir autant d’informations que possible au cas où elles s’avéreraient utiles.

Alan Woodward a fait remarquer que, contrairement aux pirates informatiques liés à l’État russe qui mènent des attaques par ransomware ou d’autres actions perturbatrices, les tentatives chinoises tendent à se concentrer sur la collecte massive de données. « Certaines de ces tentatives pourraient être interprétées comme des préparatifs en vue d’une action perturbatrice ultérieure », a déclaré Alan Woodward.

L’année dernière, le rapport de la commission parlementaire du renseignement et de la sécurité sur la Chine a déclaré : « L’expertise de la Chine en matière de cybernétique lui permet de cibler un large éventail d’organisations et d’ensembles de données, de plus en plus inhabituels. Les experts estiment que l’objectif de la collecte de données pourrait être d’identifier des cibles potentielles pour des opérations de renseignement humain. »

I-Soon a également ciblé des victimes domestiques. Dans un accord de coopération non daté avec une autorité locale du Xinjiang, I-Soon a déclaré qu’elle pourrait fournir un soutien « antiterroriste » à la police locale pour la surveillance des Ouïghours. I-Soon a déclaré avoir plus de dix ans d’expérience dans l’accès à « diverses autorisations de serveurs et d’intranets dans de nombreux pays ».

L’entreprise a affirmé avoir obtenu des données des autorités antiterroristes du Pakistan et des services postaux pakistanais. L’ambassade du Pakistan à Londres n’a pas répondu à une demande de commentaire.

Certaines des promesses faites aux clients auraient pu être de l’esbroufe commerciale. Lors d’une discussion, un employé a posé la question suivante « Les clients nous trompent-ils ou sommes-nous en train de tromper les clients ? » L’employé poursuit en disant qu’il est « normal de tromper les clients sur les capacités de l’entreprise, mais qu’il n’est pas bon pour l’entreprise de tromper ses employés ».

Mei Danowski, expert en cybersécurité en Chine et auteur de la lettre d’information Natto Thoughts, a déclaré : « Nous pensons que les pirates informatiques chinois sont des gens à qui l’État donne de l’argent pour faire des choses. En réalité, si les documents divulgués sont vrais, ce n’est pas le cas. Ils doivent chercher à faire des affaires. Ils doivent se forger une réputation ».

D’autres conversations sont étonnamment banales. Les employés discutent de Covid-19 et des pressions financières qui pèsent sur I-Soon. « À l’origine, tout le monde savait que l’entreprise traversait une période difficile, et tout le monde comprenait. Après tout, l’épidémie est si grave », écrit un employé en mars 2021. Mais, se plaignent-ils, I-Soon « n’a pas dit qu’elle ne nous paierait pas les salaires ».

L’année suivante, les pressions exercées sur l’entreprise semblent s’être intensifiées. Le directeur général, Wu Haibo, qui utilise le pseudonyme Shutd0wn, a déclaré que la perte du personnel de base avait entamé la confiance des clients, entraînant une perte d’activité. Wu n’a pas répondu à une demande de commentaire.

« Le patron est vraiment anxieux », a écrit un employé en septembre 2022. « Je ne sais pas si l’entreprise pourra survivre jusqu’à la fin de l’année. Dans un autre journal de discussion, les travailleurs parlent des mauvaises ventes de l’entreprise et de l’humeur maussade qui règne au bureau. Un employé s’est tourné vers une consolation universelle : « Je vais probablement crier si je ne peux pas boire un verre ».

https://www.theguardian.com/technology/2024/feb/23/huge-cybersecurity-leak-lifts-lid-on-world-of-chinas-hackers-for-hire