Exclusif
Des ressources quasi illimitéesLa machine de cyberguerre du Parti communiste chinois démasquée
« Ils disposent de la main-d'œuvre nécessaire, sont extrêmement concentrés et exploitent l'IA et la technologie pour maximiser leurs attaques », a déclaré un expert.
Un pirate informatique utilise son ordinateur à Dongguan, dans la province du Guangdong, au sud de la Chine, le 4 août 2020. Nicolas Asfouri/AFP via Getty Images
Depuis de nombreuses années, le gouvernement américain et de nombreux experts considèrent la Chine comme la plus grande menace du cyberespace.
Le Parti communiste chinois (PCC) utilise un vaste réseau de groupes de pirates informatiques pour collecter des renseignements et de la propriété intellectuelle, et pour compromettre des systèmes critiques, dans le cadre d’une stratégie de guerre hybride visant à vaincre les États-Unis sans nécessairement recourir à la guerre cinétique, selon les experts.
Les entreprises de cybersécurité ont identifié près de 200 groupes de pirates informatiques liés à la Chine, la plupart classés comme menaces persistantes avancées (APT). Certains opèrent au sein de l’Armée populaire de libération (l’armée du PCC). D’autres dépendent du ministère de la Sécurité d’État, la principale agence de renseignement. Certains opèrent pour des entreprises prétendument privées sous contrôle de l’État, et certains indépendants mettent leurs compétences au service du PCC et, en même temps, à leur profit.
Leurs véritables identités sont rarement connues, c’est pourquoi les entreprises de cybersécurité leur attribuent souvent des surnoms en fonction de leurs méthodes et de leur base d’opérations présumée. De ce fait, des groupes portant des noms différents peuvent appartenir à la même entité du PCC et paraître inactifs lorsqu’ils changent d’outil.
« Le danger de traiter avec ces acteurs soutenus par l’État chinois réside dans leurs ressources quasi illimitées et leur volonté de s’inscrire dans la durée », a déclaré Bob Erdman, vice-président associé de la recherche et du développement chez Fortra, une entreprise de cybersécurité.
Pour le PCC, le cyberespace est l’un des instruments d’une « guerre sans restriction » : affaiblir l’adversaire de l’intérieur, en deçà du seuil de la guerre conventionnelle, selon Casey Fleming, expert en risques stratégiques et en renseignement et PDG de BlackOps Partners.
„« Ils passeront des années à recueillir des renseignements et à préparer le terrain pour leurs opérations. De plus, ils ont accès à l’ensemble du système de renseignement, ce qui peut constituer une excellente source d’informations, ainsi qu’au cadre et à l’infrastructure nécessaires à la conduite de ces opérations.»
Casey Fleming, PDG de BlackOps Partners
L’accès à l’infrastructure Internet chinoise permet des attaques de type « man-in-the-middle » pour « exploiter les utilisateurs dont le trafic transite par des équipements chinois ou fabriqués en Chine », a-t-il précisé à Epoch Times dans un SMS.
Leur cible principale est les États-Unis : non seulement le gouvernement américain, mais aussi les entreprises privées présentant un intérêt stratégique pour le PCC. Les secteurs ciblés vont des grands sous-traitants militaires aux télécommunications, à l’électronique, à l’ingénierie, à l’exploitation minière, au transport maritime, à l’industrie pharmaceutique, à l’énergie, aux logiciels et au matériel informatique, à l’aérospatiale et à l’aviation, et même à l’éducation.
Détection des vulnérabilités par les réseaux de pirates
Certains groupes de pirates informatiques ont manifesté un vif intérêt pour la détection des vulnérabilités des infrastructures américaines critiques, telles que les réseaux électriques et les réseaux d’approvisionnement en eau. Certains groupes ciblent spécifiquement les dissidents et les critiques du PCC à l’étranger.
„« Pour le PCC, le cyberespace est l’une des nombreuses méthodes de guerre sans restriction : affaiblir l’ennemi de l’intérieur sans respecter les règles de la guerre conventionnelle »
Casey Fleming, PDG de BlackOps Partners
« La machine de cyberguerre du PCC est plus vaste qu’on ne le pense souvent : elle dispose d’effectifs abondants, opère avec une grande cohésion – et peu de fragmentation – sous le régime, et exploite l’intelligence artificielle et d’autres technologies pour maximiser la portée et l’impact de ses attaques.», a-t-il déclaré à Epoch Times par courriel
« Même les APT qui, à première vue, semblent affiliées à d’autres nations ou n’ont aucun lien avec elles, peuvent être influencées en coulisses par le PCC », selon M. Fleming.
« C’est le PCC qui tire les ficelles », a-t-il déclaré. « Il collabore avec d’autres États et les forme pour en faire des partenaires dans un axe anti-occidental. Il recrute également des opérateurs hostiles et leur fournit des logiciels malveillants provenant du Dark Web. »
Le gouvernement américain accuse régulièrement des pirates informatiques chinois d’être impliqués dans des attaques importantes, mais cela ne semble être que la partie émergée de l’iceberg.
Tant que les pirates informatiques se trouvent en Chine, ils sont « à l’abri de toute poursuite judiciaire », a souligné M. Erdman.
Une affiche lors d’une déclaration aux médias sur les inculpations et arrestations dans le cadre d’une campagne d’intrusion informatique liée au gouvernement chinois. Cinq citoyens chinois étaient accusés d’avoir piraté plus de 100 entreprises aux États-Unis et d’être membres d’une opération plus vaste menée par un groupe appelé APT-41, le 16 septembre 2020, à Washington DC. (Tasos Katopodis-Pool/Getty Images)
Un problème important est que les vulnérabilités des systèmes informatiques ne sont pas seulement dues à un manque de surveillance, mais aussi à la configuration du modèle commercial des grandes entreprises technologiques, selon Rex Lee, expert en cybersécurité chez My Smart Privacy, qui a conseillé de grandes entreprises et des agences gouvernementales, telles que le département de la Sécurité intérieure et l’Agence de sécurité nationale.
Évolution des menaces
À mesure que les victimes de cyberattaques ont pris conscience des tactiques utilisées par les attaquants, ces derniers sont également devenus plus sophistiqués, tirant parti des nouvelles technologies et développant de nouveaux vecteurs d’attaque, a déclaré M. Lee à Epoch Times.
Les rapports sur les APT chinoises ont explosé au milieu des années 2000. À cette époque, les smartphones et les réseaux sociaux en étaient à leurs débuts et la plupart des attaques suivaient un schéma similaire. Le groupe d’attaquants identifiait des personnes disposant d’identifiants d’accès au système cible. Par exemple, un ingénieur aéronautique ayant accès à un système stockant des plans. Les attaquants lui envoyaient des e-mails l’incitant à ouvrir une pièce jointe infectée par un logiciel malveillant.
Cette méthode, appelée hameçonnage, a également évolué. Au début, le texte du courriel était générique, probablement rédigé dans un anglais approximatif. Au fil du temps, la tactique a évolué vers le « spear phishing », qui utilise des messages personnalisés.
L’e-mail peut sembler provenir d’un supérieur hiérarchique, du service informatique ou du service des ressources humaines, et la pièce jointe peut ressembler à un document professionnel légitime. À mesure que les entreprises ont adopté des politiques contre l’ouverture de pièces jointes non sollicitées, les pirates ont choisi d’envoyer des hyperliens qui redirigent l’utilisateur vers un site web infecté.
Un membre d’un groupe de pirates informatiques présumé apparaît sur une photo d’archive. (Nicolas Asfouri/AFP via Getty Images)
Contrairement aux fraudeurs en ligne habituels, qui tentent de piéger leur victime pour qu’elle saisisse ses identifiants sur un faux site web (généralement un site de banque en ligne), les pirates informatiques soutenus par des États adoptent une approche méthodique et à long terme.
Le premier logiciel malveillant qu’ils tentent d’introduire se contente de surveiller le système cible. Il recueille des informations détaillées sur le système, telles que les applications, les versions et les configurations utilisées. Cependant, sa fonction la plus importante est un enregistreur de frappe, qui enregistre tout ce que l’utilisateur tape.
Tôt ou tard, l’utilisateur saisit ses noms d’utilisateur et mots de passe pour différentes parties du système, y compris celle qui stocke des informations confidentielles. Les pirates utilisent les identifiants volés pour rechercher et extraire les données ciblées.
Parfois, ils empruntent une voie détournée. Au lieu d’attaquer l’entreprise ou l’agence gouvernementale elle-même, ils s’en prennent aux prestataires informatiques qui ont accès à leurs systèmes. Certaines APT chinoises ont réussi à compromettre des fournisseurs de services gérés (MSP), des entreprises qui fournissent des solutions informatiques et réseau à d’autres entreprises. De nombreuses grandes entreprises externalisent leurs services informatiques à des MSP ; par conséquent, compromettre un MSP important peut donner accès à de multiples cibles de grande valeur.
Si le spear phishing s’est avéré très efficace, son rendement a diminué à mesure que les utilisateurs se sont montrés de plus en plus méfiants à l’égard des liens et des pièces jointes de toute sorte.
Les groupes de pirates informatiques ont commencé à recourir plus fréquemment aux attaques de type « point d’eau ». Avec cette méthode, ils créent d’abord un profil de leurs cibles afin de déterminer leur comportement en ligne et d’identifier les sites qu’elles visitent régulièrement.
Ils recherchent ensuite les vulnérabilités de ces sites web, installent des logiciels malveillants et attendent que les visites aient lieu pour infecter les ordinateurs.
Ciblage de l’infrastructure réseau
Ces dernières années, les pirates informatiques du PCC ont exploité avec succès une autre tactique : cibler l’infrastructure réseau (routeurs, commutateurs et pare-feu).
Les fabricants mettent régulièrement à jour les correctifs pour les failles de sécurité dans le micrologiciel de ces appareils, mais les utilisateurs finaux ne les maintiennent pas toujours à jour.
L’attaque à grande échelle contre des entreprises de télécommunications aux États-Unis et dans d’autres pays, découverte en 2020, a été rendue possible par ces vulnérabilités.
« Un rapport publié en septembre, élaboré conjointement par les agences de cybersécurité et de renseignement des États-Unis, du Canada, du Royaume-Uni, de l’Australie, de l’Allemagne, du Japon et d’autres pays, affirme que ces acteurs APT obtiennent un succès considérable en exploitant les vulnérabilités et expositions communes (CVE) du domaine public, ainsi que d’autres faiblesses évitables dans des infrastructures déjà compromises. »
Les pirates ont réussi à accéder aux enregistrements d’appels, aux écoutes téléphoniques des forces de l’ordre et aux communications de fonctionnaires et d’hommes politiques.
Espionnage par conception et applications mobiles
Selon M. Lee, la dernière tendance en matière d’attaques de pirates informatiques provient des applications mobiles.
« Les utilisateurs de smartphones ont pris l’habitude d’accorder aux applications des autorisations pour accéder aux fonctions de base du téléphone, telles que l’appareil photo, le clavier, le microphone et la localisation. Le fonctionnement de l’application dépend souvent de ces autorisations, mais les implications sont importantes », explique-t-il.
Les pirates informatiques soutenus par le régime, qui disposent de ressources considérables, peuvent créer des entreprises de développement d’applications. Celles-ci semblent légitimes, ils peuvent publier des applications crédibles et attendre que des cibles de grande valeur les téléchargent.
„« Toute application disposant d’autorisations standard peut voir et entendre à travers le téléphone, en plus d’enregistrer ce que l’utilisateur tape. Elle peut également surveiller les déplacements grâce au GPS, au Bluetooth, au Wi-Fi, à la connexion aux antennes-relais et même à l’accéléromètre intégré. »
Rex Lee, expert en cybersécurité
« De nombreuses applications vont encore plus loin et demandent l’accès aux photos, aux e-mails et aux SMS, ce qui en fait un outil de surveillance idéal », souligne-t-il.
Les fabricants de téléphones mobiles autorisent nécessairement les applications à collecter ces données, car une grande partie du secteur technologique tire des revenus importants de la collecte et de l’intermédiation des données.
« Ils commercialisent cet accès auprès de développeurs tiers », souligne Lee. « Derrière tout cela se cache la technologie de suivi qui sous-tend le modèle économique du « capitalisme de surveillance ».
Si le système est configuré pour collecter des données personnelles afin de produire des publicités ciblées, il est facile pour des acteurs malveillants d’exploiter ce même système.
Comme précisé plus haut, les attaquants liés au régime chinois, soutenus par des ressources considérables, peuvent créer et publier des applications qui semblent légitimes et attendre que des cibles de grande valeur les téléchargent.
« À première vue, l’application pourrait être presque n’importe quoi : un jeu ou même une application de cybersécurité », selon Lee.
Les entreprises technologiques ont supprimé les applications utilisées à des fins malveillantes, mais d’autres apparaissent continuellement.
En savoir plus
« La seule façon de vraiment protéger les données », explique Lee, « est de les stocker dans un système séparé qui n’utilise aucun des systèmes d’exploitation permettant l’exploration de données. Certaines entreprises, notamment d’importants sous-traitants du secteur de la défense, ont déjà emprunté cette voie ».
Cliquez ici pour voir une image agrandie, incluant les groupes de hackers, de l’infographie publiée dans l’édition américaine d’Epoch Times sous le titre « INFOGRAPHIE : La machine de cyberguerre du PCC ».
Petr est un journaliste basé à New York et se concentre sur les dernières nouvelles. Originaire de Prague.
Articles actuels de l’auteur
04 septembre 2025
Elle a traversé l’enfer, sans se laisser abattre
