Home » Actualités » Des logiciels malveillants chinois frappent les systèmes de Guam. Taïwan est-il la véritable cible ?

Des logiciels malveillants chinois frappent les systèmes de Guam. Taïwan est-il la véritable cible ?


À peu près au moment où le FBI examinait l’équipement récupéré du ballon espion chinois abattu au large de la côte de la Caroline du Sud en février, les agences de renseignement américaines et Microsoft ont détecté ce qu’elles craignaient être un intrus plus inquiétant : un mystérieux code informatique apparaissant dans les systèmes de télécommunications à Guam et ailleurs aux États-Unis.

Le code, qui, selon Microsoft, a été installé par un groupe de piratage du gouvernement chinois, a suscité l’inquiétude parce que Guam, avec ses ports du Pacifique et sa vaste base aérienne américaine, serait une pièce maîtresse de toute réponse militaire américaine à une invasion ou à un blocus de Taïwan. L’opération a été menée avec une grande furtivité, passant parfois par des routeurs domestiques et d’autres appareils grand public connectés à Internet, afin de rendre l’intrusion plus difficile à suivre.

Le code est appelé « shell Web », dans ce cas un script malveillant qui permet l’accès à distance à un serveur. Les routeurs domestiques sont particulièrement vulnérables, en particulier les modèles plus anciens qui n’ont pas de logiciels et de protections mis à jour.

Contrairement au ballon qui fascinait les Américains alors qu’il effectuait des pirouettes sur des sites nucléaires sensibles, le code informatique ne pouvait pas être abattu en direct à la télévision. Au lieu de cela, Microsoft a publié mercredi les détails du code qui permettrait aux utilisateurs d’entreprise, aux fabricants et à d’autres de le détecter et de le supprimer. Dans un communiqué coordonné, la National Security Agency – ainsi que d’autres agences nationales et homologues en Australie, en Grande-Bretagne, en Nouvelle-Zélande et au Canada – a publié un avis de 24 pages faisant référence à la conclusion de Microsoft et offrant des avertissements plus larges sur un « groupe d’activités récemment découvert » en provenance de Chine.

Microsoft a appelé le groupe de piratage « Volt Typhoon » et a déclaré qu’il faisait partie d’un effort chinois parrainé par l’État visant non seulement les infrastructures critiques telles que les communications, les services publics d’électricité et de gaz, mais aussi les opérations maritimes et les transports. Les intrusions semblaient, pour l’instant, être une campagne d’espionnage. Mais les Chinois pourraient utiliser le code, qui est conçu pour percer les pare-feu, pour permettre des attaques destructrices, s’ils le souhaitent.

Jusqu’à présent, dit Microsoft, il n’y a aucune preuve que le groupe chinois ait utilisé l’accès pour des attaques offensives. Contrairement aux groupes russes, les pirates informatiques et de renseignement chinois donnent généralement la priorité à l’espionnage.

Dans des interviews, des responsables de l’administration ont déclaré qu’ils pensaient que le code faisait partie d’un vaste effort de collecte de renseignements chinois qui couvre le cyberespace, l’espace extra-atmosphérique et, comme les Américains l’ont découvert avec l’incident du ballon, la basse atmosphère.

L’administration Biden a refusé de discuter de ce que le FBI a découvert en examinant l’équipement récupéré du ballon. Mais l’engin – mieux décrit comme un énorme véhicule aérien – comprenait apparemment des radars spécialisés et des dispositifs d’interception des communications que le FBI examine depuis que le ballon a été abattu.

Il n’est pas clair si le silence du gouvernement sur sa découverte du ballon est motivé par le désir d’empêcher le gouvernement chinois de savoir ce que les États-Unis ont appris ou de surmonter la rupture diplomatique qui a suivi l’incursion.

Dimanche, s’exprimant lors d’une conférence de presse à Hiroshima, au Japon, le président Biden a évoqué comment l’incident du ballon avait paralysé les échanges déjà glaciaux entre Washington et Pékin.

« Et puis ce ballon idiot qui transportait deux wagons de fret d’équipement d’espionnage survolait les États-Unis », a-t-il déclaré aux journalistes, « et il a été abattu, et tout a changé en termes de conversation. »

Il a prédit que les relations « commenceraient à se dégeler très bientôt ».

La Chine n’a jamais reconnu avoir piraté les réseaux américains, même dans le plus grand exemple de tous: le vol des dossiers d’habilitation de sécurité d’environ 22 millions d’Américains – dont six millions de séries d’empreintes digitales – du Bureau de la gestion du personnel sous l’administration Obama. Cette exfiltration de données a pris près d’un an et a abouti à un accord entre le président Barack Obama et le président Xi Jinping qui a entraîné une brève baisse de la cyberactivité malveillante chinoise.

Mercredi, la Chine a envoyé un avertissement à ses entreprises pour qu’elles soient vigilantes face au piratage américain. Et il y a eu beaucoup de cela aussi: dans les documents publiés par Edward Snowden, l’ancien contractant de la NSA, il y avait des preuves des efforts américains pour pirater les systèmes de Huawei, le géant chinois des télécommunications, et des cibles militaires et dirigeantes.

Les réseaux de télécommunications sont des cibles clés pour les pirates informatiques, et le système de Guam est particulièrement important pour la Chine parce que les communications militaires se greffent souvent surréseaux commerciaux.

Tom Burt, le dirigeant qui supervise l’unité de renseignement sur les menaces de Microsoft, a déclaré dans une interview que les analystes de la société – dont beaucoup sont des vétérans de la National Security Agency et d’autres agences de renseignement – avaient trouvé le code « en enquêtant sur une activité d’intrusion ayant un impact sur un port américain ». En retraçant l’intrusion, ils ont trouvé d’autres réseaux qui ont été touchés, « y compris certains dans le secteur des télécommunications à Guam ».

Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, a déclaré que les efforts secrets « comme l’activité exposée aujourd’hui font partie de ce qui motive notre attention sur la sécurité des réseaux de télécommunications et l’urgence d’utiliser des fournisseurs de confiance » dont l’équipement répond aux normes de cybersécurité établies.

Mme Neuberger a dirigé un effort à l’échelle du gouvernement fédéral pour appliquer de nouvelles normes de cybersécurité pour les infrastructures essentielles. Les responsables ont été surpris par l’ampleur des vulnérabilités de ces infrastructures lorsqu’une attaque de ransomware russe sur Colonial Pipeline en 2021 a interrompu le flux d’essence, de diesel et de carburant d’avion sur la côte Est. À la suite de l’attaque, l’administration Biden a utilisé des pouvoirs peu connus de la Transportation Security Administration – qui réglemente les pipelines – pour forcer les services publics du secteur privé à suivre une série de mandats de cybersécurité.

Aujourd’hui, Mme Neuberger dirige ce qu’elle a appelé une « attention constante sur l’amélioration de la cybersécurité de nos pipelines, de nos systèmes ferroviaires, de nos systèmes d’aqueduc et d’autres services essentiels », y compris les mandats sur les pratiques de cybersécurité pour ces secteurs et une collaboration plus étroite avec les entreprises ayant une « visibilité unique » sur les menaces qui pèsent sur ces infrastructures.

Ces entreprises comprennent Microsoft, Google, Amazon et de nombreuses entreprises de télécommunications qui peuvent voir l’activité sur les réseaux nationaux. Les agences de renseignement, y compris la NSA, sont interdites par la loi d’opérer à l’intérieur des États-Unis. Mais la NSA est autorisée à publier des avertissements, comme elle l’a fait mercredi, aux côtés du FBI et de la Cyber Infrastructure and Security Administration du département de la Sécurité intérieure.

Le rapport de l’agence fait partie d’une initiative relativement nouvelle du gouvernement américain visant à publier rapidement de telles données dans l’espoir de brûler des opérations comme celle montée par le gouvernement chinois. Dans le passé, les États-Unis retenaient généralement ces informations – parfois en les classant – et ne les partageaient qu’avec quelques entreprises ou organisations sélectionnées. Mais cela garantissait presque toujours que les pirates pouvaient rester bien en avance sur le gouvernement.

Dans ce cas, c’est l’accent mis sur Guam qui a particulièrement retenu l’attention des responsables qui évaluent les capacités de la Chine – et sa volonté – d’attaquer ou d’étouffer Taiwan. M. Xi a ordonné à l’Armée populaire de libération d’être capable de prendre l’île d’ici 2027. Mais le directeur de la CIA, William J. Burns, a noté au Congrès que l’ordre « ne signifie pas qu’il a décidé de mener une invasion ».

Dans les dizaines d’exercices de simulation américains menés ces dernières années pour cartographier à quoi pourrait ressembler une telle attaque, l’une des premières mesures anticipées par la Chine serait de couper les communications américaines et de ralentir la capacité des États-Unis à réagir. Les exercices envisagent donc des attaques contre les communications par satellite et au sol, en particulier autour des installations américaines où des moyens militaires seraient mobilisés.

Aucune n’est plus grande que Guam, où la base aérienne d’Andersen serait le point de départ de nombreuses missions de l’armée de l’air pour aider à défendre l’île, et un port de la marine est crucial pour les sous-marins américains.