L'affaire Pegasus serait-elle l'arbre israélien qui cache la forêt chinoise? Révélée le 21 juillet par Guillaume Poupard, le patron de l'Anssi (Agence nationale de sécurité des systèmes d'informations), la cyberattaque massive en cours contre la France, attribuée à la Chine sans que son nom ne soit jamais prononcé, pourrait se révéler bien plus destructrice que le logiciel espion du groupe israélien NSO. "Malheureusement il y a encore bien plus grave que les bourricots ailés et leurs avatars", écrivait ainsi Guillaume Poupard dans un post LinkedIn en référence à Pegasus. L'attaque chinoise, "toujours en cours et particulièrement virulente" selon lui, consiste en "une vaste campagne de compromission touchant de nombreuses entités françaises", dont le nom n'est pas précisé.
L'Etat commanditaire ne fait guère de doute. L'attaque est conduite selon le mode opératoire du groupe de hackers APT31, un acteur bien connu de la communauté cyber: selon le Who's who des cyber-attaquants du géant américain Fireye, APT31 est un "groupe de cyberespionnage à la solde de Pékin dont la mission est de récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois". Le groupe, également connu sous le nom de Zirconium, Judgment Panda ou Bronze Vinewood, s'attaque traditionnellement aux industriels de l'aérospatial, de la défense, de la construction, des télécoms ou des assurances. Il avait également attaqué la campagne de Joe Biden et le Parlement finlandais en 2020, et figurait, avec APT40, parmi les groupes de hackers chinois dénoncés par Washington, Londres et l'UE, le Canada et la Nouvelle-Zélande le 19 juillet.
Equipements Cyberoam
En quoi consiste l'attaque visant la France? "Les investigations montrent que (le) mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques", indique Guillaume Poupard. En clair, pour passer inaperçus, les attaquants chinois lancent leur attaque en passant par des équipements vérolés dans différents pays du monde.
Selon les informations de Challenges, ces fameux routeurs ont un point commun: ce sont des équipements conçus par Cyberoam, une société indienne rachetée par le britannique Sophos en 2014. Ces routeurs équipent de nombreuses PME, notamment dans les pays émergents. Les routeurs impliqués dans l'attaque contre des cibles françaises se situent dans une douzaine de pays. Plus d'un tiers sont en Russie, 20% environ en Egypte, 10% au Maroc, 8% aux Emirats arabes unis, 7,6% en Thaïlande, 5,1% en Iran. D'autres se situent en Malaisie, au Brésil, au Mexique, en Turquie, à Taiwan, et même à Trinidad et Tobago... et évidemment aucun en Chine.
L'Anssi a identifié 161 adresses IP venant de ces pays, qui permettent aux hackers chinois de cacher la véritable origine de l'attaque. Désormais, la priorité est d'identifier les objectifs des hackers chinois. Espionnage industriel? Déstabilisation? Pour y voir plus clair, le gendarme français du cyber a demandé aux entreprises de vérifier dans leurs sondes de détection de cyberattaques s'ils trouvent ces adresses IP, ce qui permettra de mieux cerner la menace.
Provenance des routeurs "vérolés", impliqués dans la cyberattaque chinoise (source: BushidoToken)
"BackdoorDiplomacy"
La Chine s'est montrée particulièrement active ces derniers mois sur le front cyber. Les Etats-Unis et leurs alliés ont indiqué le 19 juillet "attribuer avec un haut degré de confiance" à la Chine l’opération de cyber-espionnage qui a utilisé des failles de Microsoft Exchange en mars dernier. En juin, l’éditeur slovaque ESET a identifié un nouveau groupe de hackers, baptisé BackdoorDiplomacy. "Il s’attaque notamment à des cibles diplomatiques en Afrique et au Moyen-Orient, ainsi qu’à des entreprises de télécoms", détaille Benoît Grunemwald, expert cybersécurité chez ESET France. Si la Chine n’est pas explicitement nommée, des indices techniques, notamment sur l’utilisation du malware Quarian, en font le principal suspect.
La communication de l’Anssi, même si elle ne cite pas explicitement la Chine, marque quand même une évolution dans la doctrine cyber française. A quelques exceptions près, comme l’attribution d’une cyberattaque contre l’armée au groupe russe Turla par la ministre des Armées Florence Parly en janvier 2019, Paris a longtemps été rétif au "name and shame" des cyber-attaquants, très prisé des anglo-saxons.
Cette doctrine est en train d’évoluer. En février dernier, l’Anssi avait déjà pointé du doigt le groupe russe Sandworm, présumé proche du GRU (un service de renseignement militaire russe), à la suite d’une attaque contre les clients du logiciel Centreon. Cette fois-ci, l’Anssi désigne clairement APT31. "Même si la Chine n’est pas citée par l’Anssi, c’est un message clair qui lui est envoyé: on vous a vus, on est au courant de ce que vous faites", estime Jacques de la Rivière, fondateur de la start-up cyber Gatewatcher, spécialiste des sondes de détection de cyberattaques. Un message de fermeté envoyé au moment même où l’affaire Pegasus a montré certaines porosités de la cyberdéfense française, jusqu'au smartphone du président Macron.
