Les agents de renseignement chinois ont acquis des outils de piratage de l'Agence nationale de sécurité et les ont réutilisés en 2016 pour attaquer des alliés américains et des entreprises privées en Europe et en Asie, a découvert une importante société de cybersécurité. Cet épisode est la dernière preuve que les États-Unis ont perdu le contrôle d'éléments clés de leur arsenal de cybersécurité.
En se basant sur le timing des attaques et les indices dans le code informatique, les chercheurs de la firme Symantec croient que les Chinois n'ont pas volé le code mais l'ont capturé lors d'une attaque de la NSA sur leurs propres ordinateurs - comme un tireur qui prend le fusil d'un ennemi et commence à tirer.
L'action chinoise montre à quel point la prolifération des cyberconflits crée un Occident sauvage numérique avec peu de règles ou de certitudes, et combien il est difficile pour les États-Unis de suivre les logiciels malveillants qu'ils utilisent pour pénétrer dans les réseaux étrangers et attaquer l'infrastructure de leurs adversaires.
Ces pertes ont déclenché un débat au sein de la communauté du renseignement sur la question de savoir si les États-Unis devraient continuer à mettre au point certaines des cyberarmes les plus perfectionnées et les plus furtives du monde s'ils ne sont pas en mesure de les garder sous clé.
Le groupe de pirates chinois qui a coopté les outils de la N.S.A. est considéré par les analystes de l'agence comme l'un des groupe chinois les plus dangereux qu'elle recherche, selon une note de service classifiée de l'agence revue par le New York Times. Le groupe est responsable de nombreuses attaques contre certaines des cibles de défense les plus sensibles à l'intérieur des États-Unis, notamment des fabricants de technologies de propulsion spatiale, satellitaire et nucléaire.
Aujourd'hui, la découverte de Symantec, dévoilée lundi, suggère que les mêmes pirates chinois que l'agence traque depuis plus d'une décennie ont renversé les rôles de l'agence.
Certains des mêmes outils de piratage informatique de la N.S.A. acquis par les Chinois ont par la suite été jetés sur Internet par un groupe non encore identifié qui se fait appeler les Shadow Brokers et utilisés par la Russie et la Corée du Nord dans des attaques mondiales dévastatrices, bien qu'il ne semble y avoir aucun lien entre l'acquisition des cyberarmes américaines par la Chine et les révélations ultérieures des Shadow Brokers.
Mais la découverte de Symantec fournit la première preuve que des pirates informatiques parrainés par l'État chinois ont acquis certains des outils des mois avant que les Shadow Brokers n'apparaissent sur Internet en août 2016.
Au cours de la dernière décennie, les services de renseignements américains ont vu leurs outils de piratage informatique et les détails des programmes de cybersécurité hautement confidentiels refaire surface entre les mains d'autres pays ou groupes criminels.
La N.S.A. a utilisé des logiciels malveillants sophistiqués pour détruire les centrifugeuses nucléaires iraniennes, puis a vu le même code proliférer dans le monde entier, causant des dommages à des cibles aléatoires, y compris des géants commerciaux américains comme Chevron. Edward J. Snowden, un ancien entrepreneur de la N.S.A. qui vit maintenant en exil à Moscou, a révélé aux journalistes les détails des programmes secrets américains de cybersécurité. Une collection de cyberarmes de la CIA, prétendument divulguées par un initié, a été publiée sur WikiLeaks.
"Nous avons appris que vous ne pouvez pas garantir que vos outils ne feront pas l'objet de fuites et ne seront pas utilisés contre vous et vos alliés ", a déclaré Eric Chien, directeur de la sécurité chez Symantec.
Dans le dernier cas, les chercheurs de Symantec ne savent pas exactement comment les Chinois ont obtenu le code développé aux États-Unis. Mais ils savent que les services de renseignement chinois ont utilisé les nouveaux outils américains pour commettre des cyberintrusions dans au moins cinq pays ou territoires : Belgique, Luxembourg, Vietnam, Philippines et Hong Kong. Les cibles comprenaient des organismes de recherche scientifique, des établissements d'enseignement et les réseaux informatiques d'au moins un allié du gouvernement américain.
Une attaque contre un important réseau de télécommunications pourrait avoir donné aux agents de renseignements chinois accès à des centaines de milliers ou des millions de communications privées, a dit M. Symantec.
Symantec n'a pas explicitement nommé la Chine dans ses recherches. Au lieu de cela, il a identifié les attaquants comme étant le groupe Buckeye, le propre terme de Symantec pour les pirates informatiques que le ministère de la Justice et plusieurs autres sociétés de cybersécurité ont identifié comme un entrepreneur du ministère chinois de la Sécurité d'État opérant à partir de Guangzhou.
Parce que les entreprises de cybersécurité opèrent à l'échelle mondiale, elles concoctent souvent leurs propres surnoms pour les agences gouvernementales de renseignement afin d'éviter d'offenser tout gouvernement ; Symantec et d'autres entreprises appellent les pirates de la NSA le groupe Equation. Buckeye est aussi appelé APT3, pour Advanced Persistent Threat, et d'autres noms.
En 2017, le ministère de la Justice a annoncé l'inculpation de trois pirates chinois dans le groupe Symantec appelle Buckeye. Bien que les procureurs n'aient pas affirmé que les trois hommes travaillaient pour le compte du gouvernement chinois, des chercheurs indépendants et la note de service classifiée de la N.S.A. qui a été examinée par le Times ont clairement indiqué que le groupe avait passé un contrat avec le ministère de la Sécurité d'État et avait mené des attaques complexes aux États-Unis.
Un rapport du Pentagone sur la concurrence militaire chinoise, publié la semaine dernière, décrit Pékin comme l'un des acteurs les plus qualifiés et les plus persistants dans les cyberopérations militaires, commerciales et de renseignement, cherchant à "dégrader les principaux avantages opérationnels et technologiques des États-Unis".
Dans ce cas, cependant, les Chinois semblent simplement avoir repéré une cyberintrusion américaine et avoir volé le code, souvent élaboré à grands frais pour les contribuables américains.
Symantec a découvert que dès mars 2016, les pirates chinois utilisaient des versions modifiées de deux outils de la N.S.A., appelés Eternal Synergy et Double Pulsar, dans leurs attaques. Quelques mois plus tard, en août 2016, les Shadow Brokers ont publié leurs premiers échantillons d'outils volés de N.S.A., suivis en avril 2017 de leur dépotoir sur Internet de toute leur collection d'exploits N.S.A.
Les chercheurs de Symantec ont noté qu'il y a eu de nombreux cas antérieurs où des logiciels malveillants découverts par des chercheurs en cybersécurité ont été rendus publics sur Internet, puis saisis par des agences d'espionnage ou des criminels et utilisés pour des attaques. Mais ils ne connaissaient pas de précédent pour les actions chinoises dans cette affaire - capturer secrètement du code informatique utilisé dans une attaque, puis le coopter et le retourner contre de nouvelles cibles.
"C'est la première fois que nous voyons un cas - auquel les gens se réfèrent depuis longtemps en théorie - d'un groupe qui récupère des vulnérabilités et des exploits inconnus utilisés contre eux, et qui utilise ensuite ces exploits pour attaquer d'autres personnes ", a déclaré M. Chien.
Pour les agences de renseignement américaines, la découverte de Symantec présente une sorte de scénario catastrophe que les responsables américains ont déclaré essayer d'éviter d'utiliser un programme de la Maison-Blanche connu sous le nom de Vulnerabilities Equities Process.
Dans le cadre de ce processus, entamé sous le gouvernement Obama, un coordonnateur de la cybersécurité de la Maison-Blanche et des représentants de divers organismes gouvernementaux pèsent le pour et le contre du maintien du secret sur la réserve américaine de vulnérabilités non divulguées. Les représentants débattent de l'accumulation de ces vulnérabilités pour la collecte de renseignements ou à des fins militaires contre le risque très réel qu'elles puissent être découvertes par un adversaire comme les Chinois et utilisées pour pirater les Américains.
La publication par les Shadow Brokers des outils de piratage les plus convoités de la N.S.A. en 2016 et 2017 a forcé l'agence à remettre son arsenal de vulnérabilités logicielles à Microsoft pour le patch et à fermer certaines des opérations antiterroristes les plus sensibles de la N.S.A., ont déclaré deux anciens employés de la NSA.
Les outils de la N.S.A. ont été repris par des pirates nord-coréens et russes et utilisés pour des attaques qui ont paralysé le système de soins de santé britannique, mis fin aux activités de la compagnie maritime Maersk et interrompu l'approvisionnement critique d'un vaccin fabriqué par Merck. En Ukraine, les attaques russes ont paralysé des services ukrainiens essentiels, notamment l'aéroport, les services postaux, les stations-service et les A.T.M.s.
"Aucune des décisions qui entrent dans le processus n'est sans risque. Ce n'est tout simplement pas la nature de la façon dont ces choses fonctionnent", a déclaré Michael Daniel, président de la Cyber Threat Alliance, qui était auparavant coordonnateur de la cybersécurité pour le gouvernement Obama. "Mais cela renforce clairement la nécessité d'avoir un processus réfléchi qui implique un grand nombre d'actions différentes et qui est mis à jour fréquemment."
C'est exactement ce qui semble s'être passé lors de la découverte récente de Symantec, a dit M. Chien. À l'avenir, a-t-il dit, les responsables américains devront tenir compte de la probabilité réelle que leurs propres outils fassent boomerang sur les cibles ou les alliés américains. Une porte-parole de la N.S.A. a déclaré que l'agence n'avait aucun commentaire immédiat sur le rapport Symantec.
Un autre élément de la découverte de Symantec a troublé M. Chien. Il a noté que même si le groupe Buckeye a sombré après l'inculpation de trois de ses membres par le ministère de la Justice en 2017, les outils réorientés de la N.S.A. ont continué à être utilisés dans les attaques en Europe et en Asie jusqu'en septembre dernier.
"C'est toujours Buckeye ?" M. Chien a demandé. "Ou ont-ils donné ces outils à un autre groupe pour qu'il les utilise ? C'est un mystère. Les gens vont et viennent. Il est clair que les outils survivent."
Commentaire