Les méthodes d'espionnage électronique de la Chine dévoilées par une fuite de documents

Environ 570 fichiers, images, historiques de conversation et contrats appartenant à la société chinoise ISoon ont été divulgués et rendus publics sur GitHub, la semaine dernière. Leur authenticité a depuis été vérifiée par des experts en cybersécurité, sans que la source n’ait été dévoilée. Il s’agirait de la plus importante fuite de données témoignant de pratiques de piratage à grande échelle menées par le gouvernement chinois.

“Il est rare que nous ayons un accès aussi libre au fonctionnement interne d’une opération de renseignement, a déclaré John Hultquist, analyste chez Mandiant, société de cybersécurité appartenant à Google. Nous avons toutes les raisons de penser qu’il s’agit de données authentiques d’un sous-traitant, qui soutient des opérations de cyberespionnage nationales et internationales depuis la Chine.”

Une société qui collabore avec des groupes de hackers

Le Washington Post, qui a analysé les documents, révèle que la société ISoon, également connue sous le nom d’Auxun, fournit des services de piratage et de collecte de données au gouvernement chinois, aux groupes de sécurité et aux entreprises publiques. Elle fait partie d’un réseau de sous-traitants établi depuis plus de 20 ans, et compte parmi ses clients le ministère de la Sécurité publique, de la Sécurité d’État et l’armée chinoise. La société a notamment travaillé avec les hackers chinois d’APT41, accusés en 2020 par le ministère américain de la Justice d’avoir ciblé plus de 100 sociétés de jeux vidéo et universités à travers le monde.

Les fichiers ayant fuité comprennent à la fois des historiques de conversation entre employés, mais aussi des listes de cibles et de matériel décrivant des outils utilisés pour les cyberattaques. Ces cibles comprennent 20 gouvernements et territoires étrangers, principalement en Asie, comme l’Inde, Hong Kong, la Thaïlande, la Corée du Sud et la Malaisie. La société a également visé le Royaume-Uni, le Nigeria ou même l’OTAN. Certains fichiers démontrent aussi la surveillance d’activités de minorités ethniques en Chine, comme les Ouïghours et les Tibétains.

Des données cartographiques de Taïwan vendues aux autorités chinoises

En outre, l’analyse des documents démontre que les autorités chinoises ont pu obtenir d’ISoon 459 gigaoctets de données cartographiques de Taïwan. Les relations diplomatiques entre l’empire du Milieu et Taïwan se sont tendues ces dernières semaines, avec des élections maintenant au pouvoir un parti qui revendique son autonomie, alors que la Chine considère que le territoire lui appartient. En tout, ISoon a signé des centaines d’accords avec la police chinoise, de petits travaux évalués à 1400 dollars, à des contrats pluriannuels coûtant jusqu’à 800 000 dollars. 

Certains documents mettent aussi en évidence la manière dont la société veut nuire aux géants de la tech. “Dans la guerre de l'information, voler des informations ennemies et détruire les systèmes d'information ennemis sont devenus la clé pour vaincre l'ennemi”, est-il indiqué dans un document de présentation d’un produit à vendre, qui permettrait de contrôler les comptes Microsoft Outlook et Hotmail, en échappant aux protocoles d’authentification. D’autres fichier proposent des services “d’accès à distance” pour obtenir les données d’un appareil iOS, pour mener des campagnes de phishing contre des utilisateurs de X (ex-Twitter) ou pour contrôler des systèmes d’exploitation Mac et Windows.

L’origine de la fuite reste inconnue

D’où peut venir cette gigantesque fuite ? Selon le Washington Post, “des sociétés rivales se disputent des contrats gouvernementaux lucratifs en promettant un accès toujours plus dévastateur et complet à des informations sensibles jugées utiles par la police et l’armée chinoises, et les agences de renseignement”. La fuite pourrait donc provenir du piratage d’une entreprise concurrente.

Or sur GitHub, l’auteur de la fuite se présente comme un lanceur d’alerte révélant des fautes professionnelles, de mauvaises conditions de travail et des produits “de mauvaise qualité”. En outre, les fichiers découverts contiennent des plaintes de salariés sur leur rémunération et leur charge de travail. Il pourrait alors aussi s’agir d’un ancien hacker remonté contre son employeur.

En attendant, la police chinoise a décidé d’ouvrir une enquête pour connaître l’origine de la fuite de fichiers. Hier, le site web de la société était hors ligne. Une fuite de données qui pourrait altérer les relations entre la société de piratage et le gouvernement chinois.