Des fuites récentes et d’autres révélations sur le recours par Pékin à des sociétés de piratage informatique mettent en lumière la façon dont la privatisation à la chinoise modifie les opérations de renseignement du gouvernement.
En février, 577 documents volés à la société de piratage chinoise iS00N ont été déposés sur GitHub. Le centre de développement appartenant à Microsoft a rapidement supprimé les fichiers, mais pas avant que les analystes et les médias du monde entier vantent l’apparence « première du genre ».
Cette fuite n’est pas la première révélation selon laquelle des entreprises privées mènent des cyberopérations offensives qui relevaient autrefois de la compétence exclusive des agences gouvernementales. En 2015, une sauvegarde de données de 400 Go a révélé de tels efforts de la part de l’équipe italienne de piratage. En 2021, un consortium de presse mondial a documenté les efforts du groupe israélien NSO et d’autres pour aider les régimes autoritaires et les clients privés à cibler les entreprises technologiques et les démocraties du monde entier. Et l’année dernière, le Carnegie Endowment a compilé une liste de 193 cas rendus publics de cyberattaques offensives privatisées exécutées par 40 entreprises, dont six sociétés chinoises.
Néanmoins, le vidage de documents iSoon a révélé des activités d’une ampleur inattendue. Travaillant pour le compte des bureaux de sécurité publique et des départements de sécurité de l’État chinois, la société a espionné des cibles partout en Europe, en Asie et en Amérique du Nord. La fuite était « étroite, mais profonde », a déclaré John Hultquist, analyste en chef de la société de cybersécurité Mandiant. « Nous avons rarement un accès aussi illimité au fonctionnement interne d’une opération de renseignement. »
Origines
Le recours des pirates informatiques au secteur privé en Chine intervient dans un contexte de multiplication des opérations d’espionnage depuis deux décennies, qui visent non seulement les gouvernements et les armées adverses, mais aussi les responsables gouvernementaux étrangers, les dissidents à l’étranger, les militants de Hong Kong, les journalistes spécialisés dans la Chine et les entreprises étrangères dans des secteurs critiques, notamment les bases industrielles de défense. Des efforts particuliers sont déployés pour en savoir plus sur les technologies militaires et spatiales, dont les secrets sont de plus en plus gardés sous forme numérique. Comme l’a dit Peter Mattis dans Chinese Communist Espionage, « l’art des opérations techniques est passé de l’élégance de l’appareil et de sa livraison à l’élégance du logiciel », ce qui « a marqué l’émergence claire de l’exploitation des réseaux informatiques comme élément incontournable de la boîte à outils du renseignement chinois ». Le passage au numérique a permis plusieurs succès étonnants, comme la collecte d’informations sur 20 millions d’employés du gouvernement américain auprès de l’Office of Personnel Management de 2013 à 2015, le piratage des e-mails du secrétaire américain au Commerce et de nombreux autres exploits.
Cependant, les cyber-opérations chinoises ont également été minées par une formation inégale et des pratiques parfois bâclées. Il y a dix ans, la tristement célèbre unité PLA 61398 (APT 1) n’a même pas pris la peine de cacher ses adresses IP ; en 2021, une unité de Recorded Future, utilisant des « techniques analytiques communes », a cartographié la vaste infrastructure et les cibles étrangères de l’unité PLA 69010 à Urumqi, dans le Xinjiang. La même année, ils ont découvert qu’une autre unité SSF PLA, 61419, n’avait pas réussi à empêcher que ses achats de logiciels antivirus étrangers ne soient rendus publics à la vue de tous.
De telles erreurs sont notables, mais n’étaient probablement pas la raison de la récente tendance à la privatisation, et elles ont été multipliées par le mauvais OPSEC de cette année chez iS00N, ainsi que par le drame public de Chengdu 404 poursuivant cette entreprise en justice. Plus probablement, il s’agissait d’une augmentation de l’ampleur des opérations de renseignement de Pékin, conduisant au transfert de ce qui semble être une partie substantielle du travail des agences de sécurité de l’État vers des sous-traitants (les documents divulgués montrent que seuls quelques clients d’iS00N étaient militaires). Parmi les sociétés connues figurent des opérateurs indépendants tels que iS00N et Chengdu 404, ainsi que des sociétés du ministère de la Sécurité d’État telles que Hunan Xiaoruizhi S&T et Hainan Xiandun Technology (cette dernière est toujours répertoriée en ligne).
Les origines des entreprises de type iS00N peuvent être attribuées au « piratage patriotique » des années 1990, qui mettait en vedette des personnalités comme Lin Yong et son « Honker Union » et Wu Haibo, qui a fondé le groupe de piratage informatique des années 1990 « Armée verte ». Au début des années 2000, des entités militaires plus sophistiquées, notamment l’unité PLA 61398 (APT 1), menaient des attaques sophistiquées, et il semblait que le piratage informatique était devenu l’apanage de l’armée.
Mais avec le recul, la voie vers la privatisation semble avoir été tracée dans le contexte du déclin des relations sino-américaines, amorcé par le « pivot » d’Obama vers l’Asie en 2010 et l’accession au pouvoir de Xi Jinping en 2012. Après le lancement d’iS00N par Wu en 2010, d’autres entreprises privées ont commencé à apparaître, notamment Chengdu 404 en 2014. Cette tendance a peut-être été accélérée par les politiques intérieures et étrangères agressives de Xi, en particulier lors de son second mandat en 2017-22, qui ont généré des besoins supplémentaires en matière de renseignement. Aujourd’hui, les sociétés de renseignement privées offrent la possibilité d’embaucher rapidement des personnes pour répondre à des besoins émergents. En particulier, elles peuvent embaucher pour des emplois non classifiés sans attendre le type d’habilitations de sécurité que le gouvernement exigerait de ses propres employés. (Presque aucun des contrats d’iS00N dans le tableau des clients divulgué n’est marqué comme classifié.) Cela aide probablement Pékin à maintenir une offensive mondiale de renseignement et d’influence dont « l’ampleur et l’intensité… submergent les défenses occidentales », écrit Nigel Inkster, l’ancien directeur des opérations et du renseignement au MI-6.
Révélations
Les documents divulgués par iS00N donnent un aperçu de cette activité de piratage informatique pour le compte de la RPC. Les tarifs de l’entreprise pour la surveillance des adresses e-mail individuelles sont de 125 000 $ par an ou 300 000 $ sur trois ans. Un tableau de cinq pages documente les contrats remontant à 2016 avec divers clients, à commencer par le Bureau de la sécurité publique de Chengdu et s’étendant à d’autres BSP dans toute la Chine. Un contrat avec l’Institut numéro 3 du ministère de la Sécurité publique à Pékin a engagé l’entreprise pour fournir un « système d’enquête de preuves à distance » à utiliser sur le réseau China Unicom. Curieusement, le tableau révèle le travail d’iS00N pour des entreprises technologiques dans toute la Chine. Par exemple, la Shaanxi Xianxiang Network Technology Company a reçu un « service d’acquisition de données » pour 22 800 $, tandis que la Fujian Zhongrui Electronic Technology Company a reçu des « services d’analyse de données à l’œil aiguisé ». Cela soulève la possibilité que iS00N soit devenu le fournisseur de logiciels d’espionnage et autres à d’autres entrepreneurs privilégiés par les PSB dans leurs localités.
Les accords en texte intégral entre les documents sont rares, mais il existe un contrat iS00N avec le Bureau de la sécurité publique de Bayingol au Xinjiang, qui a engagé l’entreprise pour pirater les comptes de messagerie des émigrés ouïghours et de leurs familles restés chez eux à Bayingol, ainsi que les bases de données. des compagnies aériennes et des sociétés de télécommunications que les émigrés pourraient utiliser à Macao, en Malaisie, au Kazakhstan et au Pakistan. D’autres emplois consistaient pour iS00N à surveiller l’OTAN et les ministères gouvernementaux en Indonésie, au Kazakhstan, en Corée, en Malaisie, en Mongolie, en Thaïlande et au Royaume-Uni.
L’enquête révèle également que certains opérateurs d’iS00N sont très mal payés, ce qui peut expliquer en partie la fuite de février. Ces entreprises semblent permettre aux opérateurs de travailler pour le parti-État le jour, mais utilisent les équipements et les logiciels de l’entreprise pour commettre des fraudes lucratives la nuit. Ce manque de contrôle permissif pourrait représenter une partie des milliers d’arrestations pour cybercriminalité en Chine par le ministère de la Sécurité publique en 2022 et 2023.
On ne sait pas exactement combien de sociétés privées de piratage informatique comme iS00N et Chengdu 404 peuvent fournir des solutions logicielles aux plus petites, bien que les entreprises locales répertoriées dans le décompte d’iS00N soient au nombre de plus de 100. À un niveau plus basique, nous ignorons toujours les étapes du cycle de renseignement de la RPC, la manière dont les tâches sont attribuées et les mécanismes, s’il en existe, pour gérer les conflits. On ne sait pas non plus si les dirigeants du PCC créent volontairement des tâches redondantes et des rivalités, pour empêcher les organes de sécurité de l’État de conspirer ensemble contre les hauts dirigeants.
Bien que la divulgation massive de leurs secrets ait dû embarrasser tous ceux impliqués dans l’industrie du piratage informatique en RPC, les activités commerciales et les opérations cybernétiques du PCC dans leur ensemble continuent de progresser. Bien que les fuites aient impliqué Chengdu 404 dans une conspiration de truquage d’offres visant à tromper les ministères de la Sécurité d’État et de la Sécurité publique, au moment où nous écrivons ces lignes, l’entreprise est toujours ouverte aux affaires et cherche même à embaucher davantage d’ingénieurs pour développer des sites Web, des big data et des technologies de robot d’exploration Web.
Matt Brazil est analyste principal chez BluePath Labs, membre de la Jamestown Foundation et ancien officier et diplomate de l’armée américaine. Il est co-auteur de Chinese Communist Espionage: An Intelligence Primer (Naval Institute Press, 2019).
PW Singer est l’auteur à succès de livres sur la guerre et la technologie tels que Wired for War, Ghost Fleet et Burn-In ; chercheur principal à New America; et co-fondateur de Useful Fiction, une société de récits stratégiques.
