De deux choses l’une : soit c'est l’une des preuves les plus détaillées jamais publiées de l’implication de l’État chinois dans des cyber-attaques visant des pays anglophones, soit l’une des plus grandes défaillances de l’histoire de la cyber-sécurité. C’est en tout cas une opération de communication de premier ordre pour la société de sécurité informatique américaine Mandiant.

Dans un rapport rendu public mardi 19 février, cette entreprise affirme que la Chine mène depuis 2006 une vaste opération de cyber-espionnage, baptisée APT1 (Advanced Persistant Threat 1, menace persistante avancée). Elle aurait permis de dérober des tonnes de données en s’infiltrant dans les réseaux informatiques de au moins 141 entreprises ou organisations gouvernementales essentiellement aux États-Unis, au Canada et en Grande-Bretagne.

Que ce soit en piratant Coca-Cola ou une entreprise (non nommée) qui a accès à 60 % des pipelines de gaz au États-Unis, ces hackers financés par le Parti communiste chinois auraient eu accès à des designs industriels, des informations concernant des fusions ou des acquisitions ou encore aux comptes de messageries électroniques des dirigeants de ces entreprises.

Contactées par le New York Times - qui a eu une copie du rapport avant sa publication - les autorités chinoises ont nié toute implication dans cette opération. Le ministère chinois des Affaires étrangères a qualifié, mardi, les conclusions de Mandiant de “sans fondements”.

Portrait-robot inédit

Il faut dire que la société américaine ne prend pas de gants alors qu’il est traditionnel de dire que l’attribution d’une attaque informatique est difficile voire impossible. Mandiant désigne clairement la très secrète Unité 61398, présentée comme le bras cyber-armé du Parti communiste chinois, comme responsable de cette opération.

Pour étoffer leurs propos, les auteurs de ce rapport de 74 pages, photos, schémas et même vidéos à l’appui, dressent un portrait-robot inédit de cette organisation qui opère dans l’ombre et dont les autorités chinoises nient publiquement en avoir connaissance.

D’après les conclusions du rapport, l’Unité 61398 dépend directement de la troisième section du Département général de l’Armée de libération populaire de Chine. En fait, il s’agirait du 2e bureau de cette section. C’est donc une organisation militaire qui répond directement au Parti communiste et a, à ce titre, accès aux “ressources des entreprises publiques” chinoises d’après le rapport. Mandiant a ainsi pu mettre la main sur un mémo de China Telecom, l’un des principaux équipementiers publics en télécommunications, qui a fourni à l’Unité 61398 une connexion Internet dernier cri.

Les enquêteurs de cette société de sécurité informatique ont même pu localiser précisément l’immeuble qui abrite cette armée de cyber-militaires. Il s’agit d’un bâtiment de douze étages situé au 208 Datong Road à Shanghaï qui couvre une superficie de 12 138 mètres carrés. De quoi, d’après Mandiant, abriter environ 2 000 personnes. Preuve de l’importance, aux yeux de Pékin, de ce qui se trame derrière ses murs, l’immeuble bénéficie de toutes une ribambelle de petits plus pour faciliter la vie des employés. Il y a ainsi une clinique au sein du bâtiment ainsi qu’une crèche privée et Mandiant assure avoir trouvé la trace de logements mis à disposition du personnel qui travaille à cette adresse. “Des services dont bénéficient généralement les grandes structures militaires ou les hauts gradés”, souligne les auteurs du rapport.

Fan de Harry Potter

Le rapport s’intéresse aussi de très près au profil de ces petites mains de la cyber-défense chinoise. Les auteurs ont pu trouver la description de postes à pourvoir au sein de l’Unité 61398 qui requièrent des connaissances avancées en informatique, mathématique et une bonne maîtrise de l’anglais.

Mandiant va encore plus loin. Les auteurs vont jusqu’à révéler des détails sur l’identité de trois membres présumés de ce groupe. L’un d’entre eux, UglyGorilla a déjà été cité par le passé comme étant un hacker chinois très actif. Mais le rapport sur l’unité 61398 affirme qu’il pourrait s’appeler Wong Dang et qu’il opèrerait depuis au moins 2004.

Un autre, DOTA semble parler parfaitement l’anglais et être un fan de Harry Potter. “La plupart des réponses aux questions de sécurité pour les faux comptes mails qu’il a créés sont soit Harry soit Potter”, note Mandiant. Mais au-delà de cet anecdotique intérêt pour l’apprenti magicien, DOTA serait spécialisé dans l’attaque d’organisations militaires en Malaisie et aux Philippines.

Enfin, derrière le pseudo SuperHard (“très dur”) se cacherait d’après Mandiant un Chinois de 30 ans dont le véritable nom est Mei Qiang. Les experts de la société de sécurité américaine ont réussi à le retrouver sur des forums où il loue ses services pour écrire des logiciels malveillants permettant de prendre le contrôle d’ordinateurs à distance.