Un important fournisseur chinois de solutions cryptographiques commerciales a été la cible d’une cyberattaque sophistiquée en 2024, attribuée à une agence de renseignement américaine.
En 2024, une cyberattaque d’envergure a été orchestrée contre une entreprise stratégique chinoise spécialisée dans la cryptographie commerciale. L’opération, minutieusement conduite et techniquement complexe, est attribuée à une agence de renseignement américaine. Elle visait à infiltrer les systèmes internes de l’entreprise pour y dérober des informations sensibles, en s’appuyant sur des techniques avancées et des programmes malveillants sophistiqués. Le rapport détaillé publié par le Centre national d’urgence Internet (CNCERT) livre les mécanismes de l’opération, soulignant les risques croissants liés à la cyberguerre étatique.
Le 5 mars 2024 marque le début d’un assaut numérique discret mais redoutablement efficace. L’attaque, lancée contre un système de gestion de la relation client utilisé par le fournisseur chinois, a d’abord exploité une vulnérabilité jusque-là inconnue. Le CRM en question stockait des données critiques : listes de clients, contrats, informations sensibles sur des partenaires, y compris des entités gouvernementales. Une fois la brèche ouverte, les attaquants ont discrètement supprimé les journaux d’activité, effaçant toute trace de leur passage initial. Ils ont ensuite implanté un cheval de Troie dissimulé dans un fichier PHP, capable d’exécuter des commandes à distance tout en chiffrant les données échangées pour éviter toute détection.
L’opération ne s’est pas arrêtée là. Après s’être assurés un point d’entrée stable, les cyberattaquants ont mené des mouvements latéraux, s’introduisant dans d’autres systèmes, notamment ceux de gestion des codes produits et des projets de recherche. Cette progression méthodique visait à maximiser la quantité et la qualité des informations dérobées, tout en maintenant une discrétion maximale.
Entre mars et septembre 2024, ce sont près de 950 Mo de données clients et plus de 6 Go de codes de projet cryptographiques qui ont été extraits sans alerter les systèmes de sécurité de l’entreprise.
Le volet le plus préoccupant de l’incident reste le vol massif d’informations classifiées. Dans le système CRM, les assaillants ont eu accès à plus de 8 000 fichiers clients et 10 000 commandes contractuelles. L’ampleur de ces données, comprenant les montants, les contenus d’achat et les noms de partenaires, représente une mine d’or en matière de renseignement économique. Le tout a été transféré à l’aide de 14 adresses IP tremplins situées à l’étranger, ce qui a permis d’obscurcir leur origine réelle.
De mai à juillet, c’est un autre système, celui des codes projet, qui a été ciblé. Les intrusions ont permis de siphonner 6,2 Go de données techniques, comprenant notamment les codes source de trois projets de R&D cryptographiques. Ces informations sont cruciales pour la sécurité nationale, puisque ces technologies peuvent être utilisées dans les communications sécurisées et la protection des données sensibles à l’échelle étatique.
L’analyse technique du cheval de Troie implanté a révélé une homologie claire avec des armes numériques déjà attribuées à des agences de renseignement américaines dans des attaques précédentes. Le programme malveillant possédait une signature et une architecture similaires à des outils utilisés par le passé dans le cadre de cyber opérations menées par la NSA, notamment ceux révélés par des fuites telles que celles d’Edward Snowden ou des publications de WikiLeaks (Vault 7). Cette convergence alimente les soupçons d’une implication directe des États-Unis dans l’affaire. Quoi ? Les « pirates » américains exploiteraient des outils et des méthodes connus de tous et datant d’une dizaine d’années ?
Par ailleurs, les horaires de l’attaque coïncident avec les heures de bureau aux États-Unis, entre 10h00 et 20h00, heure de l’Est. Aucun mouvement n’a été détecté pendant les week-ends ou jours fériés américains, un indice supplémentaire d’un pilotage depuis le territoire des États-Unis. L’utilisation de 17 adresses IP différentes, situées notamment aux Pays-Bas, en Allemagne et en Corée du Sud, témoigne d’une capacité technique avancée en matière de dissimulation et de mobilité numérique. Soyons honnêtes : se baser sur les heures de bureau pour identifier un attaquant, c’est léger… très léger. Il serait naïf de croire qu’un pirate n’aurait pas pensé à brouiller les pistes en manipulant sa géolocalisation, et ses propres horaires d’actions.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Les attaquants ont également démontré une grande maîtrise des techniques d’évasion. Deux chevaux de Troie temporaires, issus d’outils Web courants mais subtilement modifiés, ont été repérés. Ces outils open source modifiés permettent de ne pas éveiller l’attention, en se fondant dans le trafic réseau habituel. Pour parfaire leur discrétion, les cyberattaquants ont systématiquement supprimé les journaux d’activité et les fichiers malveillants après usage, empêchant les administrateurs de remonter leur piste.
Ce type d’opération, si elle s’avère vraie, s’inscrit dans une tendance plus large de cyber espionnage entre grandes puissances, dans un contexte de tensions géopolitiques croissantes entre la Chine et les États-Unis, notamment dans les domaines de la technologie, de la cybersécurité et du renseignement. Les américains ont d’ailleurs affiché des envies de « cyber » beaucoup plus offensif.
Le CNCERT, en publiant ce rapport, ne se contente pas de documenter l’incident. L’objectif est clairement d’alerter la communauté internationale, en particulier les pays disposant d’infrastructures numériques sensibles. Le centre propose que ce cas serve de référence concrète pour identifier les signes précurseurs de telles attaques, comprendre les méthodes employées, et renforcer les défenses. Il appelle également à une coopération renforcée entre États dans la lutte contre la cyberguerre, soulignant que l’absence de cadre juridique international clair sur ces questions ouvre la porte à des actes unilatéraux agressifs sous couvert d’anonymat numérique.
Si les États-Unis n’ont pas officiellement réagi aux accusations contenues dans le rapport, ce silence contraste fortement avec l’ampleur de l’affaire. Pour Pékin, cette attaque illustre la nécessité urgente de développer une cyber souveraineté renforcée, en réduisant la dépendance aux technologies étrangères et en renforçant les capacités offensives et défensives locales. La Chine avait déjà montré du doigt trois présumé agent de la NSA, accusés de piratage lors des Jeux d’hiver asiatiques.
La guerre numérique, longtemps cantonnée aux romans d’espionnage, s’est aujourd’hui installée dans le réel. Cette affaire, parmi les plus documentées de ces dernières années, expose au grand jour les tactiques employées dans cette nouvelle forme de confrontation invisible. Elle rappelle surtout que dans un monde hyperconnecté, la ligne de front ne se dessine plus seulement sur des cartes, mais aussi dans les recoins obscurs des serveurs informatiques.
Reste à savoir jusqu’où iront les ripostes numériques, et si une gouvernance mondiale de la cybersécurité émergera un jour pour encadrer ces conflits numériques qui, pour l’heure, échappent à tout contrôle. La cybersécurité deviendra-t-elle le principal théâtre de rivalité entre grandes puissances au XXIe siècle ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
