Cauchemar de cyber-espionnage





Sur un mur faisant face à des dizaines de cabines du bureau du FBI à Pittsburgh, cinq gars de Shanghai regardent des affiches Wanted. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu et Gu Chunhui sont, selon un accusation descellés l'année dernière, des agents de l'unité 61398 de l'Armée populaire de libération de Chine, qui ont piraté les réseaux d'entreprises américaines. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse, ainsi que le plus grand syndicat industriel d'Amérique du Nord, United Steelworkers, et la filiale américaine de SolarWorld, un fabricant allemand de panneaux solaires. Pendant plusieurs années, selon les procureurs, les agents ont volé des milliers d'e-mails sur la stratégie commerciale, des documents sur des affaires de commerce déloyal que certaines entreprises américaines avaient déposées contre la Chine, et même des conceptions de canalisations pour des centrales nucléaires, le tout prétendument au profit d'entreprises chinoises. .

Il s'agit de la première affaire intentée par les États-Unis contre les auteurs d'un prétendu cyber-espionnage parrainé par l'État, et elle a révélé des failles de sécurité informatique que les entreprises reconnaissent rarement en public. Bien que les attaquants aient apparemment acheminé leurs activités à travers les ordinateurs de personnes innocentes et aient fait d'autres efforts pour se masquer, les procureurs ont retracé les intrusions dans un immeuble de 12 étages à Shanghai et ont dénoncé des agents de renseignement individuels. Il y a peu de chances que des arrestations soient effectuées, puisque les États-Unis n'ont pas d'accords d'extradition avec la Chine, mais le gouvernement américain espère apparemment que nommer de véritables agents - et démontrer que le traçage des attaques est possible - embarrassera la Chine et mettra d'autres nations en garde, inhiber l'espionnage économique futur.

50 entreprises les plus intelligentes 2015

Cette histoire faisait partie de notre numéro de juillet 2015



  • Voir la suite du problème
  • S'abonner

C'est peut-être irréaliste. Les sociétés de sécurité affirment que de telles activités se poursuivent et la Chine qualifie les accusations de purement infondées et absurdes. Mais il y a une autre leçon à tirer de l'acte d'accusation : il est désormais peu probable que les entreprises conservent des informations précieuses en ligne. Quelles que soient les mesures qu'ils prennent, ils ne suivent pas le rythme des menaces. De toute évidence, la situation s'est aggravée, et non améliorée, déclare Virgil Gligor, qui codirige le centre de recherche sur la sécurité informatique de l'Université Carnegie Mellon, connu sous le nom de CyLab. Nous avons rendu l'accès aux services, aux bases de données et à la connectivité si pratiques qu'ils sont également pratiques pour nos adversaires. Une fois que les entreprises ont accepté cela, dit Gligor, la réponse la plus évidente est radicale : débranchez.

Fracturation et piratage

Assis à une petite table de conférence dans son bureau du palais de justice fédéral de Pittsburgh, David Hickton, l'avocat américain pour l'ouest de la Pennsylvanie, a ouvert un récipient en plastique qu'il avait apporté de chez lui et a retiré et épluché un œuf dur pour le déjeuner. Bien que nous parlions d'une enquête impliquant des acteurs mondiaux et des technologies opaques, l'atmosphère intime de notre rencontre était appropriée : l'affaire avait de nombreuses racines dans les cercles commerciaux et politiques très unis de Pittsburgh. Hickton m'a montré une photo encadrée sur une étagère. Sur la photo, lui et un ami nommé John Surma se tiennent à côté de leurs fils, les garçons portant des uniformes de hockey, fraîchement sortis de la glace. Les deux pères avaient fréquenté Penn State. Alors que Hickton montait dans les rangs des procureurs, Surma montait dans le monde de l'entreprise, devenant PDG de US Steel. Lorsque Hickton est devenu le principal procureur fédéral de la région en 2010, l'un de ses petits déjeuners de rencontre était avec Surma et Leo Girard, le patron de United Steelworkers, qui représente 1,2 million de travailleurs actuels ou retraités dans plusieurs industries. Je leur demandais dans une affaire totalement indépendante de siéger à un conseil de prévention de la criminalité chez les jeunes, se souvient Hickton. Ils ont dit: 'Pouvons-nous vous parler d'autre chose?'



À l'époque, le boom américain de la fracturation hydraulique battait son plein, avec des taux d'intérêt extrêmement bas qui avaient été fixés pour stimuler l'économie et lubrifier également l'activité d'extraction de gaz naturel et de pétrole auparavant difficiles à atteindre. U.S. Steel avait une entreprise florissante vendant des tuyaux spécialement conçus pour le processus d'extraction. Entre autres caractéristiques, les tuyaux n'ont pas de joints verticaux, de sorte qu'ils tiendront le coup lorsqu'ils seront enfoncés à des milliers de pieds dans le sol et se plieront pour transporter le pétrole et le gaz sans se casser.

Nous devons payer le coût de la sécurité, ce qui est un inconvénient.

Mais U.S. Steel a également remarqué deux développements troublants. Premièrement, les entreprises d'État chinoises exportaient des lots de tubes similaires aux États-Unis à bas prix. Ainsi, U.S. Steel a déposé des plaintes auprès du Département américain du commerce et de la Commission américaine du commerce international, accusant la Chine de subventionner ses industries ; les affaires qui en ont résulté ont finalement conduit à des sanctions contre la Chine. Deuxièmement, l'entreprise et le syndicat savaient que des e-mails suspects étaient arrivés. Mais il n'était pas clair qui était derrière eux ou si des dommages étaient en train de se produire. Il y avait une prise de conscience générale des intrusions, mais pas « quand, où, comment » et la portée, dit Hickton.



Les e-mails ont été intelligemment conçus. Ils prétendaient provenir de collègues ou de membres du conseil d'administration, avec des lignes d'objet liées à l'ordre du jour de réunions ou à des études de marché, mais ils livraient des logiciels malveillants au moyen de pièces jointes ou de liens. Par exemple, selon l'acte d'accusation, le 8 février 2010, deux semaines avant une décision préliminaire du Département du commerce, les pirates ont envoyé un e-mail à plusieurs employés de U.S. Steel. Il semblait provenir du PDG, mais incluait un lien vers un site Web contenant des logiciels malveillants. Quelques employés ont cliqué dessus et leurs ordinateurs ont rapidement été infectés. Résultat : les pirates ont volé les noms d'hôte de 1 700 serveurs qui contrôlaient l'accès aux installations et aux réseaux de l'entreprise. L'acte d'accusation indique que Wang a ensuite tenté d'exploiter cet accès, mais il ne précise pas quelles informations ont été exposées.

Debbie Shon, vice-présidente du commerce de U.S. Steel, m'a dit que les informations comprenaient des renseignements commerciaux précieux. Ce n'étaient pas des conceptions de haute technologie, dit-elle. C'était des choses tout aussi importantes - les stratégies commerciales, les prix, les quantités de production, ainsi que le calendrier et le contenu de toute plainte commerciale que US Steel, en tant que l'une des plus grandes entreprises dans ce domaine, pourrait explorer.

L'acte d'accusation détaille plusieurs attaques similaires. Entre 2007 et 2013, Westinghouse négociait les détails d'un contrat avec une société chinoise pour la construction de quatre réacteurs nucléaires. De 2010 à 2012, l'un des accusés aurait volé au moins 1,4 gigaoctet de données - environ 700 000 pages de courrier électronique et de pièces jointes - des ordinateurs de Westinghouse. Les dossiers comprenaient des conceptions de tuyauterie et des communications dans lesquelles Westinghouse a révélé des inquiétudes concernant la concurrence chinoise. Chez ATI, les pirates auraient volé les mots de passe de 7 000 employés alors que l'entreprise était dans un différend commercial axé sur ses ventes à la Chine. Chez Alcoa, selon les procureurs, les pirates ont volé 2 900 e-mails avec plus de 860 pièces jointes à l'époque où l'entreprise négociait des accords avec des entreprises chinoises. (Alcoa, Westinghouse et ATI ont tous refusé de commenter cette histoire.) Et en 2012, après que le syndicat des métallos a commencé à dénoncer la politique industrielle chinoise, Wen a volé des e-mails contenant des discussions entre dirigeants syndicaux, selon l'acte d'accusation.



Pendant ce temps, SolarWorld avait intenté des poursuites commerciales accusant les entreprises chinoises de vendre des panneaux solaires à perte, décimant leurs rivaux. Un jour de 2012, un téléphone a sonné dans ses bureaux de Camarillo, en Californie. C'est le FBI qui a appelé, affirmant que des agents avaient découvert des e-mails volés à l'entreprise, a déclaré Ben Santarris, son porte-parole américain. Signe de la gravité de la cybersécurité, nous n'avions aucune idée de ce qui se passait jusqu'à ce que nous recevions l'appel téléphonique, dit-il. Ce n'est que lorsque l'acte d'accusation a été rendu public en mai 2014 que l'entreprise a pris connaissance de toute l'étendue du vol présumé. Il y avait accès à la stratégie commerciale, aux finances de l'entreprise, aux coûts, aux déclarations de profits et pertes, aux feuilles de route technologiques, à la R&D, etc., dit Santarris. En fin de compte, la société a obtenu gain de cause, obtenant des droits sur les importations d'équipements solaires en provenance de Chine. Pendant le conflit commercial, nous avons observé des contrôles très stricts sur qui peut voir quelles informations, dit-il. À l'époque où nous faisions cela, selon le FBI, l'armée chinoise arrivait par la porte arrière.

Enlève ça

L'échec des prétendues technologies de sécurité des entreprises était stupéfiant. Lance Wyatt, le directeur informatique du syndicat des métallurgistes, pensait qu'il dirigeait un navire serré. Un audit informatique réalisé en 2010 n'avait relevé aucune lacune majeure. Son serveur de messagerie a filtré tous les messages entrants à la recherche de pièces jointes contenant du code exécutable. Il avait le dernier logiciel antivirus. Son réseau vérifiait les adresses IP pour éviter les sites contenant des logiciels malveillants. Pourtant, Wyatt et le FBI ont finalement trouvé des ordinateurs infectés, dont l'un était utilisé par le responsable des voyages du syndicat. Aucune de ces machines n'était sur notre radar comme étant infectée ou suspecte, dit-il.

Selon l'acte d'accusation, les pirates disposaient de divers moyens de déguisement. D'une part, ils auraient envoyé des e-mails malveillants aux entreprises et au syndicat à partir de points de saut – des ordinateurs intermédiaires, dont un au Kansas, qui étaient sous leur contrôle. Deuxièmement, ils ont habilement manipulé le système d'Internet pour nommer les adresses des ordinateurs. Les pirates ont configuré des noms de domaine tels que arrowservice.net et purpledaily.com et programmé des logiciels malveillants sur les ordinateurs des entreprises victimes pour les contacter. Ensuite, les espions pourraient continuellement changer les adresses des ordinateurs auxquels les noms de domaine se connectaient. Lorsqu'il faisait jour à Shanghai et qu'il faisait nuit à Pittsburgh, selon l'acte d'accusation, ils avaient défini un nom de domaine pour se connecter aux ordinateurs de point de saut et mener de l'espionnage. Lorsque la journée de travail de Shanghai était terminée, les pirates définissaient l'adresse pour se connecter à des sites inoffensifs tels que les pages Yahoo.

Il n'est pas surprenant que de tels systèmes soient relativement faciles à coopter à des fins néfastes. Les idées pour rendre Internet plus sûr existent depuis des décennies, et les laboratoires universitaires et gouvernementaux ont élaboré des propositions intéressantes. Pourtant, très peu de ces idées ont été mises en œuvre ; ils nécessitent une adoption à grande échelle et éventuellement des compromis dans les performances du réseau. On n'entend plus parler de reconstruction d'Internet, déclare Greg Shannon, scientifique en chef de la division CERT du Software Engineering Institute de Carnegie Mellon.

Qu'est-ce qu'une entreprise à faire? Wyatt a resserré les choses chez United Steelworkers; entre autres, il donne désormais à moins d'employés des privilèges dits administratifs sur leurs ordinateurs, et il recherche sur le réseau les signes révélateurs de communications par des logiciels malveillants. Mais rien de tout cela n'aurait empêché les intrusions. Wyatt dit que cela aurait pu les ralentir.

La meilleure option pourrait donc être de supprimer entièrement les données sensibles d'Internet. Il y a des inconvénients à cela : si le courrier électronique n'est pas utilisé aussi librement, ou si une base de données est hors ligne, se tenir au courant des dernières versions des rapports ou d'autres données peut prendre plus de temps. Mais comme le dit Gligor : Nous devons payer le coût de la sécurité, ce qui est un inconvénient. Nous devons ajouter un petit inconvénient pour rendre les choses beaucoup plus difficiles pour l'attaquant distant. La façon de le faire est de—comment devrais-je le dire ?—de temps en temps se déconnecter.

Après tout, d'autres attaques comme celles de Pittsburgh se produisent encore. Cet acte d'accusation, dit Hickton, ne représente pas le nombre total de pirates, le nombre total de victimes ou le nombre total d'accusés.

David Talbot

cacher