211service.com
Le déclin des cyberattaques chinoises : l'histoire derrière les chiffres
L'été dernier, un public de responsables gouvernementaux, de militaires et d'ambassadeurs étrangers s'est réuni à Aspen, dans le Colorado, pour entendre John Carlin, alors procureur général adjoint, parler des cyberattaques. Le forum sur la sécurité d'Aspen, qui se tient chaque année dans une station balnéaire à couper le souffle des montagnes Rocheuses, est le genre d'événement où les mordus de la sécurité nationale partent en randonnée en t-shirts et en shorts, puis échangent des histoires de guerre autour d'eau citron-framboise et de boules de superaliments. . La nouvelle du piratage du Comité national démocrate était tombée la veille, et beaucoup espéraient que Carlin, qui dirigeait l'enquête sur l'incident, pourrait en parler franchement. Au lieu de cela, il a raconté l'inculpation par le ministère de la Justice de cinq pirates informatiques de l'unité 61398 de l'Armée populaire de libération de Chine pour espionnage commercial, en 2014 (voir « Cyber-Espionage Nightmare »).
Ancien procureur formé à Harvard, Carlin a supervisé les efforts du département pour éradiquer l'espionnage économique avant de démissionner au début du mois. En juin, la firme de cybersécurité FireEye a publié un rapport décrivant une diminution significative depuis début 2013 du nombre d'attaques commerciales en provenance de Chine, qui est la principale source de telles attaques. L'entreprise a répertorié les attaques contre des clients du monde entier par 72 groupes basés en Chine ou censés représenter les intérêts de l'État chinois. Dès la mi-2014, ses analystes ont observé une baisse notable de l'activité. Les responsables du renseignement ont discrètement fait écho à cette affirmation.
Pour certains membres de l'administration Obama, c'est la preuve que l'utilisation à la fois de la carotte et du bâton pour lutter contre le vol de propriété intellectuelle par les Chinois – ce que Carlin a appelé une approche multi-outils – fonctionne. Les inculpations et le soi-disant naming and shaming ont été accompagnés de sanctions économiques et d'efforts diplomatiques, y compris un accord de septembre 2015 entre le président Obama et Xi Jinping pour s'abstenir de mener ou de soutenir le cybervol de propriété intellectuelle. Cette approche est un panneau géant 'Pas d'intrusion', a déclaré Carlin. C'est 'Sortez de notre pelouse'.
Mais d'autres ne sont pas sûrs que le gouvernement américain devrait obtenir autant de crédit. La baisse perçue des attaques en provenance de Chine soulève une question : pourquoi ? D'anciens responsables gouvernementaux et experts en cybersécurité proposent désormais une gamme de théories, dont une provocatrice qui remet en question la mesure dans laquelle le cyber-espionnage commercial pur, par opposition à l'espionnage plus ciblé sur les technologies et les capacités militaires dans lesquelles de nombreux pays se livrent, a jamais été une priorité du gouvernement central chinois en premier lieu.
Il ne fait aucun doute que le gouvernement chinois investit une énergie considérable pour tout voler, des plans des avions de combat américains aux 22 millions de dossiers conservés par le Bureau de la gestion du personnel, ou qu'il n'a pas fait grand-chose pour poursuivre les espions commerciaux. Mais certaines des attaques les plus commerciales menées par l'unité 61398, selon cette théorie, pourraient avoir été des illusions, tandis que d'autres n'ont peut-être jamais eu le soutien explicite de Pékin pour commencer.
Les sceptiques abondent

Cinq membres de l'unité 61398 de l'Armée populaire de libération de Chine ont été inculpés par le ministère américain de la Justice pour espionnage commercial en 2014.
En 2013, l'ancien directeur du FBI, Robert Mueller, a appelé à un vaste effort pour éradiquer les cybermenaces et rechercher le corps chaud derrière le clavier. S'exprimant à la Brookings Institution le lendemain du dévoilement de l'acte d'accusation de l'unité 61398, Carlin a déclaré que le bureau avait réussi à mettre un visage sur ce corps chaleureux - ou plutôt sur cinq d'entre eux. Les photos d'identité de ces hommes, qui portaient des surnoms comme KandyGoo et UglyGorilla, ont été éclaboussé sur des affiches qui disaient : Recherché par le FBI.
L'acte d'accusation a marqué une rupture avec la pratique diplomatique standard de ne pas soumettre les responsables militaires actifs d'autres pays à des poursuites pénales, et beaucoup à Washington l'ont accueilli avec scepticisme. Certains doutaient que les accusations soient passibles de poursuites, tandis que d'autres ont souligné que la position du ministère de la Justice sur l'espionnage commercial - que la collecte de renseignements économiques généraux est un art de routine et donc acceptable, alors que l'espionnage au profit d'entreprises spécifiques ne l'est pas - est une distinction que peu d'autres les pays reconnaîtraient. Benjamin Wittes, chercheur principal à Brookings, s'est même demandé si la décision du ministère de la Justice n'était peut-être qu'une forme très sophistiquée de relations publiques juridiques.
Le doute a persisté en septembre 2015, après l'annonce de l'accord sino-américain. une entente. Certains pensaient que l'engagement de Xi à s'abstenir de soutenir le piratage commercial n'était guère plus que du bout des lèvres. Le directeur du renseignement national, James Clapper, a déclaré Actualités de la Défense à l'époque, je suis personnellement un peu sceptique.
Mais au fil du temps, les analystes de la cybersécurité ont remarqué un curieux changement. Pour son récent rapport, FireEye a commencé en février 2013, le mois où la société de renseignements sur les menaces Mandiant (maintenant détenue par FireEye) a lié publiquement l'unité 61398 à un bâtiment fortement gardé à Shanghai. Au cours des années qui ont suivi, les analystes de FireEye ont enregistré des agressions contre des clients aux États-Unis, au Japon et en Europe. Les attaques ont culminé à un peu plus de 70 par mois en septembre 2013. Début septembre 2015, avant qu'Obama et Xi ne signent l'accord, elles avaient ralenti à 10 par mois, faisant de l'accord une simple note de bas de page dans la volte-face de la Chine.
Tout indique que la Chine avait déjà ajusté sa politique et son approche, et que l'accord était quelque chose qui lui était réalisable car elle avait déjà changé de direction, déclare Daniel McWhorter, stratège en chef du renseignement et vice-président de FireEye. Le rapport est limité à la visibilité de l'entreprise et flou sur des détails tels que les fichiers que les attaquants ont pris, mais en avril, le directeur de la NSA, Michael Rogers, a déclaré que le piratage depuis la Chine avait diminué. Dans un discours au forum d'Aspen, le chef de la CIA, John Brennan, a répété que la communauté du renseignement découvrait moins d'attaques en provenance de Chine. En août, lorsque FireEye a annoncé qu'elle licencierait environ 10 % de son personnel, les dirigeants ont blâmé le ralentissement de l'activité chinoise.
Espionnage 'aspirateur'
Les affiches Wanted et la fanfare derrière l'acte d'accusation de l'unité 61398 ont renforcé l'idée fausse populaire, perpétuée par des émissions comme Monsieur Robot , que les pirates chinois sont très organisés dans leurs méthodes et leurs outils. En fait, ils étaient connus depuis longtemps pour être décentralisés et bâclés. Les experts en cybersécurité se sont un jour émerveillés de trouver plusieurs groupes de pirates chinois pénétrant la même cible, avec apparemment peu ou pas de coordination. Parfois, ces groupes ont commis des erreurs élémentaires. Dans le rapport de 2013 sur l'unité 61398, ou APT1, qui a précédé l'acte d'accusation du ministère de la Justice, Mandiant pourrait attribuer les attaques à l'Armée populaire de libération (APL) chinoise en partie parce que les pirates ont utilisé l'infrastructure de piratage de l'armée, qui se trouve à l'extérieur du grand pare-feu chinois, pour accéder à leurs comptes personnels Facebook et Twitter.
Beaucoup pensent maintenant que ces groupes ont simplement réduit une partie du bruit qui les rendait faciles à détecter. Dans le même temps, la Chine a probablement affiné son objectif, passant de l'espionnage «aspirateur» à une intrusion et un vol plus précisément ciblés, déclare Greg Austin, professeur à l'EastWest Institute et auteur de Cyberpolitique en Chine. Les pirates informatiques parrainés par l'État avaient l'habitude d'aspirer de grandes quantités de données, puis de les parcourir plus tard, dit-il. Cela a peut-être artificiellement gonflé le nombre d'attaques commerciales, car les pirates ciblant les technologies à double usage comme les panneaux solaires ont balayé les informations sur les prix ainsi que les spécifications de conception. Un passage à un espionnage plus dirigé lié à la sécurité nationale signifierait une réduction des cyberattaques commerciales perçues.
Dans certains cas, entre-temps, des personnes comme UglyGorilla ont peut-être travaillé sous la table, sans l'autorisation explicite du gouvernement central. L'acte d'accusation de l'unité 61398, par exemple, allègue qu'une entreprise d'État a embauché l'unité pour créer une base de données « secrète » pour détenir le « renseignement » d'entreprise.

Ancien procureur général adjoint John Carlin.
Ces explications aideraient à résoudre un certain nombre de mystères de longue date. Alors que Pékin encourage depuis longtemps l'acquisition de technologies étrangères et que le vol de propriété intellectuelle est endémique parmi les entreprises chinoises, on ne sait pas exactement comment l'État pourrait activement faciliter le vol par les entreprises. Le gouvernement chinois n'a pas d'alliés majeurs du renseignement et une série de priorités dans la collecte de renseignements, y compris la surveillance des dissidents, se tenir au courant de la controverse sur la mer de Chine méridionale et le suivi des militants au Tibet et au Xinjiang. On ne sait pas où l'espionnage commercial se classerait parmi ces priorités et comment les informations volées lors d'attaques parrainées par l'État pourraient être systématiquement diffusées.
Malgré des liens étroits entre le gouvernement chinois et le secteur privé, dans de nombreux domaines, il n'y a pas d'entreprise évidente pour recevoir des secrets commerciaux. L'acte d'accusation de l'unité 61398, par exemple, accuse les accusés d'avoir volé des milliers de fichiers sensibles à une filiale américaine de la société allemande SolarWorld AV. Le document implique que les pirates ont ensuite transmis les documents à une entreprise chinoise ou à des entreprises exportant des produits solaires aux États-Unis. Mais quelque 400 entreprises correspondent à cette description, note Austin.
L'idée que l'APL, par opposition à une autre entité gouvernementale chinoise, aurait été l'arbitre désigné pour l'espionnage industriel du secteur civil est déroutante à un autre niveau. L'APL a déjà mis la main sur environ 20 000 entreprises, allant des sociétés pharmaceutiques aux bordels. Mais depuis la fin des années 1990, le gouvernement chinois a consacré une énergie considérable à réduire les projets parallèles de l'armée - dans le but d'amener les militaires à penser aux opérations plutôt qu'aux transactions immobilières. Depuis son arrivée au pouvoir en 2012, Xi Jinping a été particulièrement ferme sur le travail au noir militaire.
Xi a également lancé une campagne anticorruption qui, bien que politiquement motivée, a révélé l'étendue de la corruption militaire. En janvier 2015, 16 officiers supérieurs de l'armée ont fait l'objet d'une enquête pour des infractions telles que la vente de postes et de grades supérieurs au plus offrant. Parmi ceux qui ont été purgés se trouvait Guo Boxiong, ancien vice-président de la très importante Commission militaire centrale. L'effort anti-corruption au sein de l'APL est si extrême que l'alcool, un pilier des banquets officiels, a été banni des réceptions militaires dans l'espoir d'éviter les transactions peu recommandables, comme, par exemple, la vente de secrets commerciaux piratés.
Un point de basculement
Dans ce contexte, l'engagement chinois en septembre dernier de s'abstenir d'attaques commerciales apparaît moins significatif. Ce n'est pas que la Chine respecte l'accord parce qu'elle respecte l'accord, déclare James A. Lewis du Center for Strategic and International Studies à Washington, DC. Ils respectent l'accord parce qu'ils essaient de moderniser l'APL et réduire la corruption. Bien qu'une baisse du piratage commercial ne soit pas une perte importante pour la Chine dans son ensemble, ajoute-t-il, c'est une énorme perte pour les entreprises individuelles et les unités PLA.
Pourtant, les actions américaines ont peut-être aidé les choses à atteindre un point de basculement pour les dirigeants chinois, qui étaient peut-être au courant des attaques clandestines et ont choisi de détourner le regard. L'ancien secrétaire du département de la Sécurité intérieure, Michael Chertoff, aujourd'hui président du cabinet de conseil en sécurité Chertoff Group, m'a dit lors du forum d'Aspen : « Il ne me semble pas improbable que le mot soit revenu : « Les gars, calmez les hot-rodding. S'il y a quelque chose qui vaut la peine d'être volé, faites-le, mais faites-le d'une manière qui n'est pas si évidente.
Quelle qu'en soit la raison, la baisse des attaques apparentes doit être célébrée, déclare Jason Healey, chercheur à la School for International and Public Affairs de l'Université de Columbia qui étudie les cyber-conflits. Même si la Chine a simplement réduit le travail au noir de l'APL et affiné sa gestion du cyber-espionnage, son approche actuelle est beaucoup moins progressive qu'elle ne l'était, dit-il. C'est plus comme le système américain : vous coordonnez, vous déterminez qui entre. Quelqu'un entre, et vous partagez la prise. C'est plutôt la façon dont fonctionne une organisation de renseignement professionnelle.
Les pourparlers en cours offrent maintenant une chance de maintenir la pression. Un groupe de travail bilatéral constitué dans la foulée de l'accord de 2015 se réunit plusieurs fois par an. Chaque fois que nous parlons, nous réitérons l'importance de respecter l'engagement en matière de cybersécurité, déclare Suzanne Spaulding, sous-secrétaire du département de la Sécurité intérieure qui a dirigé une délégation américaine à Pékin en juin dernier. Nous indiquons clairement à nos homologues dans chaque conversation que nous surveillons cela attentivement et qu'il n'y a franchement pas beaucoup de confiance du public à ce sujet. Ils sont conscients que le jury est toujours absent.
Mara Hvistendahl est boursière Eric & Wendy Schmidt à New America et auteur de Sélection contre nature : choisir les garçons plutôt que les filles et les conséquences d'un monde rempli d'hommes . Pendant huit ans, elle a couvert la Chine pendant La science magazine et autres publications.