211service.com
Quand les hackers chinois ont déclaré la guerre au reste d'entre nous
Andréa Daquino
Tard un mercredi de mars 2015, une alarme retentit dans les bureaux de GitHub, une société de logiciels basée à San Francisco. Les bureaux de l'entreprise illustrent le genre de style scandinave et sans âme qui s'est répandu depuis la Silicon Valley pour envahir les lieux de travail modernes : bois apparent, espaces ouverts et beaucoup de lumière naturelle. La plupart des employés se préparaient à partir, s'ils ne l'avaient pas déjà fait. Dehors, le soleil avait commencé à se coucher et il faisait doux et clair.
Les alarmes n'étaient pas rares sur GitHub. La société prétend maintenir le plus grand référentiel de code informatique au monde. Il comptait à l'époque quelque 14 millions d'utilisateurs et se targue de maintenir son service et de rester en ligne. Le produit principal de GitHub est un ensemble d'outils d'édition qui permettent à un grand nombre de programmeurs de collaborer sur des logiciels et de suivre les modifications à mesure que les bogues sont corrigés. En octobre 2018, Microsoft l'achèterait pour 7,5 milliards de dollars.
En 2015, cependant, GitHub était encore une entreprise indépendante en plein essor dont le succès venait du fait qu'il était considérablement plus facile pour d'autres personnes de créer des logiciels informatiques. La première alarme a indiqué qu'il y avait une grande quantité de trafic entrant vers plusieurs projets stockés sur GitHub. Cela pourrait être innocent - peut-être qu'une entreprise venait de lancer une nouvelle mise à jour importante - ou quelque chose de plus sinistre. Selon la façon dont le trafic était regroupé, davantage d'alarmes retentiraient si l'afflux soudain avait un impact sur le service à l'échelle du site. Les alarmes ont sonné. GitHub était en cours d'édition DDoS.
L'une des causes les plus fréquentes de la panne d'un site Web est une forte augmentation du trafic. Les serveurs sont submergés de demandes, ce qui les fait planter ou les ralentir jusqu'à devenir une torture. Parfois, cela se produit simplement parce que le site Web devient soudainement populaire. D'autres fois, comme dans une attaque par déni de service distribué (DDoS), le pic est conçu de manière malveillante. Ces dernières années, de telles attaques sont devenues plus courantes : les pirates ont commencé à infecter un grand nombre d'ordinateurs avec des virus, qu'ils utilisent ensuite pour prendre le contrôle des ordinateurs, les enrôlant dans l'attaque DDoS.
Nous subissons actuellement la plus grande attaque DDoS de l'histoire de GitHub, a écrit le développeur senior Jesse Newland dans un article de blog près de 24 heures après le début de l'attaque. Au cours des cinq jours suivants, alors que les ingénieurs passaient 120 heures à combattre l'attaque, GitHub tomba neuf fois. C'était comme une hydre : à chaque fois que l'équipe pensait avoir la main dessus, l'attaque s'adaptait et redoublait d'efforts. GitHub n'a pas voulu commenter le dossier, mais un membre de l'équipe qui m'a parlé de manière anonyme a dit qu'il était très évident que c'était quelque chose que nous n'avions jamais vu auparavant.
Dans la salle de discussion interne de l'entreprise, les ingénieurs de GitHub ont réalisé qu'ils s'attaqueraient à l'attaque pendant un certain temps. Au fur et à mesure que les heures s'étiraient en jours, cela devenait une sorte de compétition entre les ingénieurs de GitHub et quiconque était à l'autre bout de l'attaque. Travaillant de longs quarts de travail frénétiques, l'équipe n'a pas eu beaucoup de temps pour spéculer sur l'identité des attaquants. Alors que les rumeurs abondaient en ligne, GitHub disait seulement : Nous pensons que l'intention de cette attaque est de nous convaincre de supprimer une classe spécifique de contenu. À environ 20 minutes de route, de l'autre côté de la baie de San Francisco, Nicholas Weaver pensait connaître le coupable : la Chine.
Weaver est un expert en sécurité réseau à l'International Computer Science Institute, un centre de recherche à Berkeley, en Californie. Avec d'autres chercheurs, il a aidé à identifier les cibles de l'attaque : deux projets hébergés sur GitHub connectés à GreatFire.org, une organisation anti-censure basée en Chine. Les deux projets ont permis aux utilisateurs en Chine de visiter à la fois le site Web de GreatFire et la version en langue chinoise du New York Times, qui sont normalement inaccessibles aux utilisateurs en Chine. GreatFire, surnommé une organisation anti-chinoise étrangère par l'Administration du cyberespace de Chine, était depuis longtemps la cible d'attaques DDoS et de piratage, c'est pourquoi il a déplacé certains de ses services vers GitHub, où ils étaient théoriquement hors de danger.
Non seulement la Chine bloquait des bits et des octets de données qui tentaient de pénétrer en Chine, mais elle canalisait également le flux de données hors de Chine.
Weaver a trouvé quelque chose de nouveau et d'inquiétant lorsqu'il a examiné l'attaque. Dans un article co-écrit avec des chercheurs de Citizen Lab, un activiste et un groupe de recherche de l'Université de Toronto, Weaver a décrit une nouvelle cyberarme chinoise qu'il a surnommée le Grand Canon. Le Grand Pare-feu – un système élaboré de technologies interdépendantes pour censurer le contenu Internet provenant de l'extérieur de la Chine – était déjà bien connu. Weaver et les chercheurs du Citizen Lab ont découvert que non seulement la Chine bloquait des bits et des octets de données qui tentaient de pénétrer en Chine, mais qu'elle canalisait également le flux de données hors de Chine.
Celui qui contrôlait le Grand Canon l'utiliserait pour insérer sélectivement du code JavaScript malveillant dans les requêtes de recherche et les publicités diffusées par Baidu, un moteur de recherche chinois populaire. Ce code a ensuite dirigé d'énormes quantités de trafic vers les cibles du canon. En envoyant un certain nombre de requêtes aux serveurs à partir desquels le Great Cannon dirigeait le trafic, les chercheurs ont pu reconstituer son comportement et avoir un aperçu de son fonctionnement interne. Le canon pourrait également être utilisé pour d'autres attaques de logiciels malveillants en plus des attaques par déni de service. C'était un nouvel outil puissant : le déploiement du Grand Canon est un changement tactique majeur et a un impact très visible, ont écrit Weaver et ses coauteurs.
L'attaque a duré des jours. L'équipe du Citizen Lab a déclaré avoir pu observer ses effets pendant deux semaines après le déclenchement des premières alarmes de GitHub. Par la suite, alors que les développeurs de GitHub luttaient pour donner un sens à l'attaque et proposer une feuille de route pour les incidents futurs, il y avait confusion au sein de la communauté de la cybersécurité. Pourquoi la Chine avait-elle lancé une attaque aussi publique, d'une manière aussi brutale ? C'était exagéré, m'a dit Weaver. Ils ont maintenu l'attaque longtemps après qu'elle eut cessé de fonctionner.
C'était un message : un tir en travers des architectes du Grand Pare-feu, qui, après avoir conquis Internet chez eux, visaient de plus en plus l'étranger, ne voulant pas tolérer les défis à leur système de contrôle et de censure, où qu'ils se trouvent. venait de.
L'attaque GitHub a été une rare démonstration publique de la puissance d'attaque du cyber-État chinois, qui préférait généralement exercer ses capacités dans les coulisses. Certaines de ces capacités ont été découvertes, par hasard, en janvier 2009.
Dans le grenier d'un grand vieil immeuble en briques rouges au milieu du campus de l'Université de Toronto, juste au nord du centre-ville, Nart Villeneuve regarda son écran d'ordinateur avec incrédulité. Villeneuve était étudiant diplômé à l'université et chercheur au Citizen Lab. Il traquait un groupe de cyberespionnage sophistiqué qui infiltrait des ordinateurs, des comptes de messagerie et des serveurs dans le monde entier, espionnant leurs utilisateurs et leur contenu. Les attaquants avaient soigneusement adapté les e-mails dits de harponnage pour donner l'impression qu'ils provenaient d'amis et de collègues des cibles, convainquant les gens de télécharger des logiciels malveillants sur leurs machines et de s'ouvrir sans le savoir à la surveillance. La campagne était avancée, mais ses créateurs semblaient aussi avoir fait quelque chose d'assez stupide.
Villeneuve a décroché son téléphone et a appelé Ron Deibert, son superviseur et fondateur de Citizen Lab.
Comme le raconte Deibert dans son livre Code noir : dans la bataille du cyberespace , Villeneuve avait découvert un serveur de commande et de contrôle pour les logiciels malveillants qui s'était largement répandu sur Internet.
Je suis partant, chuchota Villeneuve dans son téléphone.
Leur enquête avait commencé des mois plus tôt à Dharamsala, une ville indienne où le Dalaï Lama s'était enfui en 1959, qui est maintenant le centre de la communauté tibétaine en exil. Greg Walton, un chercheur de terrain du Citizen Lab, visitait la région depuis des années. À la fin des années 1990 et au début des années 2000, Walton a aidé à développer le travail effectué par les deux précédents pionniers tibétains de l'Internet, Dan Haig et Thubten Samdup, qui ont aidé à connecter Dharamsala au World Wide Web à une époque où le reste de l'Inde était à peine câblé. . Walton a créé des sites Web pour diverses ONG et ministères, a enseigné des cours d'informatique et a aidé les gens à créer des comptes de messagerie. Avec le recul, il s'est rendu compte qu'ils étaient tous trop pris par les avantages d'Internet et sa capacité à connecter et à unir la diaspora tibétaine de plus en plus étendue, pour penser aux inconvénients. Bien que les débuts aient été difficiles et la technologie branlante, Internet s'est rapidement imposé à Dharamsala. Peu d'attention a été accordée à la sécurité.
Ces nouveaux avertissements étaient beaucoup plus efficaces - et effrayants - car ils étaient envoyés aux dirigeants étrangers alors que les plans n'avaient pas été révélés publiquement.
Les inconvénients de l'adoption précoce d'Internet par le Tibet sont rapidement devenus évidents. Le gouvernement chinois enverrait des missives en colère aux dirigeants étrangers alors qu'ils tentaient d'organiser des réunions avec le Dalaï Lama, avant même que les événements ne soient annoncés. Le gouvernement chinois s'était depuis longtemps opposé publiquement à tout engagement avec les séparatistes. Mais comme me l'ont dit des membres de la communauté tibétaine, ces nouveaux avertissements étaient beaucoup plus efficaces - et effrayants - parce qu'ils étaient envoyés aux dirigeants étrangers alors que les plans n'avaient pas été révélés publiquement. Le gouvernement chinois voulait que toutes les personnes concernées sachent qu'elles écoutaient.
Les Tibétains de la diaspora qui ont traversé le territoire sous contrôle chinois ont été détenus à la frontière et interrogés. S'ils essayaient de nier toute implication politique, leurs propres e-mails étaient présentés comme des preuves. Une femme qui travaillait sur un programme de sensibilisation à Dharamsala qui a reçu un financement de Voice of America, soutenu par le gouvernement américain, traversait le Tibet depuis le Népal lorsqu'elle a été arrêtée par la police chinoise. On lui a présenté des imprimés de ses communications privées avec des personnes à l'intérieur du Tibet sous contrôle chinois. Une autre femme, une universitaire américaine vivant à Pékin, a reçu une invitation à prendre le thé avec des responsables de la sécurité, un événement semi-régulier pour quiconque s'occupant de questions sensibles en Chine. Lorsqu'on lui a demandé son e-mail, elle a donné aux agents de sécurité un compte fictif qu'elle n'a utilisé pour rien d'autre ; deux jours plus tard, quelqu'un a tenté de pirater cette adresse.
De retour à Dharamsala, ordinateur après ordinateur a été désactivé par des logiciels malveillants agressifs conçus non pas pour espionner, mais pour saboter.
Il est clair que quelqu'un ciblait les Tibétains. Tous les signes pointaient vers la Chine, mais la source de l'opération n'était pas claire. Les Tibétains étaient-ils ciblés par les services de sécurité, par l'armée, par des hackers soi-disant patriotiques, ou par une combinaison des trois ?
En collaboration avec des experts en sécurité tibétains, Walton a commencé à collecter des échantillons d'e-mails sommaires et de logiciels malveillants. L'un de ces experts locaux était Lobsang Gyatso Sither. Sither est né à Dharamsala en 1982, faisant partie d'une génération d'exilés qui n'ont jamais vécu au Tibet. Il a étudié l'informatique en Inde et au Royaume-Uni, et avait en grande partie laissé Dharamsala derrière lui lorsqu'il a rencontré Walton à Londres à la fin des années 2000 et a appris le ciblage des Tibétains. Il est retourné avec Walton dans l'Himalaya, et les deux ont commencé à travailler avec le bureau du Dalaï Lama, et toute autre cible évidente, pour contrer les piratages et les cyberattaques.
Au début, les attaques étaient assez peu sophistiquées : les e-mails dans un anglais approximatif encourageaient les utilisateurs à exécuter des fichiers exécutables. Seuls, ils n'auraient pas suscité trop d'inquiétude, mais au fur et à mesure que Walton, Sither et d'autres rassemblaient de plus en plus d'échantillons, ils ont commencé à voir l'ampleur de la campagne. Toute la communauté était ciblée, même si la plupart n'auraient guère intéressé les pirates, m'a dit Sither.
Même les individus qui ne sont pas directement liés à une cible clé peuvent être utiles aux pirates. Comme la police qui poursuit une affaire de foule, les pirates peuvent remonter la chaîne, en utilisant des comptes compromis pour s'attaquer aux cibles ultimes et à leurs associés avec des attaques de phishing plus crédibles.
Les assaillants surveillaient de près le succès de leur opération. Lorsqu'une grande campagne éducative a été lancée pour encourager les Tibétains à ne pas ouvrir les pièces jointes et à s'appuyer plutôt sur des services basés sur le cloud comme Google Drive pour partager des documents, de nouveaux logiciels malveillants sont rapidement apparus. Il ciblait spécifiquement les services recommandés par la campagne d'éducation.
Avant la découverte par Villeneuve du serveur de commande et de contrôle, l'équipe n'avait pu suivre que les cibles de la campagne de logiciels malveillants, et non les attaquants eux-mêmes. Villeneuve pouvait désormais voir exactement ce que les attaquants faisaient sur les ordinateurs auxquels ils accédaient. L'arme principale de la boîte à outils des pirates était un seul logiciel malveillant, initialement développé par des programmeurs chinois et plus tard porté en anglais, appelé Gh0st Remote Administration Tool, ou Gh0st Rat.
Grâce à leurs enquêtes à Dharamsala, l'équipe du Citizen Lab a pu voir que le malware ciblant les Tibétains communiquait avec des serveurs basés à Hainan, une île du sud de la Chine. Le piratage visait des responsables militaires, des législateurs, des journalistes et des centaines d'autres personnes à Dharamsala, dans toute l'Inde et ailleurs en Asie, dont toutes les activités étaient surveillées par les pirates. Presque certainement, écrit l'équipe dans son rapport, des documents sont supprimés à l'insu des cibles, des frappes enregistrées, des caméras Web sont déclenchées en silence et des entrées audio sont activées subrepticement. Alors que Citizen Lab n'a pas pu dire avec certitude qui était derrière le piratage, le rapport a conclu que très probablement cet ensemble de cibles de haut niveau a été exploité par l'État chinois à des fins militaires et de renseignement stratégique.
Le rapport est parvenu à cette conclusion parce que l'île de Hainan abritait le centre de renseignement électromagnétique de Lingshui et une division du troisième département technique de l'Armée populaire de libération, un homologue chinois de l'Agence de sécurité nationale. GhostNet, comme l'équipe du Citizen Lab a surnommé le piratage, a été l'un des premiers signes des capacités de piratage présumées de l'APL. En quelques années, le FBI inculpera plusieurs responsables militaires de premier plan pour avoir ciblé des entreprises et des institutions américaines, à la fois pour espionnage industriel et militaire. L'APL a également été accusée d'avoir piraté l'Office of Personnel Management (OPM), une grande agence fédérale des ressources humaines, qui a compromis les données personnelles de jusqu'à 18 millions d'employés fédéraux actuels, anciens et potentiels.
Le piratage de l'OPM a été annoncé publiquement en juin 2015. Quelques mois plus tard, le président Barack Obama hébergé Le dirigeant chinois Xi Jinping à la Maison Blanche, où les deux hommes ont signé un accord bilatéral promettant qu'aucun gouvernement du pays ne procédera ou ne soutiendra sciemment le vol de propriété intellectuelle, y compris les secrets commerciaux ou d'autres informations confidentielles. L'accord a été une grande victoire diplomatique pour Obama alors qu'il approchait de la fin de son deuxième mandat, et les premiers signes de progrès étaient bons, mais un examen approfondi a été largement sapé par les élections américaines de 2016 et la fureur qui a suivi concernant le piratage russe présumé du Parti démocrate. Alors que les inquiétudes concernant les pirates de l'ombre sapant les institutions américaines se sont déplacées de Pékin à Moscou, moins d'attention a été accordée au rôle du gouvernement chinois dans les futures attaques.
Dans l'intervalle, les pirates informatiques continuent de cibler la communauté tibétaine en exil, et ceux de la diaspora continuent de riposter. Dans les salles de classe et les salles de réunion de Dharamsala, Sither et d'autres experts en sécurité organisent des ateliers sur le chiffrement des e-mails, les applications de messagerie sécurisée et d'autres moyens de rester en sécurité en ligne. Les personnes avec lesquelles Sither travaille répondent généralement à la cyber-menace constante de l'une des deux manières suivantes : ambivalence ou paranoïa. Les deux réponses le frustrent. Certaines personnes sont catégoriques sur le fait qu'elles n'ont rien à cacher; mais si leurs comptes sont compromis, cela pourrait affecter ceux qui ont vraiment des choses qu'ils aimeraient cacher au gouvernement chinois. D'autres sont tellement effrayés par l'idée que des espions chinois les regardent qu'ils ne font rien : exactement le type d'effet paralysant que les censeurs espéraient. Nous essayons de trouver un équilibre entre la sécurité et ne pas trop effrayer les gens, m'a dit Sither. C'est parfois un défi.
Beaucoup pensaient qu'Internet apporterait la démocratie en Chine. Au lieu de cela, il a renforcé la surveillance et le contrôle du gouvernement au-delà des rêves de Mao Zedong.
GitHub et des Tibétains comme Lobsang Sither ont été parmi les premières victimes d'un nouveau front dans la guerre de la Chine sur Internet, lancée par une nouvelle race de censeurs déterminés à poursuivre les ennemis du pays où qu'ils se trouvent, en utilisant tous les moyens nécessaires.
En décembre, il a été signalé qu'un piratage de la chaîne hôtelière internationale Marriott avait été commis par des acteurs chinois en 2014. La violation de Marriott a été annoncée publiquement environ quatre ans après qu'elle ait eu lieu. De nombreuses autres attaques n'ont probablement pas encore été reconnues publiquement, car les entreprises gardent les problèmes secrets afin de ne pas nuire aux relations avec la Chine.
Marriott a également fait les frais d'une autre campagne de censure chinoise. En janvier 2018, le site Web de Marriott a été bloqué en Chine et la société a été forcée de présenter des excuses humiliantes après avoir répertorié le Tibet et Hong Kong comme des pays distincts sur un formulaire. Enhardis par leur succès à dicter des conditions à Marriott, les responsables chinois ont poursuivi les compagnies aériennes et d'autres entreprises sur des questions telles que l'identification erronée de Taiwan.
Beaucoup pensaient qu'Internet apporterait la démocratie en Chine. Au lieu de cela, il a renforcé la surveillance et le contrôle du gouvernement au-delà des rêves de Mao Zedong. Désormais, les censeurs tournent leur attention vers le reste du monde.
Cette histoire est extraite du nouveau livre de James Griffiths Le grand pare-feu de Chine : comment créer et contrôler une version alternative d'Internet , à paraître en mars chez Zed Books. Griffiths a fait des reportages à Hong Kong, en Chine, en Corée du Sud et en Australie pour des points de vente tels que CNN International, le South China Morning Post, l'Atlantique, Vice et le Daily Beast.