Archives par mot-clé : chine

Cybersécurité, Entreprise, Espionnage Spy

Réseau de faux cabinets : soupçons d’une opération de recrutement chinoise

Un réseau de sites vitrines aurait ciblé d’anciens fonctionnaires américains par de fausses offres d’emploi, selon une enquête du think tank Foundation for Defense of Democracies (FDD).

Des chercheurs du FDD ont mis au jour un ensemble de sites internet soupçonnés d’être liés à une opération de renseignement chinoise. Sous couvert de fausses sociétés de conseil et de think tanks fictifs, ce réseau baptisé « Foresight Network » aurait tenté de recruter d’anciens employés fédéraux et des experts en politiques publiques. Parmi les méthodes utilisées, des annonces proposant jusqu’à 8 500 $ (7 900 €) mensuels pour des postes d’analystes à distance. Si l’esthétique maladroite des sites intrigue, elle n’empêche pas leur efficacité potentielle, rappellent les analystes, citant des précédents judiciaires. Le FBI confirme surveiller ces tactiques de recrutement en ligne visant aussi bien les détenteurs d’habilitations que les spécialistes civils et académiques.

Un réseau de sites fictifs

Le site Foresight and Strategy a publié en mai une annonce offrant un poste d’analyste politique à distance, payé jusqu’à 8 500 $ (7 920 €) par mois. L’offre visait des profils issus d’organismes internationaux, d’agences publiques ou de think tanks. Derrière ce site se cacheraient deux autres vitrines, International Affairs Review et Institute of International Studies. Les trois partagent la même infrastructure numérique et un serveur de messagerie commun. Les recherches de Max Lesser et Maria Riofrio (FDD) indiquent que tous ont été enregistrés en Chine, Foresight en février 2022, les deux autres en décembre 2021. L’ensemble semble avoir profité de l’essor du télétravail post-COVID.

Deux autres plateformes, Asia Pacific Political Review et Global Strategic Outlook, aujourd’hui inaccessibles, pourraient également appartenir au même réseau. Si le lien direct avec les services de renseignement chinois reste non démontré, le schéma fait écho à d’autres opérations d’influence déjà documentées.

Méthodes simples, risques réels

Les pages incriminées présentent un anglais maladroit et des contenus visiblement factices. Témoignages signés de « John Doe », photos empruntées à des modèles WordPress ou coordonnées invalides illustrent ce bricolage. Pourtant, préviennent les analystes, ce type d’opération peut avoir des conséquences graves. La récente condamnation d’un haut fonctionnaire du département d’État américain à quatre ans de prison pour avoir transmis des documents classifiés à des agents chinois en est un exemple. Selon l’acte d’accusation, ces agents se présentaient comme membres de cabinets internationaux, exactement comme dans le scénario observé par le FDD.

Pour Lesser, même un camouflage minimal suffit à engager le premier contact. « Il n’est pas nécessaire de créer une société-écran : un site web rudimentaire suffit », résume-t-il.

Réactions officielles et alertes sécuritaires

Interrogée, l’ambassade de Chine à Washington a rejeté toute implication, dénonçant des accusations « sans fondement factuel ». De son côté, le FBI n’a pas commenté directement le réseau, mais a confirmé surveiller activement les tentatives de recrutement en ligne visant d’anciens agents, des experts techniques et des chercheurs. Le Bureau conseille de signaler toute offre suspecte aux services de sécurité compétents.

Le National Counterintelligence and Security Center avait déjà mis en garde, en avril, contre l’usage croissant de ces techniques par la Chine. En mars, CNN rapportait que Pékin et Moscou intensifiaient leurs efforts pour cibler des fonctionnaires américains frustrés ou en reconversion. Brian Harrell, ancien responsable du DHS, souligne que l’afflux de candidats après les récentes vagues de licenciements fédéraux rend le terrain encore plus propice à ces approches.

La faible sophistication technique de ces sites ne doit pas masquer leur potentiel opérationnel. Dans quelle mesure les services occidentaux sauront-ils anticiper ces approches numériques à bas coût, mais potentiellement dévastatrices ? (FWC)

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

backdoor, Cybersécurité, Entreprise, Téléphonie

L’Espagne annule un contrat Huawei de 10 millions d’euros sur fond de pressions sécuritaires

Madrid a stoppé un contrat stratégique impliquant Huawei dans le réseau RedIRIS. Une décision dictée par la sécurité nationale et la crainte d’ingérences étrangères dans des infrastructures sensibles.

Le gouvernement espagnol a annulé un contrat de 9,8 millions € avec Telefónica, qui prévoyait l’installation d’équipements Huawei pour moderniser le réseau de recherche RedIRIS, utilisé par universités et Défense. Officiellement justifiée par l’autonomie stratégique, cette décision reflète aussi les pressions internationales concernant les risques liés aux fournisseurs chinois. L’annulation retarde le projet, augmente son coût et oblige à relancer la mise en concurrence. Si Madrid n’impose pas de veto explicite à Huawei, la décision marque un tournant dans la politique numérique espagnole. Elle interroge l’équilibre entre ouverture technologique et souveraineté cyber, dans un contexte de tensions croissantes entre Chine, États-Unis et Europe.

Sécurité nationale en ligne de mire

Le 29 août, le ministère espagnol de la Science et de l’Innovation a notifié à Telefónica l’annulation du contrat attribué pour équiper RedIRIS. Cette dorsale nationale relie plus de 500 institutions de recherche, dont le ministère de la Défense, et devait passer de 100 à 400 Gbps grâce à de nouveaux équipements fournis par Huawei. L’investissement prévu atteignait 9,8 millions €, financé par des fonds publics et européens.

Le gouvernement a invoqué la stratégie de « souveraineté numérique » et la nécessité de protéger les communications critiques. Cette justification masque à peine la pression exercée par les États-Unis, qui dénoncent depuis des années le risque d’espionnage inhérent aux technologies Huawei. Washington considère que la loi chinoise sur le renseignement oblige les entreprises locales à coopérer avec Pékin.

La décision espagnole ne constitue pas un bannissement officiel de Huawei. Contrairement à Londres ou Berlin, Madrid n’a pas établi de liste de fournisseurs à risque. Mais ce signal politique place Huawei dans une position défavorable pour tout futur appel d’offres public lié aux infrastructures sensibles.

Conséquences économiques et techniques

L’annulation ne reste pas sans coût. La procédure de relance entraîne des retards et oblige à revoir les budgets. Selon les projections, les offres alternatives de Nokia, Cisco ou Juniper dépasseront largement l’enveloppe initiale. Les experts évoquent une augmentation des coûts à plus de 12 millions €, en raison de la rareté des équipements et de l’urgence imposée.

Telefónica, qui avait remporté le marché en bonne et due forme, se retrouve dans une situation délicate. L’opérateur n’a pas commenté publiquement mais doit désormais renégocier avec de nouveaux fournisseurs, tout en absorbant les délais. Pour les chercheurs et le ministère de la Défense, cela signifie un report dans la modernisation de leurs communications stratégiques.

Ce surcoût illustre le dilemme auquel se confrontent de nombreux pays européens : privilégier la souveraineté technologique face à la dépendance chinoise implique souvent des dépenses supérieures. Or, l’Espagne n’avait pas anticipé ces surcoûts dans son budget initial.

Les États-Unis jouent un rôle clé dans cette affaire. Depuis l’administration Trump, Washington mène une campagne internationale pour restreindre Huawei, accusée de liens étroits avec Pékin. Les diplomates américains ont multiplié les avertissements auprès des alliés européens : intégrer des équipements chinois dans des réseaux stratégiques, c’est ouvrir une porte potentielle au renseignement chinois.

L’OTAN, dont l’Espagne est membre, a relayé ces inquiétudes. Les communications militaires et gouvernementales transitant par RedIRIS ne pouvaient, selon les experts américains, dépendre d’une technologie jugée « non fiable ». À Bruxelles, la Commission européenne a publié plusieurs recommandations encourageant les États membres à réduire leur exposition aux fournisseurs à haut risque, sans toutefois imposer de bannissement formel.

Certains pays ont choisi une approche radicale. Le Royaume-Uni a ordonné le retrait complet des équipements Huawei de son réseau 5G d’ici 2027. L’Allemagne a imposé un examen strict de sécurité pour chaque équipement critique, visant en pratique à exclure Huawei et ZTE. L’Espagne, en revanche, avait jusqu’ici adopté une ligne plus conciliante, préférant évaluer chaque projet au cas par cas. L’affaire RedIRIS démontre que cette position évolue.

Lois chinoises et soupçons d’espionnage

Le cœur des inquiétudes occidentales repose sur la loi chinoise sur le renseignement de 2017. Ce texte oblige toute entreprise enregistrée en Chine à collaborer avec les services de sécurité nationale, sur demande. Pour les agences occidentales, cela signifie que Huawei pourrait être contraint de fournir un accès à ses équipements, sans possibilité de refus ni de transparence.

Les risques évoqués ne concernent pas uniquement l’espionnage passif. Dans un scénario de conflit ou de crise diplomatique, l’insertion de portes dérobées pourrait permettre une interruption ciblée de réseaux stratégiques. Les experts parlent d’« armes dormantes » dissimulées dans le code ou les mises à jour logicielles.

Huawei réfute systématiquement ces accusations et souligne que jamais aucune preuve technique n’a démontré l’existence de telles portes dérobées. L’entreprise rappelle sa présence dans plus de 170 pays et affirme que son exclusion relève davantage de la rivalité technologique que de la cybersécurité objective. Néanmoins, la perception de risque suffit à influencer les choix politiques européens.

La décision espagnole a des répercussions bien au-delà de l’économie numérique. Elle s’inscrit dans un équilibre délicat entre deux pôles d’influence. D’un côté, la Chine est un partenaire commercial majeur pour l’Espagne, notamment dans les secteurs automobile et énergétique. De l’autre, Washington reste un allié stratégique incontournable en matière de défense et de renseignement.

Annuler un contrat Huawei, c’est envoyer un signal de proximité à l’OTAN et aux États-Unis, mais au prix d’une irritation probable à Pékin. La Chine pourrait réagir en freinant certains investissements ou en réduisant sa coopération économique. Dans un contexte où l’Espagne cherche à attirer des capitaux étrangers pour sa transition numérique, le calcul est risqué.

Sur le plan industriel, cette annulation renforce indirectement les positions de Nokia, Cisco et Juniper en Europe. Ces acteurs, souvent américains ou européens, apparaissent comme des alternatives plus sûres, bien qu’à un coût supérieur. Pour l’industrie espagnole des télécoms, cela signifie aussi une dépendance accrue à des fournisseurs occidentaux déjà fortement sollicités.

En annulant ce contrat, Madrid a fait le choix de la prudence stratégique, au détriment de la rapidité et de l’efficacité économique. La souveraineté numérique devient un axe central de la politique européenne, mais l’Espagne reste confrontée à une question cruciale : jusqu’où céder aux pressions de ses alliés sans rompre avec un partenaire commercial comme la Chine, qui détient des leviers économiques puissants ?

Cybersécurité, Espionnage Spy, Fuite de données, Justice

Pékin accuse Nvidia : soupçons de backdoors dans les puces IA H20

Nvidia dans le viseur de la Chine : Pékin suspecte ses puces IA H20 d’abriter des backdoors, ravivant la guerre technologique sur fond de cybersurveillance mondiale.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La Chine vient d’interpeller Nvidia, géant américain des semi-conducteurs, au sujet de présumés backdoors dans ses puces H20 destinées à l’intelligence artificielle locale. Pékin s’appuie sur de nouvelles lois sur la cybersécurité pour exiger transparence et garanties techniques, tandis que Washington impose, de son côté, des restrictions et des mécanismes de contrôle dans les puces exportées. Cet épisode cristallise la montée en puissance des tensions entre les deux superpuissances numériques, où la sécurité, la souveraineté et la capacité de renseignement s’entremêlent. Retour sur les dessous d’un affrontement qui redéfinit les équilibres du cyberespace mondial.

L’ombre du renseignement : Pékin convoque Nvidia

Au matin du 31 juillet 2025, une rumeur parcourt les couloirs feutrés des grandes universités technologiques de Pékin. Dans un communiqué solennel, la Cyberspace Administration of China (CAC), autorité suprême du cyberespace, annonce avoir convoqué l’un des plus puissants fabricants mondiaux de puces d’intelligence artificielle : Nvidia.

La raison officielle ? La présence de « vulnérabilités de sécurité sérieuses » – des backdoors selon l’administration – dans les puces H20, version modifiée et bridée, spécialement conçue pour satisfaire aux exigences américaines en matière d’exportation vers la Chine.

Derrière la formule administrative, la réalité est bien plus explosive. Car depuis 2023, le secteur mondial des semi-conducteurs est l’objet de toutes les tensions, chaque acteur jouant une partie d’échecs à très haut risque, où chaque mouvement peut avoir des conséquences stratégiques majeures.

Washington, dans une course effrénée à la suprématie technologique, a multiplié les restrictions à l’exportation, craignant que ses technologies ne viennent renforcer la puissance militaire et cybernétique chinoise. Mais la diplomatie du silicium ne se limite pas à un simple jeu de barrières douanières. Depuis quelques mois, la législation américaine va plus loin : avec le Chip Security Act, toute puce IA exportée doit embarquer des fonctions de traçage GPS, de localisation et de coupure à distance.

Pour Pékin, c’est une déclaration de guerre numérique à peine voilée.

La cyberguerre dans le silicium : l’art du soupçon et de la riposte

La convocation de Nvidia par les autorités chinoises n’est pas un geste isolé. Elle s’inscrit dans une stratégie globale, où la souveraineté numérique est devenue une priorité nationale. La Chine, qui ne cesse de rappeler son attachement à la « cybersécurité et à la protection des données des utilisateurs », applique strictement ses lois : Cybersecurity Law, Data Security Law et Personal Information Protection Law.

Au centre de l’enquête, une question : les puces H20, qui font tourner nombre d’algorithmes d’intelligence artificielle en Chine, sont-elles vraiment sûres ?

En creux, la peur d’un sabotage à distance. Si les puces américaines comportent effectivement des modules de tracking ou de télécommande, Washington pourrait, en cas de crise, désactiver à volonté une partie de l’infrastructure numérique chinoise. Un scénario digne de la cyberguerre froide, mais qui devient, à la lumière des technologies actuelles, de plus en plus crédible.

La réponse de Nvidia ne s’est pas fait attendre. L’entreprise, par la voix d’un de ses porte-paroles, nie toute présence de backdoor : « La cybersécurité est essentielle pour nous. Nvidia ne place aucune porte dérobée dans ses puces permettant un accès ou un contrôle à distance par un tiers. »

Mais la défiance est tenace, et pour cause : dans le même temps, le marché noir s’empare du sujet. Selon les estimations, pour plus d’un milliard de dollars (environ 920 millions d’euros) de puces Nvidia, parfois des modèles officiellement bannis comme les B200, H10 ou H200, auraient trouvé leur chemin vers la Chine via des circuits parallèles. Kits complets, racks prêts à l’emploi, tout s’arrache sous le manteau – preuve que le besoin de puissance de calcul reste insatiable, quelles que soient les réglementations.

Sécurité nationale, souveraineté et rivalité : le vrai visage de la crise

Ce bras de fer n’est pas qu’une affaire de technique : il symbolise la nouvelle géopolitique du renseignement à l’ère de l’IA. En exigeant de Nvidia la remise de « preuves », de « documents techniques » et d’« explications détaillées », Pékin affiche sa volonté de contrôler la chaîne technologique, mais aussi de démontrer à ses propres acteurs économiques la nécessité d’une indépendance stratégique.

Les failles supposées des puces H20 ne sont en réalité que l’arbre qui cache la forêt. Car malgré les efforts de géants nationaux comme Huawei ou SMIC, la Chine reste encore dépendante, pour les applications de pointe, des technologies américaines. Le lancement du dernier notebook Huawei, salué comme une avancée nationale, a aussi révélé le retard technologique du pays – des générations entières de retard, difficilement comblables sans coopération internationale.

La bataille se joue également sur le terrain du renseignement : dans le cyberespace, tout composant étranger est désormais considéré comme une menace potentielle. L’incertitude est totale. Qui détient vraiment la clé du contrôle de ces puces ? Les circuits imprimés sont-ils de simples outils, ou des armes silencieuses, prêtes à être activées à distance ?

Pour Pékin, la réponse est claire : seule une maîtrise totale de la chaîne technologique, du design à la production, en passant par le contrôle des codes sources, permettra de garantir la sécurité nationale. En attendant, la Chine redouble d’efforts pour stimuler son industrie, investir massivement dans la recherche et l’innovation, et limiter sa dépendance à l’Occident.

Mais la tâche est titanesque. Face à une Silicon Valley toujours à la pointe, les ambitions chinoises se heurtent à des décennies de domination américaine. Le feuilleton des puces Nvidia H20 n’est qu’un épisode de plus dans une série au long cours : celle de la conquête, puis de la sécurisation, du cyberespace mondial.

Cybersécurité, Justice, loi

Blocage de Telegram en Irak, Xiaomi bloque la messagerie en Chine

Les autorités occidentales souhaitent se rapprocher de Telegram pour traquer les cyber criminels, en Iraq et en Chine, la méthode est plus expéditive.

Telegram, la messagerie Russe dont l’auteur a délocalisé son business à Dubaï, fait couler beaucoup d’encre. Il faut dire aussi que les malveillants 2.0 et la guerre Russo-Ukrainienne ont fait migrer des millions de personnes sur cette message qui se veut sécurisée. Le blog spécialisé ZATAZ expliquait dans cet article comment les autorités occidentales tentent de se rapprocher de Telegram pour nouer des partenariats afin de bloquer et traquer les cyber criminels.

En Iraq, le ministère des Communications a annoncé le blocage de Telegram par le gouvernement pour des raisons « liées à la sécurité nationale« . Le Service Veille ZATAZ nous a fourni des captures écrans de vente de BDD irakiennes qui ont pu motiver le blocage de Telegram dans le pays.

Le message indique que le gouvernement a tenté à plusieurs reprises de contacter l’équipe de Telegram dans le but d’établir une coopération, mais n’a jamais reçu de réponse. Un fait que de nombreux pays reprochent à Telegram. « Nous respectons les droits des citoyens à la liberté d’expression et de communication sans porter atteinte à la sécurité de l’État, et nous sommes convaincus que les citoyens comprennent cette mesure [le blocage de Telegram] », ajoute le ministère des Communications d’Irak.

Telegram gagne rapidement en popularité, évinçant les produits de Facebook (WhatsApp, Messenger, Instagram Direct). A noter que Telegram abrite des représentations officielles d’organismes gouvernementaux irakiens qui continuent de publier des actualités sur la plateforme… malgré le blocage. Un blocage qui est facilement contourné par des VPN et des proxies.

A noter que des internautes Turcs et Géogiens se sont étonnés d’être, eux aussi, bloqués. Il est tout à fait possible que les réseaux des fournisseurs d’accès à Internet des pays voisins soient étroitement liés et que le blocage dans un pays ait des répercussions sur les autres.

L’une des principales raisons présumées du blocage de Telegram est la fuite de nombreuses données personnelles des citoyens irakiens à partir des bases de données gouvernementales. Le Service Veille ZATAZ a repéré de nombreuses fuites de données concernant le pays, comme celle visant l’université de technologie spatiale et l’université technique du Nord de l’Irak, ou encore la diffusion, il y a peu, des données des électeurs iraquiens ou d’une base de données baptisée : Sécurité Nationale Iraq. « Elles ont été volées à partir des dispositifs du ministère et n’ont pas été obtenues par des méthodes via le web, souligne le voleur. Les données contiennent toutes les informations sur les citoyens irakiens. »

Pendant ce temps, en Chine, le fabriquant de téléphone Xiaomi désactive Telegram pour les Chinois. Les résidents de Chine ne peuvent plus installer l’application de messagerie Telegram sur leurs smartphones. Selon Bleeping Computer, le système d’exploitation MIUI du géant technologique classe l’application comme dangereuse et la bloque. L’interface maison MIUI en est à sa quatorzième version (Android 13).

« Cette application est frauduleuse et son utilisation peut comporter le risque de devenir une victime d’escroquerie. Par mesure de sécurité, il est recommandé de prendre des mesures de protection pour éliminer la menace des applications dangereuses« , indique le message affiché pour les résidents de Chine lorsqu’ils essaient de lancer le programme. L’article établit un lien direct entre cet événement et l’ajout d’une fonctionnalité à MIUI 13 en 2022, qui permet de marquer les applications malveillantes et de les bloquer.

Suite à cela, l’entreprise a été soupçonnée de surveillance potentielle des utilisateurs et de préparation à des actes de censure. Ces soupçons se sont renforcés après que MIUI ait commencé à bloquer les applications qui permettaient aux utilisateurs de modifier les paramètres réseau en dehors des valeurs par défaut. Dans de tels cas, le système d’exploitation, comme c’est le cas actuellement avec Telegram, bloquait les applications qui ne lui plaisaient pas et essayait même de les supprimer de l’appareil.

cyberattaque, Cybersécurité

Piratage de la police de Shanghai

Des pirates affirment avoir volé les données personnelles de plus d’un milliard de personnes domiciliées en Chine suite au piratage d’une base de données de la police de Shanghai. Possible ?

Lors d’une fuite de données de cette ampleur il est pratiquement impossible de vérifier la véracité de chaque entrée. Toutefois, sur la base d’un échantillon de données, les premiers rapports indiquent que la fuite est plutôt crédible. On ne sait toujours pas si les données proviennent d’une seule base de données, de bases de données liées ou de bases de données sans rapport entre elles, ce qui signifie que le nombre de citoyens concernés pourrait bien être inférieur au nombre de données communiquées.

 Le prix relativement faible proposé par les pirates pourrait sembler significatif, sauf que de nombreux pirates, depuis le lancement de la guerre lancée par la Russie à l’encontre de son voisin l’Ukraine, fait ressortir des fuites et des failles  gardées secrètes depuis des semaines, certaines mêmes depuis des mois. Les pirates ont besoin de liquidité. Les Sécurité du système d’information (SI) non maitrisés deviennent de vraies mines d’or pour les pirates !

Les données sont proposées pour 10 bitcoins (200 000 dollars), ce qui laisse penser que le pirate cherche peut-être à vendre les données à plusieurs acheteurs et donc de manière non exclusive. Certains pirates que j’ai pu rencontrer me disaient « nous préférons vendre à un petit montant 10 fois aujourd’hui, qu’espérer une grosse somme demain« . Effectivement, 10 fois 200 000 aujourd’hui et mieux qu’espérer tomber sur le bon acheteur à 2 millions demain !

« La valeur des données personnelles varie également d’un citoyen à l’autre, en grande partie en fonction de la possibilité de monétiser les données par le biais de l’usurpation d’identité ou de fraude, les nations occidentales telles que le Royaume-Uni et les États-Unis exigeant généralement un prix plus élevé. »  explique Toby Lewis, Global Head of Threat Analysis de Dartrace.

Il est intéressant de noter que les organes de censure chinois s’empressent de mettre fin à toute discussion sur cette fuite qui pourrait discréditer le gouvernement, dans la mesure où ce dernier est considéré comme la source présumée de la fuite. Cela peut être une indication de la véracité de l’affirmation, mais il peut s’agir simplement d’une tentative d’étouffer des rumeurs potentiellement dommageables.

Cybersécurité, Justice

Comment le Parti communiste chinois vole les travaux scientifiques

Des chercheurs de la société Avago, basée aux États-Unis et à Singapour, ont mis plus de 20 ans à développer une technologie capable d’améliorer les communications sans fil. Mais un employé a volé le fruit de leurs travaux au profit du gouvernement chinois. Les responsables américains voient dans ce vol un exemple de « l’approche extensive » du Parti communiste chinois qui consiste à voler des technologies et de la propriété intellectuelle. Son but ? Accroître sa puissance militaire et économique, et asseoir sa domination scientifique dans le monde.

La « fusion militaro-civile » s’inscrit dans cette logique. La FMC fait intervenir l’ensemble de la société : toutes les entreprises, toutes les personnes sont amenées à participer à la modernisation de l’armée chinoise, que ce soit en leur offrant des incitations, en les recrutant ou en leur forçant la main.

Voilà qui pose des problèmes considérables à tous ceux — universités, entreprises privées et pays — qui seraient prêts à travailler en collaboration avec leurs homologues chinois.

En mai, le président Trump a publié une proclamation visant à limiter la capacité du PCC à faire un usage abusif des visas d’étudiant pour acquérir indûment des technologies émergentes à l’appui de la FMC. En outre, les organes fédéraux d’application de la loi mènent plus d’un millier d’enquêtes sur le vol possible de technologies américaines, y compris pour les besoins de la FMC.

Le PCC a plusieurs cordes à son arc pour s’approprier les travaux de recherche d’autres pays. Il recrute des ressortissants chinois, paie secrètement des scientifiques étrangers pour qu’ils recréent leurs recherches en Chine et envoie des militaires à l’étranger en les faisant passer pour des civils. Le but est toujours le même : voler des technologies et des informations afin de faire progresser les objectifs militaires et de développement économique de la RPC.

Christopher Wray, le patron du FBI, a déclaré le 7 juillet que le PCC faisait « tout son possible pour exploiter l’ouverture » des démocraties afin de voler des données scientifiques.

Voici, par exemple, comment il s’y prend :

Le piratage d’entreprises étrangères

Dans un cas récent, deux pirates informatiques, en lien avec le ministère chinois de la Sécurité de l’État, ont ciblé des industries de haute technologie* dans 11 pays. Certaines développent des vaccins et des traitements contre la COVID-19.

Leur campagne de piratage, qui a duré plus de dix ans, a notamment ciblé les secteurs de la fabrication de haute technologie et de la défense ainsi que l’industrie pharmaceutique aux États-Unis, en Australie, en Allemagne, au Japon, en Espagne, en Corée du Sud, en Suède et au Royaume-Uni.

Le recrutement de citoyens chinois

En outre, pour faire avancer les objectifs militaires et de développement économique de la RPC, le PCC dispose de nombreux programmes de recrutement et de motivation de ressortissants chinois à l’étranger qui ont accès à des technologies et des informations sensibles.

Hongjin Tan, citoyen chinois et résident légal aux États-Unis, a postulé au programme de recrutement du PCC, le Plan des Mille Talents, et s’est engagé à « compiler » et à « absorber » la technologie américaine, a déclaré M. Wray.

Lorsqu’il a quitté son emploi dans une société pétrolière basée dans l’Oklahoma en décembre 2018, il a emporté des secrets industriels d’une valeur de plus d’un milliard de dollars. M. Tan a plaidé coupable de vol* et de transmission de secrets industriels, et a été condamné à 24 mois de prison.

En juin, Hao Zhang, un citoyen chinois de 41 ans, a été reconnu coupable d’espionnage économique* et de complot avec un ancien employé d’Avago, Wei Pang, en vue du vol de secrets industriels.

Les offres aux experts étrangers

Dans certains cas, Beijing a encouragé des scientifiques étrangers à recréer leurs recherches en Chine — alors qu’ils étaient financés simultanément par le gouvernement américain pour les mêmes travaux.

Selon des procureurs fédéraux, le programme des Mille talents du PCC s’est engagé à verser 50 000 dollars par mois à Charles Lieber, un chercheur à Harvard, et lui a accordé 1,5 million de dollars* pour établir un laboratoire de recherche à l’université de technologie de Wuhan. M. Lieber a accepté ce financement du gouvernement chinois sans les divulguer à Harvard ni à son bailleur de fonds, le département de la Défense, ce qui constitue une infraction aux règles et à la loi américaine.

M. Lieber est accusé d’avoir fait une déclaration fausse, fictive et frauduleuse.

Une enquête récente des Instituts nationaux de la santé (NIH) a révélé que 54 scientifiques ont été licenciés ou ont démissionné parce qu’ils n’avaient pas divulgué leurs liens financiers avec des gouvernements étrangers. Sur les 189 scientifiques visés par l’enquête, 93 % avaient des liens avec la RPC.

Yanqing Ye (FBI)

La dissimulation des affiliations militaires

Yanqing Ye, lieutenante dans l’Armée de libération du peuple, a envoyé des documents en Chine pendant qu’elle faisait des études dans la section de physique, chimie et génie biomédical de l’Université de Boston (BU), affirment des procureurs.

Elle s’est fait passer pour une étudiante sur sa demande de visa et a caché son affiliation militaire. L’un des chefs d’accusation retenus contre elle est d’être une agente d’un gouvernement étranger.

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Hacking, Piratage, Securite informatique

TEMP.Periscope : Des pirates Chinois, amateurs d’éléctions présidentielles ?

4 commentaires

Il n’y aurait pas que les pirates Russes amateurs d’éléctions ? Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

TEMP.Periscope – La société américaine FireEye, une des « sources » des médias concernant les « pirates Russes« , annonce avoir examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyber attaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux Etats Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Gloabalement, selon FireEye, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe de pirates chinois. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux operations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des medias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coincide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Description de l’incident

FireEye a analysé trois serveurs qu’il pense être contrôlés par TEMP.Periscope, ce qui lui a permis d’obtenir des informations sur les objectifs et les tactiques opérationnelles du groupe, ainsi qu’un grand nombre de données techniques d’attribution/validation. Ces serveurs était “open indexés” et donc accessibles par quiconque sur l’Internet public, sans exiger la moindre identification. Ce type d’erreur permet d’obtenir des informations intéressantes sur les activités d’un groupe car, à la différence de données contenues dans des messages de spear phishing, des acteurs malveillants n’anticipent pas que ces données puissent être analysées. L’analyse de FireEye couvre la période allant d’avril 2017 jusqu’à aujourd’hui, la plupart des opérations actuelles étant concentrées sur les élections au Cambodge. Pour l’heure, nous retenons les domaines concernés.

Deux serveurs, Domain 1 et Domain 2, fonctionnent comme des serveurs C2 et des sites d’hébergement traditionnels, alors que le troisième, Domain 3, fonctionne comme un serveur SCANBOX actif. Les serveurs C2 contenaient à la fois les logs et le malware. Une étude des trois serveurs a révélé une adresse IP d’un acteur potentiel située à Hainan en Chine, et des données volées provenant d’attaques potentielles ciblant d’autres industries et secteurs dont l’éducation, l’aviation, la chimie, la défense, les administrations gouvernementales, le monde maritime et le high tech dans de multiples régions du monde. Les fichiers sur les serveurs comprenaient des malwares nouveaux (DADBOD, EVILTECH) et précédemment identifiés (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX ) utilisés par TEMP.Periscope.

Attaques sur les entités liées aux élections cambodgiennes

L’analyse des logs des victimes associées avec les serveurs identifiés a révélé des attaques ciblant de multiples entités cambodgiennes, principalement celles liées aux élections de juillet 2018. De plus, un email de spear phishing séparé analysé par FireEye a mis en évidence une action simultanée ciblant des figures de l’opposition au Cambodge. L’analyse a révélé que des organisations gouvernementales cambodgiennes et des individus ciblés avaient été attaqués comme la Commission Nationale des Elections, Ministère de l’Intérieur, Ministères des Affaires Etrangères et de la Coopération Internationale, Sénat du Cambodge, Ministère de l’Economie et des Finances. Des membres du Parlement représentant le Parti cambodgien du Sauvetage National. De multiples personnalités cambodgiennes partisans des droits de l’homme et de la démocratie ayant écrit des articles critiquant le parti actuellement au pouvoir. Deux diplomates cambodgiens en poste à l’étranger et de multiples organes de presse au Cambodge.

Le Domain 2 a été identifié comme le serveur C2 pour un malware AIRBREAK attaché à un message leurre envoyé à Monovithya Kem, Directeur Général Adjoint, Affaires Publiques, Parti Cambodgien du Sauvetage National (CNRP), et à la soeur de Ken Sokha, leader (emprisonné) d’un parti cambodgien de l’opposition. Le document leurre prétend provenir de LICADHO (une ONG cambodgienne fondée en 1992 pour promouvoir les droits de l’homme).

Une infrastructure également utilisée pour des opérations contre des entreprises privées

’infrastructure décrite plus haut a également été utilisée contre des entreprises privées en Asie, en Europe et en Amérique du Nord. Ces entreprises appartiennent à des industries très diverses, dont l’éducation, l’aviation, la chimie, le monde maritime et le high tech. Beaucoup de ces attaques sont en ligne avec les activités précédentes de TEMP.Periscope en direction des secteurs du maritime et de la défense. Toutefois, nous avons également découvert une attaque visant une société européenne dans la chimie très implantée en Asie, ce qui démontre que ce groupe est une menace pour des entreprises partout dans le monde, et particulièrement celles ayant des intérêts en Asie.

Un malware MURKYTOP de 2017 et des données contenues dans un fichier lié au domain 1 suggère qu’une entreprise impliquée dans l’industrie de la défense aux Etats Unis, peut être en lien avec la recherche maritime, a également été attaquée. De plus, des attaques probables d’une entreprise du secteur américain de la défense et d’une entreprise européenne dans la chimie ayant des bureaux en Asie ont été découvertes sur les serveurs “open indexés”.

Les Downloaders et Droppers AIRBREAK révèlent des indicateurs leurres

Les noms de fichiers pour les downloaders AIRBREAK trouvés sur les sites “open indexés” suggèrent aussi un intérêt marqué pour des cibles associées à la géopolitique liée à l’Asie orientale. De plus, l’analyse des sites downloaders AIRBREAK a révélé un serveur associé qui souligne l’intérêt de TEMP.Periscope pour la politique au Cambodge. Les downloaders AIRBREAK redirigent les victimes vers les sites indiqués pour afficher un document légitime mais leurre tout en téléchargeant un contenu malveillant AIRBREAK à partir d’un des serveurs C2 identifiés. A noter que le site hébergeant les documents légitimes n’a pas été compromis. Un domaine C2 supplémentaire, partyforumseasia[.]com, a été identifié comme la fonction de rappel (callback) pour un downloader AIRBREAK référençant le Parti Cambodgien du Sauvetage National.

Le serveur SCANBOX utilisé pour prévoir des opérations futures

e serveur SCANBOX actif, Domain 3, héberge des articles liés à la campagne actuelle au Cambodge et à des opérations plus larges. Les articles trouvés sur le serveur indiquent le ciblage d’intérêts liés à la géopolitique Etats Unis – Asie orientale, à la Russie et à l’OTAN. Les victimes sont probablement attirées sur le serveur SCANBOX soit via une attaque stratégique de site web soit via des liens malicieux dans des emails ciblés, l’article étant présenté comme un leurre. Les articles proviennent de contenus open source disponibles directement en ligne.

La suite de malwares de TEMP.Periscope

L’analyse du catalogue de malwares contenus sur les trois serveurs révèle une suite classique de contenus malveillants utilisés par TEMP.Periscope, dont les signatures d’AIRBREAK, MURKYTOP, et de HOMEFRY. De plus, l’enquête de FireEye a révélé de nouveaux outils, EVILTECH et DADBOD.

Les données contenues dans les logs renforcent l’attribution à la Chine

FireEye suit les activités de TEMP.Periscope depuis 2013 et de multiples facteurs nous conduisent à affirmer qu’il agit au nom du gouvernement chinois. Notre analyse des serveurs et des données associées dans cette dernière campagne renforcent cette affirmation. Les données du log d’accès au panneau de contrôle indique que les opérateurs sont probablement basés en Chine et travaillent sur des ordinateurs fonctionnant en langue chinoise. Les cibles historiques de TEMP.Periscope restent cohérentes avec les objectifs du gouvernement chinois, et les outils qu’il utilise sont cohérents avec ceux utilisés par de nombreuses autres équipes chinoises. Un log sur le serveur a révélé des adresses IP qui avaient été utilisées pour se connecter au logiciel employé pour communiquer avec le malware implanté sur des machines victimes. L’une de ces adresses IP, 112.66.188.xx, est située à Hainan, en Chine. D’autres adresses appartiennent à des serveurs virtuels privés, mais des éléments indiquent que les ordinateurs utilisés pour se connecter sont configurés pour fonctionner en chinois.

Perspectives et Implications

Les operations révélées ici fournissent un nouvel éclairage sur les activités de TEMP.Periscope. Nous connaissions déjà l’intérêt de cet acteur pour les affaires maritimes, mais cette campagne malveillante apporte des indications supplémentaires indiquant que ce groupe va cibler le système politique de pays possédant une importance stratégique. Le Cambodge a été un supporter fiable de la position de la Chine dans le Sud de la Mer de Chine au sein de forums internationaux tels que l’ASEAN, et figure parmi les partenaires importants du pays. Bien que le Cambodge soit classé comme Autoritaire dans le Democracy Index de The Economist, le récent renversement surprise du parti au pouvoir en Malaisie peut motiver la Chine à surveiller étroitement les élections du 29 juillet au Cambodge.

Le ciblage de la commision électorale est particulièrement significatif, en raison du rôle stratégique qu’elle joue pour inciter les gens à voter. Nous n’avons pas encore suffisamment d’informations expliquant pourquoi cette organisation a été attaquée – simplement pour récolter des informations ou dans le cadre d’une opération plus complexe. Quelle que soit la raison, cet incident est l’exemple le plus récent de l’implication aggressive d’un état nation dans les processus électoraux dans le monde. Bien que des activités liées à des élections aient seulement été découvertes en Asie du Sud Est, ce serait une erreur d’assumer que ces menaces ne peuvent pas se reproduire ailleurs.

Nous pensons que TEMP.Periscope va continuer à cibler un large éventail d’entités gouvernementales, d’organisations internationales et d’entreprises privées, particulièrement celles travaillant dans l’ingénierie ou des processus chimiques utilisés par des navires. Nous ne pensons pas qu’il va modifier beaucoup voire même un seul élément révélé par cette enquête, mais il continuera probablement à développer de nouvelles architectures d’intrusion via de nouveaux domaines, sites compromis, certificats et outils. FireEye prévoit que ces intrusions vont se poursuivre et monter en puissance aussi longtemps que le groupe y trouvera un intérêt.

Android, Chiffrement, cryptage, Cybersécurité, Espionnae, ID, Identité numérique, ios, loi, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée, Windows phone

Interdit d’interdire ! La Chine bloque de nombreuses applications iPhone

Le Ministère de la Santé Chinoise fait interdire de nombreuses applications après la modification de la législation locale. Skype résiste, mais pour combien de temps ?

La Chine fait interdire la VoIP ! Les utilisateurs Chinois d’iPhone sont de moins en moins à la fête après la modification de la loi Internet voté par le gouvernement. De nombreuses applications permettant de communiquer en mode VoIP ont été censurées. Le ministère de la santé publique a fait retirer plusieurs applications Voice-over-Internet-Protocol (VoIP). La loi ne les autorise plus sur le territoire Chinois.

Les boutiques d’Apple et Google souhaitant continuer à faire du business en Chine, les deux géants américains se plient donc à la censure Chinoise.

Skype fonctionne encore pour le moment, mais il n’est plus possible depuis fin octobre de payer les services Skype via Apple.

Skype est l’un des derniers outils non-chinois à fonctionner. Il y a six mois, Gmail, Twitter, Telegram ou encore Snapchat avaient été interdits. En septembre 2017, WhatsApp a été bloqué.

Des outils qui peuvent revenir batifoler avec le cyberespionnage Chinois à la condition ou le chiffrement des applications soit retiré. La Chine a aussi interdit l’utilisation des VPN. Amende et prison pour ceux qui tenteraient de jouer avec le yaomo, le diable.

Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique, Social engineering

Les auteurs de Fireball arrêtés

Un commentaire

Le logiciel malveillant Fireball a infiltré plus de 250 millions d’ordinateurs. Onze personnes soupçonnées d’être derrière cet outil pirate arrêtées.

La police Chinoise vient d’arrêter 11 présumés pirates informatiques auteurs de l’infiltration de plus de 250 millions d’ordinateurs. Les personnes sont soupçonnées d’avoir développé des logiciels malveillants nommés Fireball. Parmi les dispositifs infectés, 20% appartiennent à de grands réseaux d’entreprises dans divers pays. Le programme malveillant Fireball a été découvert il y a deux mois par des chercheurs de la société Proofpoint.

Fireball avait pour mission de se cacher dans les ordinateurs et d’afficher des publicités dans les navigateurs. Pour piéger les internautes, les pirates passaient par un éditeur de logiciels Chinois, Rafotech. Les publicités affichés, rapportaient de l’argent aux pirates à chaque diffusion. Les 11 personnes arrêtées travaillaient pour Rafotech. Les pirates informatiques auraient gagné 80 millions de yuans (Plus de 10 928 290 millions d’euros) avec leur campagne de logiciels malveillants, rapporte le Beijing Youth Daily. Au moment de la découverte de Fireball, les chercheurs ont trouvé 25,3 millions d’appareils infectés en Inde, 5,5 millions d’appareils aux États-Unis, 24,1 millions au Brésil, 16,1 millions au Mexique, 13,1 millions en Indonésie.