L’espionnage discret mené par Volt Typhoon sur des infrastructures américaines laisse présager des attaques de plus en plus indétectables.

Rester caché le plus longtemps possible pour continuer d’espionner et être prêt à s’activer en cas de crise. C’était l’objectif supposé derrière l’infiltration de grande ampleur menée de façon discrète par la Chine au sein d’infrastructures américaines dénoncée par les États-Unis mercredi 24 mai.

Derrière cette attaque, on trouve « un foyer d’activité associé à un cyberacteur parrainé par l’État de la République populaire de Chine, aussi connu sous le nom de Volt Typhoon », relate un avis conjoint des autorités chargées de la cybersécurité aux États-Unis, Canada, au Royaume-Uni, Australie et Nouvelle-Zélande — une alliance connue sous le nom de Five Eyes. Si elles étaient généralisées, leurs techniques feraient craindre des cyberattaques de plus en plus indétectables.

Une cible stratégique espionnée incognito

La cible ? Les États-Unis, mais aussi l’île de Guam, dans l’océan Pacifique, qui abrite une base militaire américaine cruciale. Volt Typhoon chercherait en fait à « perturber les infrastructures de communication essentielles entre les États-Unis et la région asiatique lors de crises futures », estime Microsoft dans un communiqué. Il faut dire que l’hypothèse d’un conflit armé dans la région n’est plus si aberrante, alors que les relations sino-américaines se tendent au sujet de Taïwan.

« Le comportement observé suggère que l’acteur de la menace comptait poursuivre son espionnage et maintenir son accès sans être détecté, le plus longtemps possible », poursuit le rapport de Microsoft. Dans le détail, la campagne visait « les secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, du gouvernement, des technologies de l’information et de l’éducation. »

La base navale américaine de Guam, dans l'océan Pacifique // Source : U.S. Navy photo/Released
La base navale américaine de Guam, dans l’océan Pacifique

La méthode « living off the land », ou comment rester caché

Pour ne pas éveiller l’attention, les attaquants ont usé d’une tactique discrète, appelée « living off the land » (LotL), littéralement « vivre de la terre », en l’occurrence, s’appuyer sur ce qui est déjà présent. Ce type de cyberattaque infecte des logiciels existants sur le poste. Ici, c’est les outils d’administration réseau. Les moyens d’accès utilisés étant des outils de confiance, voire faisant partie de la configuration de base du système, ceux-ci ne suscitent pas d’alerte… ce qui permet aux intrus de maintenir leur présence incognito et de collecter des données en toute quiétude.

Volt Typhoon a exploité une faille informatique dite « zero-day » — c’est-à-dire jamais connue jusqu’ici — sur des appareils connectables à Internet et utilisant la suite de cybersécurité FortiGuard, commercialisée par Fortinet, a détaillé Microsoft. Pour se mêler à l’activité normale du réseau, l’assaillant a fait passer le trafic par des outils connectés piratés — comme des routeurs, des pare-feux ou des réseaux privés virtuels (VPN).

Une fois entrés, et plutôt que d’infecter les appareils avec des logiciels malveillants, les attaquants semblent avoir préféré des techniques plus discrètes. Ainsi, après avoir volé des identifiants d’accès valides appartenant à des utilisateurs réels sur le réseau, ils les utilisaient pour mettre la main sur d’autres comptes. 

« Cyberactivité basse et lente »

« C’est ce que j’appellerais une cyberactivité basse et lente », a expliqué à l’AFP Alastair McGibbon, directeur de la stratégie de la société australienne CyberCX et ancien directeur du Centre australien de cybersécurité. « C’est comme quelqu’un qui porte une veste de camouflage et un fusil de tireur d’élite. On ne le voit pas, il n’est pas là. »

Le recours à ce type de procédés inquiète l’agence américaine de cyberdéfense (CISA), qui craint qu’ils ne soient utilisés dans d’autres secteurs et à travers le monde, en particulier par des Etats ennemis. « La Chine est certainement capable de lancer des attaques informatiques qui pourraient perturber les infrastructures américaines, comme les oléoducs et les gazoducs, ou le système ferroviaire », estime la direction des renseignements américains dans son rapport 2023 d’évaluation des menaces.

De son côté, Pékin n’a pas encore réagi à ces accusations spécifiques, mais nie fréquemment toute implication dans des cyberattaques. Des chercheurs avaient, par exemple, découvert en mai 2022 qu’un groupe de hackers chinois espionnaient depuis 2019 des entreprises stratégiques dans les secteurs de la technologie et de la chimie sur trois continents.

Cette affaire éclaire ainsi sur la méthodologie de la Chine, qui semble user de méthodes perfectionnées pour ne pas laisser de traces et échapper aux systèmes de détection, davantage que d’attaques visibles et destructrices.

[Mise à jour 15h : La Chine a depuis rejeté ces accusations d’espionnage avancées par les Five Eyes, accusant les Etats-Unis en retour.]

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !