Des centaines de documents chinois ont été exposés sans raison apparente le 18 février dernier sur Github, une plateforme publique pour les développeurs. Très vite, tous les experts cyber se sont penchés sur ces fichiers qui ont rapidement été identifiés comme une base de données d’une entreprise d’espionnage chinoise. La société en question, nommée I-Soon, offre des outils, des programmes et des services au gouvernement chinois. Selon le groupe de chercheurs en géopolitique et en sécurité « NATTO », I-Soon a été fondé par un hacker patriote, le PDG Wu Haibo (吴海波), alias Shutdown, dans le monde de la cyber.
Les analyses des entreprises de cybersécurité SentinelOne et Malwarebytes ont constaté qu’I-Soon développe des logiciels capables de compromettre des appareils fonctionnant sur Windows, macOS, Linux, iOS et Android. Le programme d’attaque sur Android peut apparemment récupérer et envoyer tout l’historique de messagerie d’un utilisateur à partir d’applications de chat chinoises, ainsi que Telegram.
L’équipe chinoise affirme avoir accédé à des services gouvernementaux en Inde, en Thaïlande, au Vietnam et en Corée du Sud, et dans un système de l’OTAN. Du matériel d’espionnage pour corrompre des accès wifi a également été révélé.
Des outils pour espionner les mails et les appels
Le hacker éthique Baptiste Robert, à la tête de la société Predicta lab, s’est penché sur cette fuite et nous apprend que le fameux « Shutdown » est un ancien de l’armée chinoise. « Il a monté une équipe d’une trentaine de hackers et d’ingénieurs pour chercher des failles zéro-days (des vulnérabilités non découvertes) pour le compte de la Chine. Ils ont des outils pour répliquer une boite mail, récupérer des appels et ensuite faire l’analyse des conversations », nous explique l’expert en cyber. « Les deux fondateurs de I-Soon ont laissé des traces publiques, comme des comptes Twitter ou Linkedin. On a même retrouvé une adresse mail », ajoute-t-il.
Baptiste Robert les rapproche d’un groupe de hackers chinois APT41, aussi connu sous le nom de Double Dragon, dont plusieurs membres sont recherchés par le FBI.
Dans l’un des documents publiés sur Github, on peut trouver une liste cible à espionner. Deux noms français apparaissent, Jean-Louis Rocca et Vincent Fertey. Le premier est un célèbre chercheur sur la Chine à Science-Po, le second est l’ancien directeur de Sciences-Po Paris, campus du Havre. « Cela n’a rien d’étonnant, on sait que la Chine cible depuis longtemps des chercheurs qui travaillent sur la Chine », ajoute Baptiste Robert.
Qui est à l’origine de cette fuite de données
Comment une base de données aussi sensible a pu se retrouver dans une plateforme ouverte à tous ? « Il y a une intention de nuire, ce ne peut pas être un accident », affirme Thomas Segura, expert en cyber pour l’entreprise GitGuardian. « La fuite n’a pas été publiée sur un obscur forum du darknet où trainent les initiés et les hackers, mais sur un site où tout le monde peut accéder. Cela signifie qu’il y a une volonté d’exposer leur activité, plutôt que de revendre des données comme le font généralement les cybercriminels ».
Fuite interne ? Coup d’éclat du renseignement américain ? Rien ne peut être confirmé, mais il est certain que ce fichier sera analysé jusqu’à la dernière ligne de code par tous les organes de cyberdéfense.
Cet article existe grâce à
Cet article a pu voir le jour grâce au financement de nos adhérent·e·s, offrant le temps et les ressources nécessaires à la production d’une information de qualité. Numerama+ permet à Numerama de rester gratuit et éviter de verrouiller le web derrière un mur payant.
Zéro publicité, meilleur confort de lecture, articles résumés par l’I.A et plus encore... Si vous souhaitez soutenir la mission de Numerama et profiter de nombreux avantages exclusifs, adhérez à Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
