Opération Aurora

L'Opération Aurora est une importante cyberattaque chinoise, de type Advanced Persistent Threat, visant une trentaine d'entreprises principalement américaines^[1], mise au jour le 12 janvier 2010 par Google, une des victimes. Les responsables ont été désignés comme agissant pour le compte du gouvernement chinois, même si celui-ci dément toute implication^[1]. Lorsque Google a annoncé son intention de quitter la Chine face à de tels agissements, l'affaire a pris la tournure d'un incident diplomatique entre la République populaire de Chine et les États-Unis. Certains voient en cet acte une démonstration de force de la Chine.

Finalement, Google cède aux pressions de Pékin pour conserver sa licence d'exploitation d'internet, tout en proposant aux utilisateurs une redirection manuelle identique à celle proposée antérieurement sur Hong-Kong.

Les révélations de télégrammes de la diplomatie américaine par WikiLeaks, publiées le 4 décembre 2010 par The Guardian et The New York Times, confirment que le gouvernement chinois est à l'origine de l'Opération Aurora^[2],[3].

Origine du nom

L'attaque a été nommée « Opération Aurora » par Dmitri Alperovitch, vice-président de recherche des menaces à la cybersécurité société McAfee. Cette appellation a pour origine le nom d'un dossier de fichier nommé « Aurora » dans les logiciels malveillants utilisés, qui se trouvait sur l'ordinateur de l'un des assaillants. Les chercheurs de McAfee ont affirmé que lorsque le pirate a compilé le code source pour le logiciel malveillant dans un fichier exécutable, le compilateur a inscrit le nom du répertoire originel sur la machine de l'attaquant^[4].

Enjeux

Selon le Livre blanc de mcAfee, les hackers ont eu accès à des logiciels de gestion des configurations, qui leur auraient permis de voler des codes sources ou d'y apporter discrètement des modifications afin de s'infiltrer incognito dans les versions commerciales ultérieures des produits des sociétés ciblées^[5]. Le vol de code source permet aux pirates son étude minutieuse afin d'y dénicher des vulnérabilités puis de pouvoir les exploiter, en attaquant les clients qui utilisent le logiciel. Ainsi, cette attaque n'est non pas seulement un vol informatique, mais aussi une tentative de hacking et d'espionnage à grande échelle.

« Les SCM étaient grandes ouvertes. Nul n'a jamais pensé à les sécuriser, et pourtant ce sont les joyaux de la plupart de ces entreprises à bien des égards. Elles ont beaucoup plus de valeur que les données financières ou personnelles identifiables pour lesquelles ils font beaucoup d'effort pour leurs protection^[5]. »

— Dmitri Alperovitch, vice-président de McAfee pour la recherche menace

Historique

Cibles visées et buts

D'après certaines enquêtes, cette opération a fait l'objet d'une grande préparation.

L'attaque a d'abord été publiée par Google le 12 janvier 2010 sur son blog officiel. Dans un billet, Google a déclaré que l'attaque provient de Chine. L'attaque ciblait 34 organisations au total^[5], dont Adobe^[6], Juniper Networks^[7] et Rackspace (en)^[8] qui ont publiquement confirmé avoir été ciblés. Selon les médias, Yahoo^[8], Symantec^[8], Northrop Grumman^[8] et Dow Chemical faisaient également partie des cibles.

Un contact chinois aurait affirmé à l'ambassade des États-Unis à Pékin que le gouvernement chinois était responsable de cette opération et que celle-ci était de nature strictement politique et visait essentiellement des dissidents. La question du contournement de la censure d'Internet en Chine est un enjeu majeur pour la Chine, qui y voit une menace des États-Unis pour sa stabilité^[9].

Complication de l'affaire avec Google

 

Dépôt de fleur pour le refus des conditions imposées par la Chine

À la suite de l'attaque, Google a déclaré dans son blog qu'il envisage d'arrêter la censure de son moteur de recherche en Chine "dans la légalité, voire pas du tout", et a reconnu que si ce n'est pas possible, l'entreprise pourrait quitter la Chine et fermer ses bureaux locaux^[10]. Les médias officiels chinois ont répondu en affirmant que l'incident fait partie d'une conspiration du gouvernement américain^[11].

L'annonce de l'entreprise californienne fut perçue par certains forums comme un bluff, puisque le marché chinois de l'Internet est très porteur (384 millions d'internautes fin 2009^[12]) et que Microsoft annonçait son intention de poursuivre ses activités avec Bing malgré tout^[13]. Cet agissement fut perçu comme un acte de courage grandiose. Google est rapidement devenu en Chine et dans le reste du monde un défenseur de la liberté. Pour rendre hommage et affirmer leur soutien à de telles décisions, de nombreux chinois déposèrent sur l'édifice portant le logo de l'entreprise fleurs, bougies et mots de soutien^[14]. Ces actions sont devenues un phénomène très médiatisé, et l'affaire prit les tournures d'un incident diplomatique entre les États-Unis et la République populaire de Chine.

L'affaire tourne à l'incident diplomatique

Google n'a pas voulu laisser passer l'affaire, et a exploré les voies possibles pour retrouver les coupables. La presse américaine n'a pas tardé à retransmettre l'intention de coopération entre le géant d'internet et la NSA^[15], ce qui a soulevé des questions quant aux destinées des banques de données de Google confiées au FBI et à la NSA afin de connaître les origines de la cyberattaque et ses instigateurs.

Dans la fin de la semaine du 14 au 21 mars, le New York Times affirmait, en se basant sur des sources anonymes chinoises, que l'Opération Aurora avait été menée depuis deux écoles chinoises spécialisées en informatique^[16]. Ces deux établissements — l'université de Shanghai Jiaotong et l'école spécialisée Lanxiang — rejetteront les accusations^[17].

« Nous sommes choqués et indignés d'entendre ces allégations sans fondement qui pourraient nuire à la réputation de l'université […] L'information du New York Times se base uniquement sur l'adresse IP. Au regard du développement de la technologie réseau, une telle information n'est ni objective ni équilibrée » relayait un porte-parole de l'université de Shanghai Jiatong à l'agence de presse Xinhua^[17].

Hillary Clinton, ministre des Affaires étrangères américaines, provoqua d'importantes tensions à la suite d'un discours relatif aux faits, prononcé à Washington le jeudi 21 janvier 2010. Dans ce discours, elle présentait les États-Unis comme un pays défendant la liberté sur internet, radicalement opposé à la censure^[18]. Au contraire, la politique chinoise a été vivement dénoncée. Des formules choc y seront promulguées, sans jamais réellement expliciter le gouvernement chinois :

« J'espère que le refus de soutenir la censure politique va devenir une caractéristique typique des entreprises américaines dans le secteur des technologies. Je voudrais que cela devienne comme une marque nationale^[19]. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

« Quand les contrats menacent cette liberté, les entreprises doivent réfléchir à ce qui est juste, pas seulement à la perspective de profits rapides^[19]. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

« les pays ou les individus qui se livrent à des cyber-attaques doivent en subir les conséquences et être condamnés internationalement^[19]. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

« dans un monde connecté, une attaque contre les réseaux d'une nation peut être une attaque contre toutes les nations^[19]. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

De telles accusations, bien que ne désignant pas directement la Chine, rappellent les événements et les discours qui ont eu lieu pendant la Guerre froide. La secrétaire d'État des États-Unis a elle-même affirmé qu'« nouveau rideau est en train de s'abattre sur l'information dans une grande partie du monde »^[19],[20], ce qui reflète la phrase célèbre proférée par Churchill, à la suite de la Seconde Guerre mondiale.

Les autorités chinoises, qui ont nié en bloc toute implication depuis le début, ont tenté dans un premier temps de calmer l'affaire en affirmant qu'il ne s'agissait pas d'« un problème entre les gouvernements chinois et américain »^[21]. Pour le ministère des affaires étrangères chinois, ces accusations constituent des offenses infondées qu'il condamne : « Nous enjoignons les États-Unis de respecter les faits et d'arrêter de saisir le supposé problème de liberté d'expression sur l'Internet pour faire des reproches injustifiés à la Chine »^[21]. Par la suite, Pékin durcira le ton en accusant les États-Unis de conspiration visant à dénigrer la Chine. Le Quotidien du peuple affichait sur son éditorial Internet que : « Ces déclarations et actes (de la part des Américains) se font au mépris de la réalité et portent atteinte à l'image de la Chine, mettant à mal le développement de relations sino-américaines saines et stables » en ajoutant qu'« Il n'est pas difficile de voir l'ombre du gouvernement américain derrière la politisation de l'affaire Google »^[22].

Pour régulariser sa situation envers la censure et pour rester fidèle à ses engagements, Google agit, non pas en décensurant son moteur de recherche chinois, mais en redirigeant les utilisateurs vers la version basée à Hong Kong, elle, non censurée^[23],[24]. Cette esquive sera considérée par le gouvernement comme une violation de contrat^[24] : Google a « violé une promesse écrite qu'il avait faite en arrivant sur le marché chinois en arrêtant de filtrer son moteur de recherche »^[25]. Pékin a déjà commencé à bloquer certains services de la firme californienne et opérer des transformations de son accès sur l'Internet chinois. Par ailleurs, la presse numérique véhiculait l'information que le gouvernement chinois faisait pression sur les plus grands opérateurs nationaux pour annuler les commandes de téléphones sous android, système d'exploitation mobile phare de Google par mesure de représailles^[26]. Ces mesures ont été confirmées dès le lendemain, le jeudi 25 mars 2010^[27].

Les répercussions chez Microsoft

Les gouvernements allemands, australiens et français ont publiquement émis des avertissements aux utilisateurs d'Internet Explorer après l'attaque, leur conseillant d'utiliser des navigateurs alternatifs, ne serait-ce que jusqu'à ce qu'un correctif pour la faille de sécurité soit disponible^[28],[29]. De ce fait, ces trois gouvernements considèrent toutes les versions d'Internet Explorer vulnérables ou potentiellement vulnérables.

Dans une déclaration publiée le 14 janvier 2010, Microsoft a déclaré que les attaquants ont exploité une faille dans le navigateur. La vulnérabilité affecte les versions d'Internet Explorer 6, 7 et 8 sur Windows 7, Vista, Windows XP, Server 2003, Server 2008 SP2, ainsi qu'IE 6 sous Windows 2000 Service Pack 4.[24]

La technique d'exploitation d'Internet Explorer utilisée dans l'attaque a été publiée, et a été intégrée dans l'outil de tests d'intrusion Metasploit. Ce procédé a été communiqué à Wepawet, un service permettant de détecter et d'analyser les logiciels malveillants, dirigé par le groupe de sécurité informatique à l'Université de Californie.

Microsoft a admis que la faille de sécurité utilisée était connue d'eux depuis septembre (2009)^[30]. Le travail sur une mise à jour est depuis, devenu une priorité, et le jeudi 2 janvier 2010, Microsoft a publié un correctif de sécurité visant à contrer cette faiblesse. Cette opération n'a pas amélioré la popularité de Microsoft, et réveillé bien des craintes sur la fiabilité d'Internet Explorer, utilisé par des centaines de millions d'internautes^[31].

Notes et références

1. « "Opération Aurora" : Pékin réplique à Washington », Le Monde, 22 janvier 2010 (consulté le 22 mars 2010)
2. (en)The Guardian, US embassy cables: Google hacking 'directed by Chinese politburo itself', 4 décembre 2010
3. (en)ZDnet, WikiLeaks: China was behind cyber-attack on Google, 29 novembre 2010
4. (en) Kim Zetter, « Google Hack Attack Was Ultra Sophisticated, New Details Show », sur wired.com, 14 janvier 2010 (consulté le 24 mars 2010)
5. (en) Kim Zetter, « ‘Google’ Hackers Had Ability to Alter Source Code », sur wired.com, 3 mars 2010 (consulté le 24 mars 2010)
6. (en) « Adobe Investigates Corporate Network Security Issue », sur blogs.adobe.com, 12 janvier 2010 (consulté le 22 mars 2010)
7. Aude Boivin Filion, « Détection d'une importante cyberattaque à un niveau mondial », sur techno.branchez-vous.com, 18 février 2010 (consulté le 24 mars 2010)
8. Jean-Baptiste Su, « Piratage chinois contre Google, la petite attaque de trop », sur lexpansion.com, 14 janvier 2010 (consulté le 24 mars 2010)
9. Yves Eudes, « WikiLeaks : l'espionnage de Google par Pékin serait « 100 % politique » », Le Monde, 4 décembre 2010
10. (en) « A new approach to China », sur googleblog.blogspot.com, 12 janvier 2010 (consulté le 24 mars 2010)
11. (en) Kathrin Hille, « Chinese media hit at ‘White House’s Google’ », 20 janvier 2010 (consulté le 24 mars 2010)
12. « Asie : Population d'internautes », sur journaldunet.com, 18 janvier 2010 (consulté le 20 mars 2010)
13. Nil Sanyas, « Chine : Google discute, Microsoft compte bien s'y développer », sur pcinpact.com, 5 mars 2010 (consulté le 22 mars 2010)
14. Hélène Duvigneau, « Les internautes chinois soutiennent Google contre Pékin », sur lexpansion.com, 13 janvier 2010 (consulté le 22 mars 2010)
15. Julien L., « Piratage : la NSA pourrait venir en aide à Google… mais à quel prix ? », sur numerama.com, 5 février 2010 (consulté le 24 mars 2010)
16. Julien L., « Piratage de Google : le gouvernement chinois impliqué ? », sur numerama.com, 23 février 2010 (consulté le 24 mars 2010)
17. Julien L., « Piratage de Google : les deux écoles chinoises rejettent les accusations », sur numerama.com, 22 février 2010 (consulté le 24 mars 2010)
18. Guerric Poncet, « Hillary Clinton définit une politique américaine pour Internet, Pékin déçu », sur lepoint.fr, 22 janvier 2010 (consulté le 24 mars 2010)
19. « Hillary Clinton : « Les pays qui lancent des cyber-attaques devront en subir les conséquences » », sur zdnet.fr, 22 janvier 2010 (consulté le 24 mars 2010)
20. « Hillary Clinton plaide pour un Internet libre, Pékin rejette les critiques », sur 01net.com, 22 janvier 2010 (consulté le 24 mars 2010)
21. « "Opération Aurora" : Pékin réplique à Washington », sur lemonde.fr, 22 janvier 2010 (consulté le 24 mars 2010)
22. « La Chine durcit le ton envers Washington dans l'affaire Google », sur campsd-extermination-en-chine.20minutes-blogs.fr, 27 janvier 2010 (consulté le 24 mars 2010)
23. « Pour contourner la censure chinoise, Google se replie vers Hongkong », sur lemonde.fr, 23 mars 2010 (consulté le 24 mars 2010)
24. « Chine : Google contourne la censure en redirigeant les résultats vers Hong Kong », sur zdnnet.fr, 23 mars 2010 (consulté le 24 mars 2010)
25. « Chine : Google contourne la censure en redirigeant les résultats vers Hong Kong », sur zdnet.fr, 24 mars 2010 (consulté le 24 mars 2010)
26. « Chine : les mesures de rétorsion contre Google ont commencé », sur zdnet.fr, 24 mars 2010 (consulté le 24 mars 2010)
27. « Des opérateurs télécoms, dont China mobile, abandonneraient Google », sur google.com, 25 mars 2010 (consulté le 25 mars 2010)
28. Marc Rees, « Faille : la France et l'Allemagne déconseillent Internet Explorer », sur pcinpact.com, 20 janvier 2010 (consulté le 24 mars 2010)
29. Arnaud Devillard, « Microsoft reproche aux autorités d'effrayer les utilisateurs d'Internet Explorer », sur 01net.com, 19 janvier 2010 (consulté le 24 mars 2010)
30. Jérôme G., « Faille IE : Microsoft au courant depuis septembre 2009 ! », sur generation-nt.com, 22 janvier 2010 (consulté le 24 mars 2010)
31. « Faille Internet Explorer: un incident courant médiatisé par l'attaque Google », sur rtlinfo.be, 19 janvier 2010 (consulté le 24 mars 2010)

Annexes

Articles connexes

• Censure de l'Internet en République populaire de Chine
• GhostNet Affaire d'espionnage mondial orchestré par la Chine.
• Titan Rain, série d'attaques informatiques chinoises en 2003.

Liens externes

• Article anglophone
• Produits dérivés…
• Bulletin de sécurité Microsoft du 21 janvier 2010
• Fiche de Google affichant la disponibilité de ses services en Chine

•   Portail de la sécurité informatique
•   Portail de la sécurité de l’information
•   Portail du renseignement
•   Portail des États-Unis
•   Portail du monde chinois
•   Portail de Google
•   Portail des années 2010