Unité 61398
L'unité 61398 (chinois : 61398部队) de l'Armée populaire de libération, basée à Shanghai, est chargée de conduire des opérations militaires dans le domaine des réseaux informatiques.
61398部队 | |
Drapeau de l'APL | |
Création | 2004 (Est.) |
---|---|
Pays | Chine |
Allégeance | Armée populaire de libération |
Rôle | Espionnage |
Effectif | 2 000 (Est.) |
Fait partie de | 3e département de l'état-major général de l'armée chinoise |
modifier |
Dans un rapport publié le 18 février 2013, la société de sécurité informatique Mandiant accuse cette unité de l'armée chinoise d'être à l'origine depuis 2006 d'une vaste opération de cyber-espionnage principalement contre des entreprises et organisations anglo-saxonnes[1],[2]. Le gouvernement chinois a immédiatement nié être à l'origine de ces cyberattaques[3].
Présentation
modifierLe 3e département de l'état-major général de l'armée chinoise, dont les effectifs sont estimés à 130 000 personnes[4] a notamment des activités similaires à celle de la National Security Agency (NSA) américaine[5].
Au sein de ce 3e Département, l'unité 61398 (aussi appelée 2e bureau), qui n'a pas d'existence officielle dans l'organigramme de l'armée chinoise[6], est notamment chargée d'activités de renseignement sur les questions politiques, économiques et militaires[7]. Cette unité se focaliserait sur les États-Unis et le Canada, alors que l'unité 61046 (aussi appelée 8e bureau) serait spécialisée sur l'Europe[8],[9].
La date de création exacte de cette unité demeure inconnue, cependant elle recrutait de jeunes diplômés en informatique de l'Université de Zhejiang dès 2004[10],[11].
Début 2007, la construction d'un immeuble dédié à cette unité a commencé, dans le district de Pudong à Shanghai[12]. En 2009, cette unité a bénéficié, au nom de la « raison d'État », du soutien de l'opérateur d'État China Telecom pour construire son architecture réseau en fibre optique[13]. L'immeuble est situé au 208 Datong Road, occupe douze étages et 12 138 m2[14].
En 2013, l'effectif de cette unité est estimée à 2 000 personnes[15].
Soupçons récurrents de cyber-espionnage 2002-2012
modifierDepuis des années, les experts en sécurité informatique ont mis en garde les États et les entreprises contre la hausse des tentatives de cyber-attaques en provenance de Chine[16], mais sans le démontrer – publiquement – de manière probante.
Deux groupes de cyber-espions, le Comment Crew et l'Elderwood Group, qui auraient tous les deux participé à l'Opération Aurora, sont néanmoins régulièrement soupçonnés d'être liés à la Chine[17],[18].
Le groupe Comment Crew, en particulier, serait basé à Shanghai et lié à l'Armée Chinoise[17] :
- la société américaine de cyber-sécurité Fireye attribue à ce groupe plus d'un millier de cyber-attaques entre 2002 et 2012 ;
- ce groupe serait à l'origine des cyber-attaques contre de nombreuses sociétés comme RSA Security, DuPont ou British American Tobacco ;
- ce groupe s'intéresse aussi à des hommes politiques de premier plan : il serait à l'origine du vol en moins de 14 minutes de la messagerie électronique du président de la Commission européenne en juillet 2012, durant les négociations sur la crise économique grecque ;
- il est aussi identifié sous le nom de Shanghai Group ou de Byzantine Candor (ce dernier nom est évoqué dans un câble diplomatique américain de 2008 dévoilé par Wikileaks).
Accusations directes de cyber-espionnage en 2013
modifierRapport APT1 de la société Mandiant publié en février 2013
modifierLa société privée américaine de sécurité informatique Mandiant a été fondée en 2004 par Kevin Mandia, qui était précédemment enquêteur en cybercriminalité au sein de l'US Air Force[19].
Depuis sa création, cette société a enquêté sur les failles de sécurité informatique de centaines d'organisations à travers le monde[20]. En 2006, elle a identifié une équipe de hackers réalisant du cyber-espionnage qu'elle a appelée APT1 (Mandiant a identifié en tout plus d'une vingtaine de groupes similaires, dont les attaques proviennent de Chine[20]). Et à ce jour, en 2013, ce groupe APT1 est, selon ses observations, l'un des groupes de cyber-espions les plus prolifiques en termes de quantité d'informations volées[20].
En raison de l'ampleur des cyber-attaques, la quantité de données sensibles volées et leurs impacts, la société a publié, le 18 février 2013, un rapport sur les activités de ce groupe APT1[20] (aussi dénommé Comment Crew ou Shanghai Group[21]). À noter que l'ensemble des informations publiées sont soit issues de leurs observations directes durant les 7 dernières années, soit d'informations librement accessibles sur internet[20].
Après la publication du rapport, celui-ci a été diffusé sous forme de spam par des hackers, infecté par des virus[22].
Groupe de cyber-espions Shanghai Group
modifierSelon la société Mandiant, le groupe de cyber-espions APT1 a systématiquement volé, depuis 2006, des volumes très importants de données dans au moins 141 organisations, et a démontré sa capacité à espionner des dizaines d'organisations simultanément :
- cette opération aurait permis de dérober des quantités très importantes (plusieurs centaines de téraoctets[23]) d'informations sensibles en s’infiltrant dans des réseaux informatiques ;
- les informations volées couvrent un large spectre de données sensibles en termes de stratégie (mémos internes, agendas, comptes-rendus), développements de produits (technologie, conception de systèmes, manuels, résultats de tests), processus industriels (standards, procédures propriétaires), informations commerciales (business plans, négociations contractuelles, grille tarifaire), opérations de croissance externe (fusions/acquisitions) ou de partenariat, contenu des messageries électroniques des dirigeants, ainsi que les identifiants et mots de passe[24] ;
- le groupe réussit à maintenir des accès aux réseaux informatiques des entreprises pour une durée moyenne d'un an (356 jours). Dans un cas, le groupe a réussi à maintenir ses accès au réseau interne de l'entreprise durant 1 764 jours, soit quatre ans et dix mois[25].
Selon le même rapport de la société Mandiant, le groupe de cyber-espions APT1 se concentre sur des organisations anglophones :
- parmi les 141 victimes d'APT1, 87 % d'entre elles ont leur siège social dans des pays où l'anglais est la langue maternelle ;
- les entreprises ou organisations gouvernementales victimes sont essentiellement situées aux États-Unis, au Canada et en Grande-Bretagne, dans 20 secteurs d'activité différents[26]. Une seule entreprise française a été recensée.
La société complète son rapport en précisant que ce groupe APT1 maintient une vaste infrastructure de systèmes informatiques dans le monde entier :
- au cours des deux dernières années, la société a observé le groupe APT1 établir presque un millier de serveurs de commandement et de contrôle (C2), hébergé sur des adresses IP distinctes dans 13 pays. La majorité de ces 849 adresses IP uniques a été enregistrée en Chine (709), suivie des États-Unis (109). De plus, dans 97 % des cas recensés, les hackers se sont connectés sur ces serveurs de commandement et contrôle depuis des adresses IP localisables dans la région de Shanghai en Chine[27] ;
- sur la même période, la société a identifié 2 551 noms de domaine internet complets attribués à APT1[27]. À noter que la société Mandiant a publié la liste de ces noms de domaine sur son site internet.
Shanghai Group serait l'unité 61398
modifierSelon la société Mandiant, l'hypothèse la plus probable est que le groupe de cyber-espions appelé APT1 ou Shanghai Group est l'Unité 61398 de l'Armée Chinoise[28] :
- de par l'envergure de ces opérations de cyber-espionnage, seul un État est capable de mobiliser autant de moyens financiers, humains et matériels sur une aussi longue période ;
- les compétences techniques et linguistiques requises pour mener à bien ces missions sont similaires aux compétences recrutées par le 3e département de l'état-major général de l'armée chinoise, et en particulier l'Unité 61398 (qui serait spécialisée sur les États-Unis et le Canada) ;
- les schémas tactiques, méthodes et procédures sont appliquées avec rigueur par les cyber-espions, comme le feraient des militaires : Mandiant n'a identifié aucune destruction de données ou escroquerie financière dans les organisations victimes, ce qui contraste nettement les hackers ou le crime organisé ;
- l'analyse des secteurs d'activités des 141 organisations espionnées démontre une nette corrélation avec les objectifs stratégiques du douzième plan quinquennal Chinois (2011-2015) en termes de secteurs économiques à développer ;
- la majeure partie des informations recueillies (adresses IP, coordonnées utilisées, localisation de certains cyber-espions, systèmes développés et utilisés en chinois) durant ces 7 années converge vers la même localisation, c'est-à-dire Shanghai.
Partie immergée de l'iceberg du cyber-espionnage économique chinois
modifierPlusieurs pays sont réputés disposer de capacités de cyber-espionnage : en premier lieu, les États-Unis, mais aussi la Russie, Israël ou la France[29]. Néanmoins, de par le volume considérable de données sensibles volées et le nombre d'organisations victimes recensées, l'unité 61398 pourrait n'être que la "partie émergée de l'iceberg" d'une des plus vastes opérations d'espionnage économique et industrielle de l'histoire[3].
Accusations réfutées par les autorités chinoises
modifierLe gouvernement Chinois a vigoureusement réfuté être à l'origine de ces activités de cyber-espionnage :
- le jour même de la publication du rapport par la société, le 18 février 2013, le ministère chinois des Affaires étrangères a déclaré que les allégations étaient « irresponsables et non professionnelles » et a rappelé que « la Chine s'oppose fermement aux actions de piratage et a établi des lois et règlements et pris des mesures policières strictes pour se défendre contre les activités de piratage en ligne[30] » ;
- le 20 février 2013, le ministère chinois de la Défense nationale a indiqué que les allégations portées par la société sont « dans les faits, sans fondement[31] ».
Néanmoins le gouvernement chinois n'a pas démenti l'existence de cette unité, tandis que les photos et vidéos du building censé être son quartier général ont été reprises par de nombreux médias[32].
Notes et références
modifier- (en) John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne
- Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
- (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, (consulté le )
- « Rapport "Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage" préparé pour la Commission de sécurité Chine/USA du congrès Américain », sur uscc.gov, , p. 47
- « Rapport Mandiant APT1 », , p. 8
- « Rapport Mandiant APT1 », , p. 9
- (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », , p. 8
- Ursula Gauthier, « L'unité 61046 qui espionne l'Europe », L'Obs, no 2613, , p. 41 (ISSN 0029-4713)
- (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », , p. 10
- (en) « PLA Unit 61398 Recruitment Notice Found », China Digital Times, (consulté le ), p. 10
- (en) « Internet Sleuths Add Evidence to Chinese Military Hacking Accusations », New York Times,
- « Rapport Mandiant APT1 », , p. 3
- « Rapport Mandiant APT1 », , p. 19 Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l'Unité 61398 du 3e département de l'état-major général et à la construction d'un réseau pour la Défense nationale
- Sébastian SEIBT, « L’Unité 61398, nid de cyber-espions chinois ? », sur france24.com, (consulté le )
- « Rapport Mandiant APT1 », , p. 11 La société a estimé le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
- (en) « Chinese army hackers are the tip of the cyberwarfare iceberg », The Guardian, (consulté le )
- (en) « Hackers Linked to China’s Army Seen From EU to D.C », Bloomberg.com, (consulté le )
- Mark Clayton, « Stealing US business secrets: Experts ID two huge cyber 'gangs' in China », CSMonitor, (consulté le )
- (en) « Mandiant Corp Goes Viral After China Hacking Report », Arab Times, (consulté le )
- « Rapport Mandiant APT1 », , p. 2
- « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », New York Times,
- Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février [2013 à lire en ligne
- « Rapport Mandiant APT1 », , p. 20
- « Rapport Mandiant APT1 », , p. 25
- « Rapport Mandiant APT1 », , p. 21
- « L’Unité 61398, nid de cyber-espions chinois ? », France 24, (consulté le )
- « Rapport Mandiant APT1 », , p. 4
- « Rapport Mandiant APT1 », , p. 59 et 60
- « U.S. said to be target of massive cyber-espionage campaign », Washington Post, (consulté le )
- (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, (consulté le )
- (en) « China Says Army Is Not Behind Attacks in Report », The New York Times, (consulté le )
- (en) « Reuters - Unity 61398 », Reuters, (consulté le )
Voir aussi
modifierSources et bibliographie
modifier- (en) APT1 - Exposing One of China’s Cyber Espionage Units, États-Unis, Société privée Américaine de sécurité informatique Mandiant, , 74 (hors annexes) (lire en ligne)
Unités similaires
modifier- Équipe Tailored Access Operations de la NSA
- Bureau 121 de l'armée populaire de Corée
Articles connexes
modifier- Advanced Persistent Threat (APT)
- Cyberattaque
- Cyberdéfense
- Cyberguerre
- Espionnage industriel
- Guerre électronique
- Guerre de l'information
- Risques en sécurité informatique
Liens externes
modifier