Plus de 500 documents appartenant à une société travaillant pour le gouvernement chinois ont été rendus publics, montrant comment les services de renseignement chinois ont recours à des sous-traitants pour mener des cyberattaques contre des gouvernements ou entreprises étrangères.
Près de 570 fichiers, images, historiques de conversation et contrats appartenant à la société chinoise ISoon (Shanghai Anxun Xinxi), installée à Shanghai, ont été divulgués et rendus publics sur le réseau américain GitHub.
Des données non authentifiées
L’authenticité de ces informations reste à confirmer par des experts en cybersécurité. Il s’agirait de la plus importante fuite de données témoignant de pratiques de piratage à grande échelle menées par le gouvernement chinois.
« Il est rare que nous ayons un accès aussi libre au fonctionnement interne d’une opération de renseignement », a déclaré à l’Agence France Presse John Hultquist, analyste chez Mandiant, société de cybersécurité appartenant à Google. « Nous avons toutes les raisons de penser qu’il s’agit de données authentiques d’un sous-traitant, qui soutient des opérations de cyberespionnage nationales et internationales depuis la Chine », a indiqué ce dernier.
Le Washington Post, qui a révélé cette affaire et analysé les documents, atteste que la société ISoon fournit des services de piratage et de collecte de données au gouvernement chinois, aux groupes de sécurité et aux entreprises publiques.
Selon le quotidien américain, ISoon fait partie d’un réseau de sous-traitants établi depuis plus de 20 ans, et compte parmi ses clients le ministère de la Sécurité publique, de la Sécurité d’État et l’armée chinoise.
La société aurait notamment travaillé avec les hackers chinois d’APT41, accusés en 2020 par le ministère américain de la Justice d’avoir ciblé plus de 100 sociétés de jeux vidéo et universités à travers le monde.
Parmi les fichiers fuités, il y a des historiques de conversation entre employés, mais aussi des listes de cibles et de matériel décrivant des outils utilisés pour les cyberattaques. Ces cibles comprendraient 20 gouvernements et territoires étrangers, principalement en Asie, comme l’Inde, Hong Kong, la Thaïlande, la Corée du Sud et la Malaisie.
La société aurait également visé le Royaume-Uni, le Nigeria ou même l’OTAN. Certains fichiers démontrent aussi la surveillance d’activités de minorités ethniques en Chine, comme les Ouïghours et les Tibétains.
En outre, l’analyse des documents aurait démontré que la Chine aurait obtenu d’ISoon 459 gigaoctets de données cartographiques de Taïwan. Les relations diplomatiques entre la Chine et Taïwan se sont tendues ces dernières années, avec les dirigeants membres du Parti Démocrate et Progressiste, fervent autonomiste, alors que la Chine considère que le territoire lui appartient.
Selon le Washington Post, ISoon aurait signé des centaines d’accords avec la police chinoise, de petits travaux évalués à 1400 dollars, à des contrats pluriannuels coûtant jusqu’à 800 000 dollars.
Certains documents mettraient en avant la manière dont la société veut nuire aux géants de la tech. « Dans la guerre de l’information, voler des informations ennemies et détruire les systèmes d’information ennemis sont devenus la clé pour vaincre l’ennemi », est-il indiqué dans un document de présentation d’un produit à vendre.
Ce produit permettrait de contrôler les comptes Microsoft Outlook et Hotmail, en échappant aux protocoles d’authentification. D’autres fichier proposent des services « d’accès à distance » pour obtenir les données d’un appareil iOS, dans le but de mener des campagnes de phishing contre des utilisateurs de X (ex-Twitter) ou pour contrôler des systèmes d’exploitation Mac et Windows.
Le source de la fuite inconnue
Selon le Washington Post, « des sociétés rivales se disputent des contrats gouvernementaux lucratifs en promettant un accès toujours plus dévastateur et complet à des informations sensibles jugées utiles par la police et l’armée chinoises, et les agences de renseignement ». Cela signifierait que la fuite pourrait venir du piratage d’une entreprise concurrente, mais les répercussions politiques sont trop importantes pour que ces sociétés prennent le risque de s’attirer les foudres du gouvernement.
Or sur le réseau américain GitHub, l’auteur de la fuite se présente comme un lanceur d’alerte révélant des fautes professionnelles, de mauvaises conditions de travail et des produits « de mauvaise qualité ».
Selon le quotidien américain, les fichiers découverts contiennent des plaintes de salariés sur leur rémunération et leur charge de travail. Pour certains experts, cette fuite pourrait venir d’un ancien employé mécontent.
La police chinoise a décidé d’ouvrir une enquête pour connaître l’origine de la fuite de fichiers. Cette fuite de données pourrait compromettre les relations entre la société de piratage et le gouvernement chinois.
