Écrit par Suman Srinivasan, La Grande Époque

NEW YORK – Un groupe de recherche canadien a publié un rapport le 29 mars 2009 confirmant les craintes entretenues depuis des années par les communautés dissidentes chinoises. Il a découvert un vaste réseau inégalé d’espionnage informatique capable de capter des données spécifiques et de les envoyer à des serveurs basés en Chine.

L’enquête a été réalisée par le Information Warfare Monitor, un institut de recherche public-privé regroupant des spécialistes de deux organisations canadiennes : le SecDev Group, un centre de réflexion d’Ottawa, et le Citizen Lab de l’Université de Toronto.

Leur rapport de 53 pages, intitulé Tracking ‘GhostNet’: Investigating a Cyber Espionage Network (À la poursuite de «GhostNet» : enquête sur un réseau d’espionnage cybernétique), documente leurs découvertes concernant un réseau d’espionnage informatique international qui fonctionne en trafiquant des courriels pour infecter les ordinateurs ciblés, les contrôler et ensuite expédier vers des serveurs (la plupart basés en Chine) l’information subtilisée.

Le groupe de recherche indique que son enquête a commencé lorsqu’il a vérifié les ordinateurs de centres d’exilés tibétains à Dharamsala, en Inde, pour trouver de possibles brèches. Le travail qu'ils ont effectué leur «ont permis de découvrir des interfaces web non sécurisées qui contrôlent l'accès de quatre serveurs web». Cela permettait aux attaquants de prendre le contrôle des machines compromises.

En parcourant ces serveurs, ils ont trouvé un vaste réseau d’ordinateurs compromis partout dans le monde. Le rapport note «au moins 1295 ordinateurs infectés dans 103 pays».

Fait intéressant, un nombre élevé de ces ordinateurs compromis était des cibles importantes : près de 30 % des ordinateurs appartiennent aux «ministères des Affaires étrangères de l’Iran, du Bangladesh, de la Lettonie, de l’Indonésie, des Philippines, du Brunei, de la Barbade et du Bhoutan; des ambassades de l’Inde, de la Corée du Sud, de l’Indonésie, de la Roumanie, de Chypre, de Malte, de la Thaïlande, de Taiwan, du Portugal, de l’Allemagne et du Pakistan; du secrétariat de l’ASEAN (Association des nations de l’Asie du Sud-Est), du ASACR (Association sud-asiatique pour la coopération régionale) et du BAD (Banque asiatique de développement); d’organisations médiatiques et d’un ordinateur sans classification situé au quartier général de l’OTAN».

Les chercheurs ont trouvé que GhostNet se répand en infectant les ordinateurs avec un cheval de Troie, appelé «gh0st RAT», permettant aux pirates informatiques de prendre complètement le contrôle des systèmes infectés – incluant chercher et télécharger des fichiers spécifiques – et d’utiliser clandestinement les périphériques, comme le microphone et les webcams».

De telles manœuvres permettent même aux espions de voir et d’écouter ce qui se passe à proximité des ordinateurs compromis.

Les chevaux de Troie sont des logiciels malveillants cachés, ce qui les rend difficiles à détecter même pour des logiciels anti-virus et anti-nuisibles commerciaux. «Seuls 11 sur les 34 logiciels anti-virus fournis par Virus Total ont reconnu le code nuisible caché dans un document. Les attaquants utilisent souvent des compacteurs de logiciels pour cacher leur code malicieux et pour éviter la détection des logiciels anti-virus», expliquait le rapport.

Les espions utilisent des «méthodes sociales» pour répandre le cheval de Troie. Par exemple, «des courriels pertinents et contextuels sont envoyés à des cibles spécifiques» et ces courriels, une fois ouverts, installent le cheval de Troie sur l’ordinateur de la victime qui ne se doute de rien.

Ciblage des dissidents chinois

La découverte du réseau international d’espionnage est la dernière d’une série d’attaques cybernétiques majeures ayant été orchestrées en Chine communiste. En 2003, le Pentagone et de nombreuses compagnies de défense ont subi une attaque grave à laquelle on a donné le nom de Titan Rain. Depuis, les attaques du genre n’ont jamais cessé.

Ce genre d’attaques venant de Chine a également ciblé des organisations non gouvernementales et des groupes chinois dissidents. Le rapport mentionne que ces attaques ont ciblé des «organisations œuvrant sur la question du Darfour au Soudan, les groupes tibétains actifs en Inde et le Falun Gong».

Le Citizen Lab avait déjà été impliqué dans d’autres études sur l’espionnage informatique de la Chine. En octobre 2008, le groupe a publié un rapport intitulé Breaching Trust (Confiance brisée) au sujet de la surveillance du logiciel de clavardage et de téléphonie Internet TOM-Skype en Chine. Le Citizen Lab a également créé «psiphon», qui permet de contourner la censure dans des pays où Internet est sous surveillance.