Le mercredi 21 juillet, le patron de l’Anssi (Agence nationale de la sécurité des systèmes d’information) a pris la parole pour alerter sur : « une vaste campagne de compromission touchant de nombreuses entités françaises ». Si les cibles n’ont pas été précisées, cette cyberattaque menée par APT31, un groupe de hackers traditionnellement affilié à l’État chinois, est toujours en cours et vise exclusivement la France.

Les hackers d’APT31 s’en prennent à la France

La France serait donc dans le viseur du groupe de hackers APT31. C’est en tout cas ce que pensent les experts en cybersécurité de l’Anssi qui affirment avoir reconnu le mode de fonctionnement des cybercriminels. Il est très rare que les autorités françaises dénoncent publiquement une cyberattaque toujours en cours. Contrairement aux États-Unis, la France accuse très rarement un État de cette manière. Par cette déclaration, le patron de l’Anssi espère pouvoir faire remonter d’autres incidents qui auraient un lien avec cette campagne à cette adresse : cert-fr.cossi@ssi.gouv.fr.

Sur le site du CERT (Computer Emergency Response Team), Guillaume Poupard, directeur général de l’Anssi, détaille le mode opératoire utilisé par les hackers d’APT31. Il explique que : « les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection ».

La Chine continue de financer plusieurs groupes de cybercriminels

Dans le communiqué de presse publié par l’Anssi, on peut lire que : « cette campagne est particulièrement virulente. Généralement, le groupe APT31 (pour Advanced Persistent Threat) opère depuis la Chine et avec le soutien financier de l’État, pour récupérer des informations secrètes ou du vol de propriété intellectuelle. Les autorités continuent d’enquêter pour découvrir si les actions des hackers ont abouti à de réelles compromissions. L’Anssi en profite pour rappeler que : « l’intrusion dans un système d’information est une infraction pénale et pourra mettre en relation toute entité visée dans le cadre de cette campagne avec les services judiciaires compétents ».

Récemment, l’Union européenne, l’OTAN et les États-Unis ont également accusé la Chine d’être à l’origine de l’attaque sur Microsoft Exchange. C’est le groupe Hafnium qui avait mis à mal la sécurité de plusieurs milliers de serveurs de Microsoft. Il ne s’agit pas du même groupe, mais il est aussi soutenu par l’État chinois. Une enquête commune a permis de conclure avec certitude que le groupe Hafnium a bien été rémunéré par le gouvernement chinois, et notamment par le Ministère de la Sécurité de l’État (MSS).