Les experts de Mandiant, entreprise de cybersécurité récemment rachetée par Google, ont publié un rapport le 8 mars dévoilant une cyberattaque chinoise contre plusieurs États américains. Le groupe APT41, pour Advanced Persistent Threat 41, accusé d’être derrière l’opération, traîne une solide réputation de nuisance derrière lui. Il est aussi soupçonné d’être piloté par Pékin.

Les capacités d’APT41 impressionnent

Entre mai 2021 et février 2022, au moins six États américains ont été affectés. Les pirates ont exploité une faille 0-day, c’est-à-dire inconnue auparavant, d’une application utilisée pour contrôler la santé des animaux, USA Herds. Développée par la Pennsylvanie, elle est utilisée par 18 États américains au total, d’où un « au moins » prudent de Mandiant.

Les pirates sont aussi passés par la faille Log4J pour atteindre deux des États touchés. Log4J est un logiciel en open source très répandu. Mandiant avait dévoilé la faille en décembre en avertissant du risque qu’elle représentait. Selon la société, quelques heures après avoir été révélées APT41 s’en saisissaient pour leurs opérations.

Le talent d’adaptation d’APT41, sa capacité à découvrir et exploiter des failles ignorées des spécialistes démontrent, selon le rapport de Mandiant, que « APT41 peut rapidement adapter ses techniques d'accès initiales en compromettant à nouveau un environnement par le biais d'un vecteur différent, ou en rendant rapidement opérationnelle une nouvelle vulnérabilité ».

L’entreprise de cybersécurité reste prudente quant aux objectifs des pirates. Elle note toutefois qu'ils ont téléchargé des informations personnelles, indiquant une opération d’espionnage. Une possibilité cohérente avec les activités passées du groupe, qui oscillent entre opérations cybercriminelles et activités d’espionnage.

APT41 est déjà bien connu des autorités américaines puisqu’il figure sur la liste des cybermenaces du FBI. Finance, santé, immobilier, jeu vidéo, entreprise technologique, réseau social, université, industrie de défense… « Nous les avons trouvés partout, et c'est déconcertant », a indiqué Geoff Ackerman, principal analyste des menaces chez Mandiant, au Wall Street Journal.

Extrêmement prolifique, APT41 a été inculpé par le département de la justice américaine en 2020. Cinq citoyens chinois, soupçonnés d’en faire partie, ont été accusés du piratage de plus d’une centaine d’entreprises aux États-Unis et dans le monde.

Pékin accusé d’être à la manœuvre

Les procureurs généraux en charge de l’enquête n’ont pas directement accusé Pékin de piloter APT41, mais un faisceau d’indices laisse planer un doute insistant. L’appât du gain semble secondaire pour le groupe vis-à-vis de l’espionnage. Son intérêt pour des politiciens pro-démocratie, des activistes à Hong Kong, a tendance à suivre de près les préoccupations de la Chine.

L’un des pirates identifiés comme membre d’APT41 se serait même vanté d’être affilié au ministère de la Sécurité d’État chinois. Interrogée à propos de ces soupçons par le Wall Street Journal, l’ambassade de Chine à Washington a écarté des « accusations sans fondement ».

Des dénégations peu convaincantes pour la communauté du renseignement américain. Le 8 mars, jour de la publication du rapport du Mandiant, elle a présenté au Congrès son évaluation de la menace annuelle. Il y est écrit, « Nous estimons que la Chine représente la menace de cyberespionnage la plus large, la plus active et la plus persistante pour les réseaux du gouvernement et du secteur privé des États-Unis ».