Microsoft, avec le soutien de la National Security Agency (NSA), a révélé le 24 mai 2023 que Volt Typhoon, un groupe de pirates informatiques chinois parrainé par Pékin, aurait réussi à installer des logiciels malveillants dans des systèmes critiques sur l’île de Guam. Ce petit état insulaire appartenant aux États-Unis comprend l’une des bases militaires les plus importantes du pays.

Selon Microsoft, Volt Typhoon utiliserait des attaques LotL pour parvenir à ses fins

Comme le rapporte le Financial Times, Volt Typhoon aurait réussi en près de deux ans d’activité, à s’infiltrer dans les systèmes d’information et les infrastructures réseaux de plusieurs organisations. Pour y parvenir, ils réalisaient des attaques « Living off the Land » (LotL) consistant à s’appuyer sur des applications ou des processus régulièrement utilisés par leurs victimes afin de camoufler des activités d’hameçonnage.

Dans le cas de Volt Typhoon, les cyberassaillants auraient exploité les vulnérabilités d’une plateforme de cybersécurité populaire aux États-Unis : FortiGuard. En s’appuyant sur les ressources de cet outil, ils réussissaient à récupérer des identifiants afin de rester constamment connectés dans les systèmes piratés, et ainsi, subtiliser un maximum de données confidentielles.

Pour Microsoft, les actions de ce groupe de hackeurs se sont concentrées « sur la collecte de renseignement et sur l’espionnage étatique, plutôt que sur une perturbation immédiate des systèmes de communication ». Si Volt Typhoon réussit à s’étendre dans d’autres systèmes, l’entreprise estime que « les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises pourraient ne pas fonctionner ».

Les États-Unis s’activent pour rétablir la situation, la Chine nie tout en bloc

La Chine est souvent désignée comme l’acteur le plus actif dans le cyberespionnage, juste devant la Russie qui a intensifié ses attaques depuis le début de la guerre en Ukraine. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sans mettre directement Pékin en cause, explique dans son panorama de la cybermenace pour l’année 2022 que des groupes chinois n’hésitaient pas à mettre en place de nouveaux modes opératoires, plus complexes à débusquer et moins connu du grand public et des organisations.

Dans le cas présent, le ministère chinois des Affaires étrangères, Qin Gang, n’a pas hésité à riposter. Il a affirmé que les accusations de Microsoft « manquaient de preuve ». En parallèle, il a accusé les États-Unis d’être « l’empire des hackers ». Enfin, il a conclu en ajoutant que « la prétendue implication de certaines entreprises américaines montre que les États-Unis n’hésitent pas à faire circuler de fausses informations via leurs canaux de diffusion ».

De l’autre côté de l’océan Pacifique, Rob Joyce, directeur de la cybersécurité pour la NSA, a déclaré « qu’il était impératif de travailler au plus vite et avec toutes les parties prenantes dans le but d’évincer Volt Typhoon des systèmes critiques américains qu’il a réussi à infiltrer et d’éviter que cela ne puisse se reproduire à l’avenir ».