Le 4 mars, le ministère américain de la Justice a inculpé dix ressortissants chinois pour avoir mené des piratages massifs contre des agences gouvernementales, des médias et des dissidents aux États-Unis et dans le monde entier. Ils auraient agi pour le compte de l’entreprise chinoise i-Soon, sous contrat avec le gouvernement de Pékin. Deux fonctionnaires du ministère chinois de la Sécurité publique (MPS) ont également été inculpés, identifiés comme étant ceux qui “dirigent les attaques”.
Selon des documents détenus par le système judiciaire américain, les services de renseignement intérieur de la Chine (MPS) et les services de renseignement étrangers (Ministère de la Sécurité d’État, MSS) s’appuyaient sur un vaste réseau d’entreprises privées et de sous-traitants nationaux pour pirater et voler des informations, masquant ainsi l’implication directe du gouvernement chinois.
Dans certains cas, les MPS et MSS ont payé des hackers privés pour cibler des victimes spécifiques. Dans beaucoup d’autres, les attaques étaient spéculatives : des hackers ont identifié des ordinateurs vulnérables, les ont piratés et ont extrait des informations qui ont ensuite été vendues – soit directement, soit indirectement – au gouvernement chinois.
La croissance de la cyberespionnage chinois et ses principaux domaines d’opération
Ce n’est pas un cas isolé. Au cours de la dernière décennie, le programme de piratage de la République populaire de Chine (RPC) s’est rapidement développé. En 2023, l’ex-directeur du FBI Christopher Wray a déclaré qu’il était plus important que celui de toutes les autres puissances mondiales réunies. Cette augmentation de pouvoir et de sophistication a conduit à des succès dans trois domaines clés : l’ingérence politique, le sabotage des infrastructures critiques et le vol de propriété intellectuelle à grande échelle.
Pékin intègre les réseaux informatiques, la guerre électronique, des ressources économiques, diplomatiques, juridiques, militaires, de renseignement, psychologiques et de tromperie militaire, en plus des opérations de sécurité, pour affaiblir les États, les rendre économiquement dépendants de la Chine et plus réceptifs à un « nouvel ordre mondial autoritaire aux caractéristiques chinoises ».
Pour cette raison, contrairement aux interprétations traditionnelles, le piratage soutenu par l’État chinois doit être compris dans un contexte plus large — où le contrôle sur la technologie, l’infrastructure stratégique et les chaînes d’approvisionnement mondiales fait partie des opérations de guerre « trans-militaire » et « non-militaire », comme le décrivent deux colonels de l’Armée populaire de libération (APL) dans le livre de 1999 « Guerre illimitée ». Cette approche est connue sous le nom de guerre liminale — un conflit en escalade, dans lequel le spectre de la concurrence et de la confrontation avec l’Occident est si large que le champ de bataille se trouve, littéralement, partout.
Cyberespionnage comme un Outil de Guerre Électronique
Dans la guerre électronique, le piratage est utilisé pour le sabotage en temps de crise ou de conflit. Ces actions sont menées par l’Armée populaire de libération (APL), l’aile armée du Parti communiste chinois.
En 2023, il a été découvert qu’un groupe de hackers lié à l’APL, connu sous le nom de “Volt Typhoon”, avait infiltré une large gamme d’infrastructures critiques aux États-Unis pendant des années, y compris des ports, des usines et des stations de traitement d’eau — tant sur le continent que dans des lieux stratégiques comme Guam.
“Volt Typhoon est une opération militaire ayant des objectifs politiques et potentiellement militaires stratégiques”, a expliqué Ciaran Martin, ancien directeur de l’agence de cybersécurité du Royaume-Uni. Dirigée par l’unité cybernétique de l’APL, l’opération consistait à installer des capacités de préparation — que certains qualifient de « pièges numériques » — au sein des infrastructures critiques américaines.
En plus d’une attaque soutenue en 2023 contre une entreprise d’électricité dans le Massachusetts, visant à extraire des données sensibles sur son infrastructure technologique opérationnelle (OT), “Volt Typhoon” a gagné en notoriété pour plusieurs attaques contre des systèmes de télécommunications aux États-Unis et d’autres infrastructures critiques à l’échelle mondiale. L’une de ses sous-unités, “Voltzite”, a ciblé les départements d’électricité et d’eau de Littleton, incitant le FBI et la société de cybersécurité Dragos à réagir conjointement et à publier un rapport détaillé sur l’attaque et ses mesures d’atténuation.
Vol de propriété intellectuelle par le biais de la cyberespionnage
Le canal le plus dommageable pour le vol de propriété intellectuelle est le cyberespionnage. Ces intrusions permettent aux entreprises chinoises — parfois avec le soutien direct du Parti communiste ou de l’État — d’accéder à des informations sur les opérations, les projets et la technologie des entreprises étrangères.
La Chine a utilisé des campagnes de cyberespionnage soutenues par l’État et coordonnées pour voler des informations d’entreprises dans des secteurs stratégiques tels que le pétrole, l’énergie, l’acier et l’aviation. Ces actions servent à la fois à acquérir des sciences et des technologies et à recueillir des informations utiles pour de futures attaques contre des systèmes militaires, gouvernementaux ou techniques.
Aux États-Unis, il y a eu de nombreux précédents :
• En 2014, cinq hackers de l’APL ont été inculpés pour espionnage économique.
• En 2017, trois hackers liés à la firme chinoise Boyusec ont été accusés d’avoir volé des informations commerciales confidentielles.
• En 2018, deux ressortissants chinois ont été inculpés pour vol de propriété intellectuelle.
• En 2020, deux hackers connectés au MSS ont été accusés d’avoir ciblé des recherches sur le COVID-19.
Parmi ceux-ci, l’acte d’accusation de 2018 se distingue comme faisant partie d’un effort plus large des États-Unis pour sensibiliser à l’espionnage cybernétique chinois. À cette occasion, des hackers chinois ont mené une campagne connue sous le nom de “Cloud Hopper”, qui a impliqué une attaque de la chaîne d’approvisionnement sur des fournisseurs de services comme Hewlett Packard et IBM. Les accusés travaillaient pour Huaying Haitai et collaboraient avec le Bureau de la Sécurité d’État de Tianjin du MSS.
En 2017, la Commission américaine sur le vol de la propriété intellectuelle a estimé que de tels crimes coûtaient à l’économie américaine jusqu’à 600 milliards de dollars par an – un chiffre comparable au budget de défense du Pentagone et supérieur aux bénéfices combinés des 50 plus grandes entreprises du Fortune 500.
Au-delà des États-Unis : L’impact mondial de l’espionnage cybernétique chinois
En juin 2024, le renseignement militaire néerlandais (MIVD) a averti que l’espionnage cybernétique chinois était plus étendu que ce que l’on pensait auparavant, affectant les gouvernements occidentaux et les entreprises de défense. Une cyberattaque de 2023 contre le ministère néerlandais de la Défense aurait touché au moins 20 000 personnes en quelques mois.
En 2018, l’Agence nationale de cybersécurité et de sécurité de l’information de la République tchèque (NUKIB) a émis un avertissement concernant les risques liés à la Chine. Depuis lors, le pays a renforcé ses capacités et ses contrôles contre Pékin et a travaillé sur des mécanismes pour contrer la manipulation étrangère de l’information.
Selon les procureurs américains, des dizaines de parlementaires européens ont été ciblés par des attaques chinoises. En mars 2024, le ministère américain de la Justice a inculpé des hackers liés au MSS pour avoir attaqué “tous les membres de l’UE” de l’Alliance interparlementaire sur la Chine (IPAC), une coalition critique envers Pékin. En 2021, les hackers ont envoyé plus de mille courriels à environ 400 comptes liés à l’IPAC, tentant d’espionner leur activité sur Internet et leurs appareils.
De plus, ASML, le leader néerlandais de la lithographie des semi-conducteurs, subit “des milliers d’incidents de sécurité par an”, y compris plusieurs tentatives d’infiltration réussies par des acteurs chinois. Des centres de recherche comme Imec (Belgique) sont également des cibles fréquentes. La Belgique a expulsé des chercheurs chinois soupçonnés d’espionnage. L’Union européenne a renforcé la sécurité et identifié les semi-conducteurs avancés comme l’une des quatre technologies critiques nécessitant des évaluations des risques et une protection renforcée.
Il convient de noter qu’APT41 est l’un des groupes d’espionnage cybernétique chinois les plus actifs et sophistiqués, basé en RPC et lié au MSS. Selon le Groupe d’Intelligence des Menaces de Google, APT41 combine l’espionnage d’État avec des attaques par ransomware — des programmes malveillants qui encryptent des fichiers et exigent une rançon financière pour les restaurer — rendant l’attribution plus difficile.
Contrairement à d’autres groupes alignés sur le PLA dont les opérations sont spécifiques à une région, APT41 agit à l’échelle mondiale, attaquant des secteurs stratégiques aux États-Unis, en Europe, en Amérique latine et dans les Caraïbes. Il réalise également des opérations motivées financièrement, en particulier dans l’industrie du jeu. Mandiant, un leader mondial de la cybersécurité, souligne les capacités techniques d’APT41 : il exploite fréquemment des vulnérabilités de jour zéro et de jour n, et utilise des techniques telles que le phishing, l’ingénierie sociale et les injections SQL.
Depuis 2020, APT41 a mené des campagnes à grande échelle contre plus de 75 entreprises dans plus de 20 pays. Il est responsable de la compromission de chaînes d’approvisionnement, comme dans la campagne “ShadowHammer” ciblant ASUS, qui a affecté plus de 50 000 systèmes en 2018. APT41 est également lié à l’utilisation de logiciels malveillants “MESSAGETAP” dans les réseaux de télécommunications.
Le rôle des universités chinoises dans la cyberespionnage
Les universités chinoises collaborent également avec l’Armée populaire de libération (APL) et le Ministère de la Sécurité de l’État (MSS) dans des opérations de cyberespionnage sponsorisées par l’État. L’Université Jiaotong de Shanghai travaille directement avec l’armée chinoise sur de telles opérations. L’Université de Zhejiang et l’Institut de technologie de Harbin sont des centres clés pour le recrutement de hackers.
L’Université Xidian offre aux étudiants une expérience pratique dans les bureaux provinciaux du MSS et entretenait auparavant des liens avec le Troisième département de l’état-major général de l’APL avant sa réorganisation en 2015 en département des systèmes de réseau. Un de ses programmes de diplômés est co-dirigé avec le bureau du Guangdong du Centre d’évaluation de la sécurité des technologies de l’information de Chine (ITSEC), un bureau géré par le MSS qui dirige une équipe active de hackers sous contrat.
L’Université du Sud-Est maintient également des liens avec les services de sécurité et co-gère le « Laboratoire de la Montagne Pourpre » avec la Force de Soutien Stratégique de l’APL. Là-bas, des chercheurs collaborent sur des « exigences stratégiques critiques », des systèmes d’exploitation et des études interdisciplinaires en cybersécurité. L’université reçoit également des financements de l’APL et du MSS pour développer les capacités cybernétiques de la Chine.
Le programme de premier cycle en cybersécurité à l’Université Jiao Tong de Shanghai (SJTU) est dispensé dans une base d’ingénierie de l’information de l’APL. Dans le cadre de ce programme, SJTU affirme travailler sur « des tests et évaluations des systèmes de réseaux et d’informations, des tests de sécurité pour les réseaux intelligents connectés, des tests d’attaque et de défense APT, ainsi que sur des technologies clés pour les champs de cybersécurité ».
Les universités associées au MSS pour le recrutement de talents incluent l’Université de Science et Technologie de Chine, l’Université Jiao Tong de Shanghai, l’Université Jiao Tong de Xi’an, l’Institut de Technologie de Pékin, l’Université de Nankin et l’Institut de Technologie de Harbin.
