À peu près au moment où le FBI examinait l’équipement récupéré du ballon espion chinois abattu au large des côtes de la Caroline du Sud en février, les agences de renseignement américaines et Microsoft ont détecté ce qu’ils craignaient d’être un intrus plus inquiétant : un mystérieux code informatique apparaissant dans les systèmes de télécommunications à Guam. et ailleurs aux États-Unis.
Le code, qui, selon Microsoft, a été installé par un groupe de piratage du gouvernement chinois, a sonné l’alarme car Guam, avec ses ports du Pacifique et sa vaste base aérienne américaine, serait la pièce maîtresse de toute réponse militaire américaine à une invasion ou à un blocus de Taïwan. L’opération a été menée avec une grande furtivité, passant parfois par des routeurs domestiques et d’autres appareils grand public connectés à Internet, pour rendre l’intrusion plus difficile à suivre.
Le code s’appelle un “web shell”, dans ce cas un script malveillant qui permet l’accès à distance à un serveur. Les routeurs domestiques sont particulièrement vulnérables, en particulier les modèles plus anciens qui n’ont pas eu de logiciels et de protections mis à jour.
Contrairement au ballon qui fascinait les Américains en effectuant des pirouettes au-dessus de sites nucléaires sensibles, le code informatique ne pouvait pas être abattu en direct à la télévision. Au lieu de cela, Microsoft a publié mercredi les détails du code qui permettraient aux utilisateurs professionnels, aux fabricants et à d’autres de le détecter et de le supprimer. Dans un communiqué coordonné, la National Security Agency – ainsi que d’autres agences nationales et leurs homologues en Australie, en Grande-Bretagne, en Nouvelle-Zélande et au Canada – ont publié un avis de 24 pages faisant référence aux conclusions de Microsoft et proposant des avertissements plus larges concernant un “groupe d’activités récemment découvert”. ” de Chine.
Microsoft a appelé le groupe de piratage “Volt Typhoon” et a déclaré qu’il faisait partie d’un effort chinois parrainé par l’État visant non seulement les infrastructures critiques telles que les communications, les services publics d’électricité et de gaz, mais également les opérations et les transports maritimes. Les intrusions semblaient, pour l’instant, être une campagne d’espionnage. Mais les Chinois pourraient utiliser le code, qui est conçu pour percer les pare-feu, pour permettre des attaques destructrices, s’ils le souhaitent.
Jusqu’à présent, selon Microsoft, rien ne prouve que le groupe chinois ait utilisé l’accès pour des attaques offensives. Contrairement aux groupes russes, les pirates informatiques et militaires chinois donnent généralement la priorité à l’espionnage.
Lors d’entretiens, des responsables de l’administration ont déclaré qu’ils pensaient que le code faisait partie d’un vaste effort de collecte de renseignements chinois qui couvre le cyberespace, l’espace extra-atmosphérique et, comme les Américains l’ont découvert avec l’incident du ballon, la basse atmosphère.
L’administration Biden a refusé de discuter de ce que le FBI a découvert en examinant l’équipement récupéré du ballon. Mais l’engin – mieux décrit comme un énorme véhicule aérien – comprenait apparemment des radars spécialisés et des dispositifs d’interception des communications que le FBI examine depuis que le ballon a été abattu.
On ne sait pas si le silence du gouvernement sur sa découverte du ballon est motivé par le désir d’empêcher le gouvernement chinois de savoir ce que les États-Unis ont appris ou de surmonter la brèche diplomatique qui a suivi l’incursion.
Dimanche, lors d’une conférence de presse à Hiroshima, au Japon, le président Biden a évoqué la façon dont l’incident du ballon avait paralysé les échanges déjà glacials entre Washington et Pékin.
“Et puis ce ballon stupide qui transportait l’équivalent de deux wagons de marchandises d’équipement d’espionnage survolait les États-Unis”, a-t-il déclaré aux journalistes, “et il a été abattu, et tout a changé en termes de communication”.
Il a prédit que les relations « commenceraient à se dégeler très prochainement ».
La Chine n’a jamais reconnu avoir piraté les réseaux américains, même dans le plus grand exemple de tous : le vol des fichiers d’habilitation de sécurité d’environ 22 millions d’Américains – dont six millions d’empreintes digitales – du Bureau de la gestion du personnel sous l’administration Obama. Cette exfiltration de données a duré près d’un an et a abouti à un accord entre le président Barack Obama et le président Xi Jinping qui a entraîné une brève baisse de la cyberactivité malveillante chinoise.
Mercredi, la Chine a envoyé un avertissement à ses entreprises pour qu’elles soient vigilantes face au piratage américain. Et il y en a eu beaucoup aussi : dans des documents publiés par Edward Snowden, l’ancien sous-traitant de la NSA, il y avait des preuves d’efforts américains pour pirater les systèmes de Huawei, le géant chinois des télécommunications, et des cibles militaires et de direction.
Les réseaux de télécommunications sont des cibles clés pour les pirates, et le système de Guam est particulièrement important pour la Chine car les communications militaires se superposent souvent aux réseaux commerciaux.
Tom Burt, l’exécutif qui supervise l’unité de renseignement sur les menaces de Microsoft, a déclaré dans une interview que les analystes de l’entreprise – dont beaucoup étaient des vétérans de la National Security Agency et d’autres agences de renseignement – avaient trouvé le code “alors qu’ils enquêtaient sur une activité d’intrusion affectant un port américain”. En retraçant l’intrusion, ils ont trouvé d’autres réseaux touchés, “dont certains dans le secteur des télécommunications à Guam”.
Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cyber et les technologies émergentes, a déclaré que les efforts secrets “comme l’activité exposée aujourd’hui font partie de ce qui motive notre concentration sur la sécurité des réseaux de télécommunications et l’urgence d’utiliser des fournisseurs de confiance” dont l’équipement a rencontré établi normes de cybersécurité.
Mme Neuberger a été le fer de lance d’un effort à l’échelle du gouvernement fédéral pour faire appliquer de nouvelles normes de cybersécurité pour les infrastructures essentielles. Les responsables ont été surpris par l’étendue des vulnérabilités de ces infrastructures lorsqu’une attaque de ransomware russe contre Colonial Pipeline en 2021 a interrompu le flux d’essence, de diesel et de carburant d’avion sur la côte Est. À la suite de l’attaque, l’administration Biden a utilisé les pouvoirs peu connus de la Transportation Security Administration – qui réglemente les pipelines – pour forcer les services publics du secteur privé à suivre une série de mandats de cybersécurité.
Aujourd’hui, Mme Neuberger dirige ce qu’elle a appelé une « concentration sans relâche sur l’amélioration de la cybersécurité de nos pipelines, systèmes ferroviaires, systèmes d’approvisionnement en eau et autres services essentiels », y compris les mandats sur les pratiques de cybersécurité pour ces secteurs et une collaboration plus étroite avec des entreprises ayant une « visibilité unique ». » dans les menaces pesant sur ces infrastructures.
Ces entreprises comprennent Microsoft, Google, Amazon et de nombreuses entreprises de télécommunications qui peuvent voir l’activité sur les réseaux nationaux. Les agences de renseignement, y compris la NSA, sont interdites par la loi d’opérer à l’intérieur des États-Unis. Mais la NSA est autorisée à publier des avertissements, comme elle l’a fait mercredi, aux côtés du FBI et de la Cyber Infrastructure and Security Administration du Department of Homeland Security.
Le rapport de l’agence fait partie d’une décision relativement nouvelle du gouvernement américain de publier rapidement ces données dans l’espoir de brûler des opérations comme celle montée par le gouvernement chinois. Au cours des années passées, les États-Unis ont généralement retenu ces informations – parfois en les classant – et ne les ont partagées qu’avec quelques entreprises ou organisations sélectionnées. Mais cela a presque toujours assuré que les pirates pourraient rester bien en avance sur le gouvernement.
Dans ce cas, c’est l’accent mis sur Guam qui a particulièrement retenu l’attention des responsables qui évaluent les capacités de la Chine – et sa volonté – d’attaquer ou d’étouffer Taiwan. M. Xi a ordonné à l’Armée populaire de libération d’être capable de prendre l’île d’ici 2027. Mais le directeur de la CIA, William J. Burns, a fait remarquer au Congrès que l’ordre “ne signifie pas qu’il a décidé de mener une invasion”.
Dans les dizaines d’exercices sur table menés par les États-Unis ces dernières années pour déterminer à quoi pourrait ressembler une telle attaque, l’une des premières mesures prévues par la Chine serait de couper les communications américaines et de ralentir la capacité de réaction des États-Unis. Ainsi, les exercices envisagent des attaques sur les communications par satellite et au sol, en particulier autour des installations américaines où des moyens militaires seraient mobilisés.
Aucune n’est plus grande que Guam, où la base aérienne d’Andersen serait le point de lancement de nombreuses missions de l’armée de l’air pour aider à défendre l’île, et un port de la marine est crucial pour les sous-marins américains.