C’est une première. La France, par la voix du directeur de l’Anssi, vient d’attribuer à la Chine une cyberattaque massive en cours. Une attribution qui reste subtile car jamais le nom du pays n’est énoncé, mais uniquement le groupe de hackers qui lui est affilié.

« APT31 - parce que, malheureusement, il y a encore plus grave que les bourricots ailés et leurs avatars... » Voici le message publié mercredi 21 juillet par Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi), sur son compte LinkedIn. Une petite phrase qui fait à la fois référence à l'actuelle affaire PegasusPegasus  (Pégase, le cheval ailé de la mythologie grecque) et à la signature d'un groupe de pirates appelé ATP31, lequel est lié au gouvernement chinois. Autrement dit, et c'est une première, sans prononcer le nom du pays, la France vient d'attribuer à la Chine une cyberattaque à son encontre. Si elle fera certainement beaucoup moins de bruit, cette affaire est considérée par le directeur de l'Anssi, comme étant plus grave que celle de l'espionnage de journalistes, activistes et chefs d'États par le logiciel Pegasus.

Cette affaire est considérée (…) comme étant plus grave que celle de l’espionnage de journalistes, activistes et chefs d’États par le logiciel Pegasus

APT31, c'est sous cette nomenclature que le spécialiste de la cybersécurité FireEye a classé un groupe de hackers qui est régulièrement identifié en raison de son mode opératoire. APT -- pour Advanced Persistent Threat, en français, menaces persistantes avancées -- signifie qu'il s'agit de groupes généralement très bien organisés, capables de manœuvres sophistiquées s'étendant parfois sur plusieurs mois ou plusieurs années.

Ces groupes utilisent souvent les mêmes méthodes et leur durabilitédurabilité dans le temps signifie qu'ils sont financés, soutenus ou pilotés par des États. Or, cet ATP31 est clairement identifié comme affilié à Pékin. Le groupe est un habitué de la récolte de renseignements pour le compte des entreprises publiques et du gouvernement chinois. Pour mener leurs campagnes, les pirates exploitent généralement des malwaresmalwares connus sous le nom de Sogu, Luckybird, Slowgyro, ou encore Duckfat.

FireEye liste les groupes de pirates persistants et à la solde d’un État. Parmi ces APT, beaucoup proviennent de Chine. © FireEye
FireEye liste les groupes de pirates persistants et à la solde d’un État. Parmi ces APT, beaucoup proviennent de Chine. © FireEye

Une attribution sans prononcer le nom du coupable

En annonçant cette attribution, la France affirme être certaine d'une cyberattaque provenant de l'État chinois. Attribuer une cyberattaque est périlleux et risqué diplomatiquement, car il est difficile d'être à 100 % certain de sa provenance. C'est pour cette raison que très peu d'États se risquent à l'exercice de l'attribution.

Le directeur de l'agence livre un lien vers le site du Cert, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, qui donne un peu plus de précisions sur la cyberattaque. Particulièrement virulente, celle-ci serait en cours et toucherait de nombreuses entités françaises par le truchement d'une vaste campagne de compromission. Les hackers auraient déjà exploité des failles de routeurs pour assurer leur anonymisation et aller plus loin dans leur opération. En attendant d'en savoir plus, il semble que la posture de la France en matièrematière d'attribution soit en train d'évoluer, même si le chef de l'État ne pointe pas directement du doigt Pékin comme responsable de l'attaque. Pour l'instant, la France reste encore assez loin de la méthode frontale américaine qui consiste à nommer directement les pays prétendument commanditaires d'une attaque. Il s'agit dans presque tous les cas de la Chine et de la Russie.