Dans le monde feutré de la cybersécurité, on les appelle APT, pour Advanced Persistant Threat –«menace persistante avancée». Ces groupes de pirates informatiques sont le plus souvent (même si ce n'est pas systématique) puissamment armés et financés par des États. Forts de leur arsenal, ils mènent une autre cyberguerre, loin des bruyantes prises d'otages au rançongiciel qui désormais touchent chaque semaine des villes américaines.
Contrairement aux personnes ou groupes qui volent des données ou cambriolent des places boursières de Bitcoin et qui piratent dans le but de s'enrichir (ou d'enrichir leur autocratie), les APT mènent une guerre lente.
Stratégie à long terme
Patiemment, mois après mois, ces groupes s'infiltrent sans effraction dans les réseaux des industries stratégiques (énergie, transport, finance, santé) afin d'y installer des portes dérobées. Une manière d'observer sans être vu, de recueillir des informations et de consolider des accès stratégiques.
Pékin et Moscou excellent à ce petit jeu. En 2018, le New York Times révélait qu'une partie du réseau d'électricité américain était infiltré par Dragonfly 2.0, un groupe affilié au Kremlin. Les pirates, selon la firme de cybersécurité Symantec, étaient virtuellement «assis sur les machines», le black-out au bout du doigt.
Les outils et les modes opératoires utilisés par les groupes qui se rendent coupables de crimes et ceux qui pratiquent l'espionnage sont habituellement très distincts. Exception faite de Pékin, qui pilote désormais des entités hybrides –sans vraiment le savoir.
Espionnage diurne, cybercrime nocturne
Début août, l'entreprise FireEye, qui se spécialise dans la détection et l'analyse des cybermenaces, a publié un rapport fascinant sur APT41, un groupe de pirates affilié à Pékin et baptisé «Double Dragon» par la firme.
Actif depuis 2014, il mène des opérations criminelles conjointement à des opérations d'espionnage, en puisant dans les mêmes ressources de malwares et en profitant de failles de sécurité inédites (que l'on appelle «zero-day» et qui offrent à qui les découvre un avantage précieux pour compromettre des réseaux). Là où le bât blesse, c'est que ce groupe n'intente pas toutes ces actions uniquement dans le cadre de ses missions officielles.
Pendant leurs horaires de bureau, les hackers auraient pénétré des secteurs aussi variés que l'industrie du jeu vidéo, le secteur médiatique, les télécoms, l'automobile, le cercle gouvernemental, l'énergie, l'éducation, l'industrie pharmaceutique et médicale (particulièrement les données des essais cliniques, pour tenter de piller la data de la propriété intellectuelle) et les chaînes de production informatiques (qui permettent d'implanter des backdoors avant même l'assemblage de la machine). Le groupe serait présent dans quatorze pays, dont la France.
APT41 ne s'arrête pas là. À la nuit tombée, explique FireEye, ses membres recyclent leurs outils pour attaquer des places d'échange de cryptomonnaies ainsi que des monnaies virtuelles de jeux vidéo. Pour leur profit personnel.
Selon le Guardian, des dizaines de millions de dollars de fausse monnaie auraient été générés sur des milliers de comptes. Reste maintenant à savoir si leur boss –le gouvernement chinois, quand même– est au courant de ces petits extras personnels.
