Le renseignement est une composante clé d’un État ou d’une organisation lui permettant notamment de connaitre et d’anticiper des stratégies adverses (et alliés) par des moyens clandestins ou non, et ainsi s’octroyer la faculté de prendre “le dessus” si besoin. Il permet théoriquement de conserver un état de situation des événements, des acteurs en présence et des enjeux associés, tout en trompant son adversaire ou allié tant qu’il ne remarque pas : « pas vu, pas pris ». Les États et organisations du monde entier ont depuis longtemps compris l’importance et l’enjeu que la collecte d’informations représente, en particulier la Chine.

Depuis plus d’un millénaire, la Chine a su développer des stratégies de guerre, souvent empreintes de taoïsme, qu’elle applique pour s’assurer la victoire. De nombreux écrits regroupent les grands principes de leur stratégie, notamment l’illustre ouvrage L’Art de la Guerre de Sun Tzu ou encore d’un point de vue cyber l’incontournable publication « La guerre hors-limites » de deux colonels de l’Armée de l’Air Chinoise Qiao Liang et Wang Xiangsui en 1998. Dans notre contexte, il est intéressant de préciser que cet ouvrage se présente comme un enseignement de la guerre du Golfe, non sans critiquer la puissance américaine. Encore aujourd’hui, ces textes influencent fortement la doctrine militaire chinoise et ils sont toujours enseignés dans les Universités en Chine, à Taïwan et dans d’autres pays où la Chine est présente.

Ces principes militaires se transposent parfaitement dans le cyberespace.

En 1994, Internet arrive en Chine. Très rapidement, des projets sont mis en place par le gouvernement dans une tentative d’obtenir le contrôle du trafic au sein du pays et l’idée Great Firewall of China[1] voit le jour en 1998, créant ainsi une véritable frontière numérique et juridique dans le cyberespace, opération technologique jugée jusque-là difficile à mettre en œuvre. Cette muraille virtuelle permet de maitriser l’Internet en Chine et de superviser le trafic des internautes chinois afin de maintenir « l’harmonie sociale »[2].  

Dès 1995 la prise de conscience chinoise des potentiels offensifs qu’offre le cyberespace est en marche. Le major Général Wang Pufeng, directeur du département Stratégie de l’Académie des Sciences militaires de Pékin indiquait qu’avec l’avènement d’Internet, l’objectif serait de cultiver les gens talentueux taillés pour la guerre de l’information qui devraient développer des capacités complètes d’analyse et de traitement de l’information politique, pour se comprendre eux-mêmes et comprendre leur ennemi. En 1996, le stratège chinois Wei Jincheng publiait dans le Journal de l’armée du peuple un article intitulé : « Une nouvelle forme de guerre populaire ». Il devait s’agir d’une nouvelle forme de guerre ouverte via internet, menée par des millions de personnes, où n’importe qui comprenant les ordinateurs deviendrait des combattants et où le pays ennemi pourrait recevoir un coup paralysant en étant incapable de dire s’il s’agit d’une mauvaise blague ou d’une attaque de son ennemi. Avant même l’ouvrage « La guerre hors limite », il entrevoyait déjà une guerre ouverte et peu couteuse, à laquelle chaque citoyen devrait prendre part. Il ajoutait en ce sens que : « si nous pensons que c’est l’affaire des services de renseignement et de sécurité d’obtenir l’information ennemie, et que cela n’a à voir avec personnes d’autres, alors nous manquerons une belle opportunité de gagner la guerre ».


Tirant les leçons de la guerre du Golfe et du contrôle informationnel des américains sur et autour du champ de bataille, « La guerre hors limite » – évoquée supra – , préconise déjà en 1998 une doctrine de guerre non-conventionnelle, diffuse et permanente (y compris en temps de paix) pouvant accompagner les opérations militaires conventionnelles : une guerre hors limite, menée par des civils via les réseaux, multi-plateaux et tous azimuts: guerre commerciale, diplomatique, règlementaire, médiatique, psychologique, de contrebande, etc. Les deux colonels précisent que ces guerres seront menées avec des moyens high-tech et low-cost. Ils abordent aussi la notion d’opération létale sur des infrastructures vitales via internet et évoque déjà que la réponse militaire sera rarement possible/efficace.


A l’ONU, en 2010, les représentants chinois réaffirment cette vision en estimant que la Lutte Informatique Offensive (LIO) ne s’arrête pas aux seules attaques informatiques sur des systèmes d’information mais englobe de façon combinée les attaques informationnelles, la manipulation de l’opinion ou encore le lobbying technologique auprès d’organisations internationales pour imposer des standards de sécurité. (Voire côté américain le projet Bull Run de la NSA, issue des divulgations d’Edward Snowden). Cette dernière affirmation prend sûrement une autre coloration en considération des enjeux passés de la Chine autour de la 5G (consulter d’ailleurs à ce sujet l’excellent article de Wired : « Huawei, 5G, and the Man Who Conquered Noise »[3]

Pendant que le projet se met en place, les premières menaces persistantes avancées (APT[4]) attribuées à la Chine semblent apparaitre puis se structurer. Ces APTs utilisent des modes opératoires d’attaque (MOA[5]) spécialisés dans la collecte d’informations stratégiques, en accord avec la politique chinoise qui veut rattraper son retard technologique par rapport aux États-Unis via une collecte massive (Big Data), systématique, tous azimut et continue impactant l’ensemble des secteurs d’activité stratégiques (y compris vraisemblablement celui du renseignement[6]).

En menant des campagnes d’espionnage, ces APTs collectent des informations qui pourraient directement servir l’État chinois, provenant d’organisations gouvernementales, de multinationales, de divers médias, ou directement des populations. Ces informations procurent un avantage significatif lors de négociations économiques internationales et/ou permettent d’anticiper des actions diplomatiques prises par un autre État adverse ou allié tout en restant le plus discret possible, sans jamais livrer de bataille frontale contre ce dernier et réfutant toute implication dans les campagnes de cyberattaque qui lui sont attribuées.

La position de la Chine quant à l’attribution d’une attaque informatique est relativement classique et confortable en s’appuyant, comme d’autres pays, principalement sur de la rhétorique du « brouillard cyber ». Il est en effet quasi-impossible de confondre avec certitude le responsable d’une cyberattaque du fait des caractéristiques inhérentes du cyberespace : impossibilité de déduire d’une adresse IP le pays et encore moins l’acteur « entre la chaise et le clavier » ; incertitude due à la possibilité pour n’importe quel acteur offensif d’usurper les infrastructures d’attaques ainsi que les Techniques, Tools & Protocols (TTP) d’un autre attaquant (notion de « copy-cat ») ou encore de projeter ses équipes dans un autre pays afin de leurrer une activité opérée depuis une autre fuseau horaire ; etc. La Chine indiquait d’ailleurs à la fin des années 2000 que ses intentions dans le cyberespace étaient pacifiques alors que le pays se faisait constamment attaquer, principalement par des machines localisées aux États-Unis. La logique induite est que personne ne peut être tenu coupable mais chaque État peut désigner un ou des responsable(s).

Depuis le début des années 2010, les États-Unis et les éditeurs américains de sécurité informatique, ont régulièrement accusé la Chine d’être derrière de nombreuses attaques informatiques ayant abouti à l’exfiltration massive de propriété intellectuelle américaine. A partir de 2013, Barack Obama (« conforté » par plusieurs rapports d’éditeurs de solution de sécurité comme celui de la société Mandiant[7]) accentue la pression sur Pékin et aboutira en 2015 à un accord de non-agression à l’effectivité discutée, bien que plusieurs observateurs affirment que le volume d’attaques détectées potentiellement attribuées à la Chine aurait baissé à la suite de cet accord. La position de la Chine dans son discours s’est d’ailleurs légèrement infléchie sur le sujet, celle-ci déclarant lorsqu’elle fut de nouveau accusée de cyber espionnage, qu’elle était prête à coopérer avec les États-Unis pour lutter contre de potentiels cybercriminels qui opéraient depuis son territoire (« sous-entendu » sans lien avec le gouvernement chinois).

Depuis l’émergence de ces premières APTs, plusieurs campagnes de cyberattaques ont été attribuées – souvent par des éditeurs de solutions de sécurité américains (« information is power »)- à des acteurs chinois sponsorisés par l’État.. La plupart de ces campagnes ont pour objectif la collecte d’informations sensibles et stratégiques bien souvent dans les domaines des technologies de pointe en lien avec les objectifs stratégiques chinois (Five Year Plan, Made in china 2025),

Contrairement à la doctrine américaine qui tend à rendre publique chaque création de nouvelles unités militaires de lutte informatique offensive[8] et présente des budgets militaires de R&D colossaux – et en constante hausse -, pour le développement de capacités offensives cyber, la Chine s’est faite plus discrète, permettant de soutenir sa posture de « victimes de cyberattaques » et aussi à l’image de la dimension tactique qu’elle met en œuvre sur le terrain offensif cyber. En effet, et bien que difficilement quantifiable précisément, une large partie des attaques informatiques attribuées à la Chine sont souvent réputées peu sophistiquées. Alors que la stratégie de l’hyper-puissance technologique américaine semble trouver une caisse de résonnance dans la sophistication élevée des codes offensifs attribués à ses agences de renseignement (cf. les technologies Fox Acid / Quantum Insert dans le cadre des divulgations Snowden, ou encore les outils de la CIA rendu publique via les divulgations Vault7 de Wikileaks, etc.), la stratégie chinoise semble répondre au principe de « consommation minimale » consistant à ne pas « élever le niveau  technique » tant que cela n’est pas strictement nécessaire. Cette stratégie semble payante dans la mesure où l’utilisation de codes largement répandus, open source, à double usage (TeamViewer par exemple) et/ou peu sophistiqués accentue en partie les difficultés d’attribution propres au cyberespace. On retrouve ici encore le principe d’une guerre « high tech » et « low cost » de l’ouvrage des deux colonels chinois.

Il en est de même pour la stratégie de coopération dans le domaine de la LIO  : les alliances américaines (une partie sûrement) sont connues à l’image de la célèbre alliance des FIVE EYES[9] qui semble agir de façon relativement concertée tant d’un point de vue de la coopération en matière de renseignement cyber et du partage d’outils offensifs, que d’un point de vue de la communication coordonnée lors d’attribution d’attaques informatiques (voir notamment la coordination des communiqués entre ces différents États quant à l’attribution de NotPetya). A l’inverse les alliances stratégiques chinoises dans le domaine cyber semblent plus discrètes même s’il y a quelques mois plusieurs sources annonçaient la création d’une base de renseignement dans le port iranien de Chabahar, impliquant la collaboration de plus de mille experts chinois ainsi que d’un appui russe.


Des opérations cyber attribuées à la Chine en lien avec les objectifs stratégiques du pays

Disclaimer : l’attribution formelle d’attaques informatiques à un acteurs ou un pays, et les liens qui peuvent être faits entre elles, demeure un exercice toujours incertain et périlleux ! Dans le présent article, les liens entre Mode Opératoire d’Attaque et acteurs s’appuient principalement sur des attributions, fondées sur des faisceaux d’indices plus où moins concordants, qui ont été réalisés par des éditeurs de solutions de cybersécurité.

Les cyberattaques attribuées à la Chine par des éditeurs de solutions de sécurité informatique, et plus particulièrement celles menées par des APTs réputées proches du gouvernement ont plusieurs fois montré que les événements géopolitiques impliquant de près ou de loin le pays dirigent les actions cyber de celui-ci. Le lien entre certains groupes d’APT et le gouvernement chinois a plusieurs fois été fait par différents acteurs de la cybersécurité *.

Les cyberattaques soutiennent souvent les actions géopolitiques de la Chine et servent directement à l’État pour collecter des informations économiques et stratégiques.

Sans pouvoir en tirer de certitude, mais force est de constater que plusieurs centres d’intérêt poursuivis par des attaquants réputés en lien avec l’État chinois, s’alignent assez bien avec des objectifs stratégiques de la Chine. Parmi ceux-ci, nous pouvons lister de manière non-exhaustive :

  • Les plans économiques chinois (Five Years Plan, Made in China 2025)
  • La souveraineté des actifs stratégiques et militaires (hautes technologies, défense, aéronautique)
  • Les relations diplomatiques (G20, visites diplomatiques, gouvernements adverses)
  • Maîtrise de l’influence dans sa périphérie
  • La communication et la protection de son image (étendue par les réseaux sociaux)
  • Étouffer la communication et les actions de dissidents

Plusieurs exemples de cyberattaques et événements cyber impliquant de près ou de loin la Chine sont présentés dans la chronologie ci-dessous. Celle-ci n’a évidemment pas pour objectif de lister de manière exhaustive ces événements – cela ne tiendrait pas de toute façon 😉 – mais sert simplement à illustrer l’influence des différents thèmes stratégiques du pays au regard des cyberattaques qui lui sont attribuées.


Qu’attendre des opérations cyber à venir attribuées à la Chine ?

Ces derniers mois, plusieurs incidents de sécurité ont été attribués par des éditeurs à des attaquants en lien avec l’État chinois. Ces cyberattaques semblent de plus en plus agressives et disruptives comme le démontrent les pré-positionnements d’APT chinoises sur les infrastructures indiennes ayant possiblement mené à une coupure de courant massive à Mumbai en octobre 2020. Cette stratégie de pré-positionnement n’est cependant pas nouvelle car en 2014, le directeur de la NSA alertait sur des cyberattaques réputées d’origine chinoises dans les infrastructures américaines, notamment électriques[13]. Cependant, ces dernières se voulaient vraisemblablement discrètes et ne semblaient pas comporter pas de charge active.

Aussi, en mai 2017, un avion Sukhoi 30 indien s’était mystérieusement écrasé près de la frontière sino-indienne. Après une première enquête (toujours en cours), il avait été évoqué que la défaillance du mécanisme de déclenchement de l’éjection des pilotes serait possiblement la conséquence d’une cyberattaque venant d’une nation étrangère, probablement la Chine[14]. Si les faits sont avérés, il pourrait s’agir d’un des premiers décès causé directement par une attaque informatique poursuivant cette finalité.

Bien que le Chine ne soit évidemment pas le seul acteur à avoir “élevé le niveau” et l’intensité des effets recherchés, ces derniers incidents pourraient traduire un durcissement de la stratégie cyber chinoise menant dans les mois et années à venir à une montée en puissance d’actions disruptives et agressives envers ses adversaires. Cette possible nouvelle position de la Chine se reflète également dans sa stratégie géopolitique et d’influence actuelle avec des oppositions de plus en plus frontales, en particulier depuis la crise de la COVID-19.

Sur ce dernier sujet voir l’article Citalid : https://citalid.com/blog/enjeux-geopolitiques-de-la-chine


*Ainsi, des attributions précises à des unités militaires de la People Liberation Army (PLA Units) ont été faites publiquement après plusieurs investigations :

  • PLA Unit 61398 : APT1[10] (Comment Crew). Cette APT a ciblé historiquement des secteurs stratégiques tels que les gouvernements, l’aérospatial, l’industrie chimique ou encore la santé.
  • PLA Unit 61486 : APT2[11] (Putter Panda). Cette APT a ciblé le gouvernement américain, le secteur de la défense, et les secteurs de la haute-technologie.
  • PLA Unit 78020 : Naikon[12]. Cette APT se concentre majoritairement en Asie du Sud-Est et cible les gouvernements, les entités diplomatiques, ainsi que plusieurs secteurs stratégiques tels que les communications, l’aérospatial, la sphère militaire ou encore les médias.

[1] A l’origine se nommant le Projet bouclier doré (金盾工程), puis couramment wangguan

[2] Ford, “Trouble with Cyber Arms Control,” 62–63; and Swaine, “Chinese Views on Cy-bersecurity in Foreign Relations,” 3.

[3] « Huawei, 5G, and the Man Who Conquered Noise » ; https://www.wired.com/story/huawei-5g-polar-codes-data-breakthrough/

[4] APT (Advanced Persistent Threat) est un acronyme crée par l’US AIR FORCE en 2006 et qui désigne une attaque informatique présentant cumulativement les caractéristiques suivantes : 1) Les attaquants informatiques contrôlent en profondeur le système d’information de la victime. On estime que les attaquants ont des privilèges/droits au moins égaux que ceux des administrateurs légitimes du Système d’Information (SI) ciblé. Du fait de ce niveau de contrôle, et des programmes malveillants déployés, les attaquants peuvent user de mécanisme leur assurant une persistance élevée sur le système d’information. 2) Les attaquants utilisent des outils et techniques d’attaques qui sont adaptés au système d’information ciblé. La phase de reconnaissance préalable à une attaque dite APT, permet aux attaquants de collecter de données permettant de réaliser une prise d’empreinte de la configuration technique du système d’information, afin d’adapter en fonction les outils d’attaque déployés ensuite. 3) Les attaquants sont organisés en équipe spécialisées et coordonnées qui interviennent en fonction des étapes de l’attaque.

[5] Un Mode Opératoire d’Attaque (ou Adverse) désigne un ensemble cohérent de processus, techniques, tactiques et d’informations contextuelles qui peuvent être reliés à une ou plusieurs attaques informatiques et/ou à un même acteur, sans pour autant que celui-ci/ceux-ci ne soi(en)t nommément identifié. Un mode opératoire peut être traduit par la carte d’identité technique et contextuelle d’une ou plusieurs actions informatiques offensive. Le pendant anglais de Mode Opératoire d’Attaque est Intrusion Set.

[6] Plusieurs opérations et programmes d’envergure de services de renseignement, principalement américains et chinois, ont révélé une véritable course à la collecte massive d’informations entre États pour conserver une position dominante en matière de renseignement. Entre 2014 et 2015, les entreprises américaines du domaine de l’assurance santé Anthem, Premera et CareFirst Blue Cross, Vivacity, Connexion Insurance Solutions, ont annoncé avoir été victime d’une campagne d’attaques informatiques attribuée au mode opératoire Deep Panda. Ces opérations d’espionnage auraient abouti à l’exfiltration de 90 millions de données à caractère personnel (PII) de citoyens américains comprenant notamment des données d’identification, des numéros de sécurité sociale et des données sensibles de santé sur des millions d’américains, Début février 2015, le FBI alertait sur le fait que des opérations de cyber espionnage, attribuées avec un haut degré de confiance à la Chine, avaient abouti à de vastes compromissions d’entreprises et de gouvernement ayant pour finalité d’exfiltrer des volumes importants d’informations commerciales et données à caractère personnel sensibles. Dans le cadre de cette campagne de 2014, des attaques attribuées au même mode opératoire et poursuivant les mêmes objectifs de renseignement à grande échelle ont ciblé l’Office of Personnel Management (OPM) en charge de la gestion du personnel fédéral et de l’attribution des habilitations de défense américaines 22,1 millions de personnes impactées (7% pop US)

[7] Cf, le fameux rapport « APT1 Exposing One of China’s Cyber Espionnage Units » qui a fait l’objet de nombreux commentaires quant à la solidité de la démonstration d’attribution qu’il souhaitait opérer

[8] La création de l’US Cyber Command a d’ailleurs été présenté par la Chine comme une démarche agressive des américains pour dominer le cyberespace

[9] Les Five Eyes désigne l’alliance à des fins de renseignement (à l’origine électromagnétique, accord UKSA de 1946) entre la Nouvelle-Zélande, l’Australie, le Canada, les États-Unis et le Royaume-Uni. Ces pays coopèrent activement ensemble tant au travers de partage de renseignement, de mise à disposition commune de moyens de renseignement ou encore dans le cadre d’opération de renseignement conjointe. Cette coopération peut être à géométrie variable, entendu que l’ensemble des membres peuvent fonctionner dans ce cadre de façon bilatérale ou multilatérale.

[10] https://attack.mitre.org/groups/G0006/

[11] https://attack.mitre.org/groups/G0024/

[12] https://attack.mitre.org/groups/G0019/

[13] https://edition.cnn.com/2014/11/20/politics/nsa-china-power-grid/index.html

[14] https://www.cybersecurity-insiders.com/china-cyber-attacks-indian-sukhoi-30-jet-fighters/