Passer au contenu

Quand les hackers chinois se font passer pour Carlos Ghosn

Le phishing est loin d’être ringard dans le cyberespionnage. Les officiers chinois inculpés par la justice américaine en faisaient abondamment usage pour accéder à des données ultraconfidentielles. Avec succès.

Recherchés par la justice américaine pour « espionnage économique » et « piratage informatique », les cinq officiers de l’armée chinoise ont fait usage, entre autres, d’une technique ancestrale pour pirater les systèmes : le bon vieux « phishing » (ou hameçonnage). C’est ce qui ressort de l’acte d’accusation, qui a été publié la semaine dernière et qui est particulièrement détaillé.

Pas question, ici, de faux emails bancaires qui vous incitent à taper votre identifiant et votre code secret. L’arnaque des soldats chinois est beaucoup plus subtile et nécessite une connaissance fine des entreprises ciblées. C’est pourquoi les experts en sécurité appellent cette technique le « spear phishing » (ou harponnage).

L’exemple est particulièrement frappant chez Alcoa. Début février 2008, ce producteur américain d’aluminium noue un partenariat avec une société nationale chinoise. Trois semaines plus tard, l’un des hackers inculpés, Sun Kailiang (alias Jack Sun), envoie un email à 19 cadres supérieurs d’Alcoa sous l’identité de… Carlos Ghosn. A cette époque, le PDG de Renault-Nissan siégeait dans le conseil d’administration d’Alcoa (il va le quitter en 2011).

Votre patron vous invite à une réunion

Le message était envoyé depuis un faux compte email qui ne respectait pas totalement l’orthographe du nom de Carlos Ghosn, mais suffisamment pour tomber dans le panneau. Il contenait un fichier vérolé intitulé « agenda.zip », censé donner des informations sur la prochaine assemblée générale des actionnaires. L’un des cadres ciblés a ouvert le fichier. L’infection a permis, selon l’acte d’accusation, de voler « plus de 2.900 emails accompagnés de 863 fichiers joints ». Jack Sun aurait en particulier mis la main sur des échanges confidentiels relatifs au partenariat cité plus haut. Bingo.

Autre exemple de « spearfishing »: US Steel. En 2010, ce fabricant d’acier est en conflit avec plusieurs compétiteurs chinois, qu’il accuse de pratiquer le dumping commercial. Il a enclenché plusieurs procédures légales, au niveau national et international. En février et mars, US Steel est alors la cible d’une véritable campagne de « spear phishing ». Elle a été menée par Jack Sun, avec l’aide de l’un de ses collègues, Wang Dong, alias « UglyGorilla ».  Ainsi, le 8 février, un vingtaine de cadres en rapport avec ces litiges commerciaux reçoivent un email envoyé sous l’identité du PDG de la société. L’objet du message indique une invitation pour une réunion (« Meeting Invitation »). Dans le corps du message, le lecteur est incité à cliquer sur un lien HTML qui provoque l’infection de sa machine.

Et ce n’est pas fini. Durant les semaines suivantes, 49 cadres reçoivent un mail intitulé « US Steel Industry Outlook ». Là encore, un lien HTML vérolé a été glissé dans le texte du message, permettant d’installer une porte dérobée sur le poste de travail. L’opération a été un succès : l’infection de plusieurs postes a permis d’identifier plus de 1.700 éléments du réseau informatique d’US Steel, dont une série de serveurs que les hackers chinois ont essayé de pénétrer par la suite.

Mais ne jetons pas la pierre à ces salariés trompés. De plus en plus d’emails sont envoyés tous les jours et il est difficile de rester vigilant 24 heures sur 24. Surtout si l’aspect du faux message est crédible. La technologie n’est pas d’une très grande aide dans ces cas-là. Il faut affuter le regard des utilisateurs par des campagnes de sensibilisation au phishing.

Lire aussi:

Espionnage : cinq officiers de l’armée chinoise inculpés par la justice américaine, le 19/05/2014

Source :

Acte d’accusation

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn