Unit 61398. Ou pour donner son nom complet, le deuxième bureau du troisième département de l’Etat major de l’Armée Populaire de Libération chinoise. Une unité qui comptent « des centaines, et peut-être des milliers de personnes au vu de la taille de l’infrastructure physique » dont elle bénéficie. A savoir un bâtiment de douze étages, situé au cœur d’une zone donnée pour être résidentielle mais entouré d’une enceinte gardée. C’est en ces termes que le rapport de Mandiant, société spécialisée dans la sécurité, décrit celle qui est également appelée APT1, pour Advanced Persistent Threat (Menace persistante avancée). L’APT1, étant le nom de code en interne que Mandiant avait donné à l’entité qui se cachait derrière les attaques qu’elle étudiait.
Le gouvernement chinois impliqué
Après avoir longuement hésité, Mandiant, société américaine fondée en 2004, qui ne rend que rarement publiques ses découvertes, a décidé de publier le fruit de plusieurs années de recherche. Ainsi, dans un précédent rapport, en 2010, Mandiant déclarait : « Le gouvernement chinois autorise peut-être » les cyberattaques « mais il n’y a aucun moyen de définir l’étendue de son implication ».
Trois ans plus tard, dans un rapport de 76 pages intitulé APT1 Exposing One of China’s Cyber Espionage Units (APT1 Révélation sur une des unités de cyber espionnage de la Chine), la situation a changé. « Nous avons les preuves requises pour changer notre position. Les détails que nous avons analysés au fil de centaines d’enquête nous ont convaincu que les groupes qui mènent ces activités sont principalement localisés en Chine et que le gouvernement chinois connaît leur existence ».
Des centaines d’attaques
Ainsi, bien que leur « vision des activités de l’APT1 soit incomplète », ce sont les agressions électroniques de 141 sociétés ou organisations en l’espace de sept ans que Mandiant ont décortiqué. La durée de la pénétration illégale moyenne des réseaux est de 356 jours, avec une pointe à 1764 jours, soit quatre ans et dix mois pendant lesquels toutes les informations de la société piratée étaient à disposition de cette unité 61398.
La durée de ces « attaques » confirme, pour Mandiant, l’intervention de l’Etat chinois. « Nous pensons que l’APT1 est capable de mener des campagnes de cyber espionnage aussi longues et étendues en grande partie parce qu’elle reçoit le soutien direct du gouvernement. »
Viennent ensuite des preuves géographiques « L’unité 61398 est également située précisément dans la même zone d’où l’activité de l’APT1 semble être originaire (un quartier spécifique, Pudong, de Shanghaï, NDLR) ».
Un besoin de réaction
Le rapport indique qu’il « est temps de reconnaître que la menace vient de Chine. Nous voulons contribuer à armer et préparer les professionnels de la sécurité pour combattre cette menace efficacement ». Même si Mandiant s’attend autant à des représailles qu’à un changement de stratégie de la part de l’Armée Populaire chinoise.
La Chine dément
Les autorités chinoises, via le ministère des affaires étrangères, rappelaient à Reuters que « le gouvernement chinois est opposé au hack » et précisaient qu’elles doutaient des preuves apportées par Mandiant.
Il est vrai qu’une des grandes difficultés dans la mise en place de représailles contre des cyberattaques est bien de localiser la source de ces attaques. Pour autant, dans la conclusion de son rapport, Mandiant ne laisse qu’assez peu de place au doute.
« Nous pensons que la totalité des preuves que nous fournissons dans ce document conforte notre position qui est que l’APT1 est l’Unité 61398. » Et de n’apporter qu’un petit bémol, qui dédouanerait éventuellement cette structure de l’armée chinoise mais pas la Chine : « Quoi qu’il en soit, nous admettons qu’il y a une autre possibilité peu probable : une organisation spécialisée, secrète, réunissant beaucoup de personnes parlant chinois avec un accès direct à l’infrastructure de télécommunications de Shanghai, qui serait engagée dans une campagne d’espionnage industrielle informatique de plusieurs années et serait située aux portes de l’unité 61398, tout en accomplissant des tâches similaires à la mission connue de l’unité 61398 ».
Peu de place pour le doute quand on sait à quel point la Chine surveille ses réseaux…
Sources :
Rapport de Mandiant (PDF)
Reuters
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.