Une fuite de données révèle les dessous d’opérations du ministère de la sécurité publique chinois
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
Le 18 février 2023, une chercheuse révélait sur son compte X (ex-Twitter) l’existence d’une fuite de données affectant la société de cybersécurité chinoise I-SOON, prestataire du ministère de la Sécurité publique chinois. S’il convient de prendre les informations disponibles avec prudence, elles semblent néanmoins crédibles.
Il s’agit d’un « leak » majeur : présentations commerciales, messages, descriptions des outils utilisés et développés par la société. L’entreprise I-SOON, aussi connue sous le nom d’Anxun, n’est pas une société de cybersécurité comme les autres. Prestataire du ministère de la Sécurité publique, I-SOON se livre notamment à des opérations de surveillance et d’espionnage pour le compte des autorités chinoises, comme le démontrent les documents qui ont fuité.
I-SOON propose des services de lutte informatique offensive et aurait mené plusieurs « projets APT à l’étranger » (source : document mentionnant I-SOON diffusé publiquement sur la plateforme GitHub et traduit en anglais)
La fuite de données contient des informations détaillées sur les codes malveillants développés par la société, ses outils de surveillance, tactiques et techniques ou encore des listes de victimes. On découvre ainsi qu’I-SOON dispose de malwares affectant iOS, Android, Windows ou encore MacOS. La mine d’informations est si importante qu’il faudra certainement attendre encore des semaines avant que cette fuite ne révèle tous ses secrets.
Exemple d’une chaîne d’attaque impliquant une plateforme de traitement des mails des victimes commercialisée par I-SOON (source : document mentionnant I-SOON diffusé publiquement sur la plateforme GitHub et traduit en anglais)
Les documents internes de l’entreprise révèlent également des outils de surveillance de comptes X, et même probablement la capacité (au moins à une époque) de contourner la double authentification de ce réseau social afin de compromettre les comptes de certains de ses utilisateurs. Un tel intérêt n’est pas étonnant dans la mesure où le ministère de la Sécurité publique, pour le compte duquel I-SOON est suspecté d’opérer, au moins en partie, se livre à une intense surveillance des dissidents et de la diaspora chinoise.
Source : document mentionnant I-SOON diffusé publiquement sur la plateforme GitHub et traduit en anglais
Un modèle efficace
Un des principaux enseignements de cette fuite de données provient du fait qu’I-SOON serait un sous-contractant du ministère chinois. En effet, cela suggérerait que ce dernier s’appuie aussi, dans le cadre de ses opérations d’espionnage ou de surveillance, sur des partenaires privés. Une pratique semblable à celle du ministère de la Sécurité de l’État (ou MSS) – le principal service de renseignement civil chinois – qui sous-traite largement ses opérations de lutte informatique offensive. Le célèbre mode opératoire APT41 serait ainsi opéré par la société Chengdu404, en partie pour le compte du MSS.
Un tel partenariat public-privé s’est révélé particulièrement efficace dans le passé. Comme l’expliquent certains experts, ce modèle permet en effet aux autorités chinoises d’accéder, d’une part, aux services d’individus qualifiés à moindre coût et d’autre part, à des ressources abondantes non disponibles en interne. Par ailleurs, cela permet aux autorités chinoises d’être en mesure de nier toute implication en cas de détection d’une attaque (Plausible Deniability).
Recourir à des prestataires privés offre également plus de flexibilité aux services étatiques pour faire jouer la compétition et obtenir de meilleures offres. Enfin, les opérateurs de campagnes d’attaques n’ont pas besoin de de suivre un entraînement policier ou militaire préalable.
Si I-SOON apparaît en prestataire du MPS, il convient également de noter que l’entreprise posséderait des liens avec des entreprises (et modes opératoires) associés au MSS. En effet, I-SOON fait l’objet de poursuites judiciaires de la part de Chengdu404, un prestataire connu dudit ministère. L’entreprise est accusée par Chengdu404 d’avoir violé la propriété intellectuelle de ce dernier. Par ailleurs, comme le rapporte Will Thomas, spécialiste de la Cyber Threat Intelligence (CTI), il existe des liens techniques avec APT41 mais aussi d’autres modes opératoires comme POISON CARP, JACKPOT Panda.
De tels liens pourraient suggérer qu’outre ses activités pour le compte du MPS, I-SOON pourrait travailler, directement – ou par l’entremise d’une autre société de « cybersécurité » – pour le compte du MSS. Ces hypothèses reflètent les liens très forts existant entre l’écosystème privé chinois de la cybersécurité et les autorités de ce même pays.
La France est-elle concernée ?
L’autre grand enseignement de cette fuite de données concerne la victimologie des opérations menées par I-SOON. Et la France est bel et bien concernée, au même titre que le Royaume-Uni, l’UE ou encore l’OTAN. La Chine apparaît être particulièrement active dans ses actions contre des États européens, et en particulier de la France et ses entreprises.
Capture d’écran d’un répertoire contenant ce qui semble être des documents de phishing dont plusieurs mentionnent l’UE (source : document mentionnant I-SOON diffusé publiquement sur la plateforme GitHub et traduit en anglais)
Si, à ce stade, il demeure difficile de déterminer qui était le commanditaire réel de ces attaques, ces révélations confirment la menace prégnante d’opérations offensives chinoises, à l’égard des entreprises et institutions publiques françaises.