L’Anssi pointe du doigt la menace de l’espionnage chinois
La principale menace qui préoccupe l’Anssi, cela reste l’espionnage. Une menace bien moins visible que la cybercriminalité classique, mais qui affecte les entreprises et les opérateurs d’importance vitale de manière bien plus importante. « Si les attaques à finalité lucrative ont occupé le devant de la scène au cours des derniers mois, il est important de rappeler que l’espionnage reste la première finalité poursuivie avec les tentatives de déstabilisation et les actions de sabotage informatiques. »
La Chine dans le collimateur
Dans son rapport Panorama de la menace informatique en 2021, l’agence met notamment l’accent sur les activités liées à la sphère chinoise en avançant une statistique en particulier : « En 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires réputés chinois. » En juillet 2021, l’Anssi avait déjà tiré la sonnette d’alarme en publiant un rapport décrivant les activités du groupe APT31, qui visait alors la France en s’attaquant notamment à des routeurs. Si ce rapport ne citait pas directement la Chine, le recours à l’acronyme APT 31 était déjà une première indication : le nom est utilisé par la société américaine Mandiant pour designer « un groupe de cyberespionnage à la solde de Pékin » selon ses propres analystes.
Outre les campagnes d’attaque informatique menées par ces groupes, l’Anssi s’inquiète également du « détournement de cadres juridiques » visant à faciliter l’espionnage. L’agence pense ici aux nombreuses lois relatives à la cybersécurité approuvées par des gouvernements. On cite souvent le Cloud Act américain, qui permet aux services de renseignement d’accéder aux données hébergées par des entreprises américaines. Mais le rapport de l’agence insiste sur le fait que les Américains ne sont pas les seuls à exploiter le cadre juridique pour faciliter l’espionnage : la Chine s’est ainsi récemment dotée d’une loi sur le renseignement comparable.
Autre méthode soulignée par l’agence, l’obligation légale d’utiliser certains outils. « Ainsi certaines versions du logiciel GoldenTax, imposé en Chine, ont embarqué une porte dérobée permettant un accès furtif aux systèmes d’information de plusieurs entreprises », écrit l’agence. En imposant par des voies juridiques le recours à un logiciel local, les gouvernements s’assurent d’un moyen facile de se ménager un accès au système informatique des entreprises étrangères installées dans le pays.
Nouveaux venus, nouveaux risques
Si l’espionnage chinois est une menace connue de longue date, l’Anssi constate également que l’émergence du secteur privé dans le secteur conduit à l’arrivée de nouveaux acteurs qui n’étaient traditionnellement pas associés à cette activité. Exemple criant : l’affaire Pegasus, du nom de ce logiciel espion commercialisé par la société israélienne NSO Group. Officiellement, ce type d’outils est réservé à la lutte antiterroriste ou contre le crime organisé, mais « les dernières révélations suggèrent un dévoiement de l’utilisation de ces outils à des fins d’espionnage stratégique et politique à l’encontre d’autres cibles. » L’agence s’inquiète du développement de tels outils, et relevé que l’émergence d’une offre privée en la matière permet à de nouveaux commanditaires (étatiques ou non) de s’offrir « les moyens de mener des attaques informatiques sans avoir à développer leurs propres capacités et compétences. »
NSO Group a fait les gros titres au cours des deux dernières années, mais ils ne sont pas les seuls à proposer ce type d’outils et l’Anssi s’inquiète également des risques liés au piratage de ces éditeurs de logiciels espions. Le rapport rappelle ainsi le cas du piratage de la société italienne Hacking Team en 2015, qui proposait ce type de logiciels espions. Mais on pourrait également citer le cas du piratage de la société allemande Gamma Group, qui proposait des outils similaires, une année plus tôt. Un risque à prendre en compte pour les années à venir selon l’Anssi : « le développement et la multiplication de ce type d’entreprises augmentent également le risque qu’elles fassent elles-mêmes l’objet d’attaques informatiques amenant à la divulgation d’outils d’attaques potentiellement sophistiqués et à leur prolifération. »
