LE MONDE DANS LEQUEL NOUS VIVONS

MediaPunch Inc/Alamy Stock Photo HXTJ75

Le 30 mars 2017, M. Kevin Mandia, président-directeur général de FireEye, fait une déclaration préliminaire, tandis qu’il témoigne devant le US Senate Select Committee on Intelligence qui tenait une audience publique intitulée « Disinformation: A Primer in Russian Active Measures and Influence Campaign ».

Les quatre grands auteurs de menaces et le cyberespionnage : quand la Chine, la Russie, l’Iran et la Corée du Nord espionnent en ligne

par Patrick Diotte

Imprimer PDF

Pour plus d'information sur comment accéder ce fichier, veuillez consulter notre page d'aide.

Le capitaine Patrick Diotte est officier du renseignement. Il occupe actuellement le poste de G2 Plans au Quartier général du 2e Groupe-brigade mécanisé du Canada et termine une maîtrise en études sur la guerre au Collège militaire royal du Canada.

En ligne, les États se comportent de la même manière que dans le reste de leurs politiques : ils emploient les mêmes tactiques et poursuivent les mêmes objectifs. Tous les États espionnent, chacun à leur façon1. [TCO}
– John P. Carlin, ancien procureur général adjoint pour la sécurité nationale des États-Unis, Dawn of the Code War.

Introduction

Pénétrant désormais toutes les sphères de la société, la cyberactivité malveillante représente une menace grandissante, sans doute même la plus grave à laquelle l’Occident est confronté à l’heure actuelle. Chaque année, le directeur du renseignement national (DNI) des États-Unis présente au Congrès une évaluation des menaces mondiales, classées en ordre d’importance. En 2007, le rapport présenté par le DNI de l’époque, John D. Negroponte, désignait le terrorisme comme la principale menace pour les États-Unis et ne faisait aucune mention de la cybermenace2. Trois ans plus tard, le rapport reconnaissait la portée considérable de la cybermenace et la plaçait en tête du classement3, position qu’elle occupe encore aujourd’hui. Le rapport de 2019 souligne d’ailleurs que les adversaires et les concurrents stratégiques des États-Unis auront de plus en plus recours aux cybercapacités, notamment au cyberespionnage, aux cyberattaques et à la cyberinfluence, pour obtenir un avantage politique, économique et militaire sur les États-Unis, leurs alliés et leurs partenaires4. Selon ce même rapport, la Chine, la Russie, l’Iran et la Corée du Nord mèneraient de plus en plus de cyberopérations, multipliant les façons d’effrayer les esprits et d’affoler les machines dans le but de voler de l’information, d’influencer les citoyens ou de perturber des infrastructures essentielles5.

Dans le présent article, nous nous pencherons sur le cyberespionnage et sur la façon dont les États y ont recours pour recueillir des renseignements, en nous concentrant sur les quatre principaux auteurs de menaces, soit la Chine, la Russie, l’Iran et la Corée du Nord. Nous montrerons qu’ils exploitent tous le cyberespionnage d’une manière qui reflète leurs intérêts géopolitiques et nous examinerons leurs approches habituelles en matière de renseignement et de conduite de la guerre. Nous verrons notamment que la Chine est devenue un acteur prédominant dans le cyberespace et que ses actions s’inscrivent dans ses principaux objectifs stratégiques, soit l’hégémonie et la sécurité économiques. La Russie a pour sa part adopté une approche différente et considère sa capacité de cyberespionnage comme un élément clé de sa stratégie globale en matière de guerre de l’information, tant dans les pays avoisinants qu’ailleurs dans le monde. L’Iran se sert du cyberespionnage comme il le fait avec les forces interposées, c’est-à-dire pour projeter sa puissance, exercer un contrôle étatique et user de représailles. De son côté, la Corée du Nord considère le cyberespionnage comme un moyen d’assurer la survie du régime et de déstabiliser ses ennemis régionaux, en particulier les États-Unis et la Corée du Sud.

Nous définirons d’abord la notion de cyberespionnage, puis explorerons brièvement son histoire. Nous examinerons ensuite chacun des quatre grands auteurs de menaces, leurs cibles, ainsi que la façon dont ils emploient le cyberespionnage pour obtenir des renseignements. La plupart des documents pertinents et à jour sur le sujet sont classifiés. La portée du présent article est donc limitée par le nombre restreint de documents accessibles dans les sources ouvertes, mais aussi par le nombre de mots. Il ne s’agit donc pas d’une étude exhaustive du cyberespionnage, mais plutôt d’un aperçu général de la façon dont les États l’exploitent pour recueillir des renseignements et exercer leur puissance.

Qu’est-ce que le cyberespionnage?

Military Intelligence 5 (MI5), le service de sécurité et de renseignement britannique, définit l’espionnage comme « le processus visant à obtenir des renseignements qui ne sont normalement pas accessibles au public, et ce, par des moyens humains (p. ex., des agents) ou techniques (p. ex., le piratage d’un système informatique). Ce processus peut aussi avoir pour but d’influencer des décideurs et des leaders d’opinion au profit d’intérêts étrangers6. » [TCO] En tant que forme d’espionnage, le cyberespionnage consiste à mener des opérations informatiques pour extraire des renseignements et des données des systèmes informatiques d’une cible ou d’un adversaire7. Dans son ouvrage sur les cyberconflits, Michael Warner, Ph. D, historien pour le U.S. Cyber Command, établit des parallèles évidents entre les cyberopérations générales et l’espionnage humain traditionnel. Par exemple, il explique qu’un implant peut demeurer dans un ordinateur pendant des semaines, voire des mois ou des années, dérobant les petits secrets comme les grands, et que la découverte d’un tel implant suscite à la fois crainte et satisfaction, comme lorsque l’on démasque un espion8. De plus, décrivant la portée considérable du cyberespionnage, M. Warner mentionne que l’espionnage pratiqué traditionnellement dans de louches impasses s’est transposé dans le cyberespace presque tel quel et que la principale différence réside dans le potentiel d’exploitation de ce dernier9.

Le cyberespionnage peut prendre différentes formes, et ses cibles appartiennent à divers horizons, allant des multinationales de l’agroalimentaire aux partis politiques les plus imposants et les plus influents du monde. Ce type d’activité malveillante entre dans la catégorie des opérations de réseaux informatiques (ORI), définies par les U.S. Joint Chiefs of Staff comme des opérations conçues pour « attaquer, tromper, dégrader, perturber, bloquer, exploiter et protéger l’information et l’infrastructure électroniques10 » [TCO]. Les ORI reposent sur trois grands outils et mécanismes, soit les logiciels malveillants, l’accès non autorisé à distance et les attaques par déni de service, en plus du cyberespionnage11.

Dans son article sur le cyberespionnage et la surveillance électronique, William C. Banks, directeur de l’Institute for National Security and Counterterrorism de l’Université de Syracuse, qualifie l’espionnage économique de sous-catégorie pertinente de cyberespionnage. En effet, l’espionnage économique, qui consiste pour un État à tenter d’acquérir les secrets d’entreprises étrangères, est au cœur des discussions récentes sur le sujet, en particulier depuis que l’affaire entourant le géant chinois des télécommunications, Huawei, a éclaté12. Par ailleurs, le cyberespionnage peut aussi servir d’outil de perturbation massive, comme ce fût le cas lorsque les Russes ont obtenu et divulgué une conversation téléphonique compromettante entre l’ambassadeur des États-Unis en Ukraine, Geoffrey Pyatt, et la porte-parole du département d’État, Victoria Nuland, en 2014. Cette fuite a eu des conséquences durables sur la crise ukrainienne. Comme nous le verrons dans les sections qui suivent, les auteurs de menaces dont nous brosserons le portrait ici ont perfectionné leurs capacités de cyberespionnage au cours des dernières années et représentent encore une grave menace pour l’Occident.

Sean Pavone/Alamy Stock Photo E469AR

Beijing, en Chine à la porte Nord de la ville impériale.

Chine

La Chine pratique le cyberespionnage dans le but d’atteindre l’un de ses principaux objectifs stratégiques, soit l’hégémonie et la sécurité économiques. Dans la présente section, nous verrons comment la Chine se sert du cyberespionnage pour recueillir des renseignements lui procurant un avantage économique, tant dans le secteur public que privé. Nous examinerons aussi brièvement les mesures qu’elle a adoptées pour pouvoir continuer à nier toute responsabilité dans le cyberespace.

Selon Nigel Inkster, directeur des menaces transnationales et des risques politiques à l’Institut international d’études stratégiques, le renseignement joue un rôle central dans la politique et la stratégie chinoises depuis la période des Royaumes combattants (depuis environ l’an 475 jusqu’à l’an 221 avant notre ère)13. Toutefois, la Chine a toujours axé ses activités d’espionnage sur la gestion des relations avec les tribus nomades voisines. Sa tendance à se replier sur elle-même explique pourquoi la collecte de renseignements étrangers ne faisait pas vraiment partie de sa culture du renseignement jusqu’à récemment14. En effet, le premier cas notable de cyberespionnage chinois remonte à 2003. Les réseaux de défense américains avaient alors été la cible d’attaques visant à soutirer des renseignements sur la sécurité nationale. Ces attaques, surnommées « Titan Rain », étaient révolutionnaires : perpétrées le même jour en seulement 20 minutes, elles sont parvenues à compromettre des cibles d’envergure, notamment la NASA, le U.S. Army Information Systems Engineering Command, la Defense Information Systems Agency, le Naval Ocean Systems Center, ainsi que la U.S. Army Space and Strategic Defense Installation15.

Les États-Unis ont confronté la Chine publiquement le 8 juin 2013, l’accusant de s’être livrée au cyberespionnage dans l’intention de voler des renseignements sur les activités diplomatiques, économiques et de défense américaines16. Deux jours plus tôt, le 6 juin, The Washington Post et The Guardian publiaient des articles sur PRISM, un programme hautement classifié de la National Security Agency (NSA) des États-Unis et du Government Communications Headquarters (GCHQ) du Royaume-Uni. Dans le cadre de ce programme, la NSA recueillait les registres téléphoniques de millions de citoyens américains en invoquant la sécurité nationale. Lorsque, durant le sommet, le président Barrack Obama a abordé la question du cybervol de la Chine, le président Xi Jinping a sorti un exemplaire de The Guardian en réfutant toute allégation de méfait et en renforçant l’idée de deux poids deux mesures17. Néanmoins, comme en font foi les grands titres des dernières années, la Chine poursuit toujours un programme de cyberespionnage très ambitieux, axé en grande partie sur le secteur financier et l’industrie privée, mais aussi sur la collecte de données gouvernementales et autres.

Frans Sello Waga Machate/Alamy Stock Photo D6CJR8

Le président chinois Xi Jinping.

En cherchant à innover et à assurer sa sécurité économique, Beijing a eu recours à un vaste éventail de cybercapacités, notamment au cyberespionnage et à l’espionnage industriel. De nos jours, les cas de cyberespionnage chinois sont plus nombreux que jamais, ce qui, selon M. Inkster, s’explique en grande partie par le désir de la Chine de rattraper les pays développés dans le domaine des sciences et des technologies transformatrices18. Comme le souligne Zack Cooper dans son rapport à la Foundation for Defence of Democracies, Beijing cherche à innover sur son sol depuis le début des réformes orientées vers le marché à la fin des années 197019. En dépit d’une croissance et d’avancées considérables dans le secteur manufacturier, le Parti communiste chinois a lancé plusieurs initiatives considérées par beaucoup comme des plans directeurs en matière de vol technologique, notamment un plan national de développement des sciences et technologies à moyen et à long terme (2010), ainsi que l’initiative « Made in China 2025 » (fabriqué en Chine 2025)20. En 2017, le Pentagone a affirmé que la Chine avait mené une campagne intensive afin d’acquérir des technologies étrangères par l’importation, l’investissement direct à l’étranger, l’espionnage industriel et le cyberespionnage, ainsi que la création de centres de recherche et développement à l’étranger21. Cinq ans plus tôt, dans une étude sur la cyberintrusion réalisée en collaboration avec d’autres organisations privées et publiques, Verizon avait analysé 47 000 incidents de sécurité ayant entraîné 621 fuites de données confirmées et compromis au moins 44 millions d’enregistrements. De ce nombre, 96 p. cent étaient attribuables à des auteurs de menaces provenant de Beijing22.

On estime que la Chine est responsable de 50 à 80 p. cent des vols de propriété intellectuelle transfrontaliers dans le monde et de plus de 90 p. cent des cas de cyberespionnage économique aux États-Unis23. Selon un rapport publié en 2018 par la Maison-Blanche, le vol de secrets commerciaux par la Chine à elle seule coûterait chaque année entre 180 et 540 milliards de dollars aux États-Unis24. Dans une déclaration devenue célèbre, le général Keith Alexander, ancien responsable de la NSA et du U.S. Cyber Command, a d’ailleurs qualifié les activités de cyberespionnage de la Chine du plus important transfert de richesses de l’histoire25. Un examen comparatif révèle que les cibles d’attaques sophistiquées correspondent aux priorités des plans quinquennaux successifs du Parti communiste chinois. Cela étant dit, comme elle le faisait pour recueillir des renseignements avant l’ère d’Internet, la Chine confie une partie de ses efforts de cyberespionnage à des entités externes, ce qui permet à ses hauts dirigeants de réfuter les accusations de cyberespionnage commercial et de vol de propriété intellectuelle26. En outre, les lois chinoises sur le renseignement donnent le pouvoir de contraindre des entreprises privées, comme Huawei, à participer aux efforts de renseignement de l’État. En effet, l’article 7 de la loi chinoise sur le renseignement (2017) oblige les organisations et les citoyens à apporter leur soutien, leur aide et leur collaboration aux efforts de renseignement27.

Malgré l’accord sur le cyberespionnage conclu en 2015 entre la Chine et les États-Unis, les allégations de piratage par les Chinois se poursuivent28. Selon le rapport de la US-China Economic and Security Review Commission présenté au Congrès en 2016 :

Bien que FireEye [une société de cybersécurité américaine] détecte moins d’incidents de cyberespionnage en provenance de la Chine, il faut probablement y voir un changement de stratégie de la part des Chinois, qui ont remplacé les attaques d’amateurs prolifiques par des attaques plus professionnelles, sophistiquées et centralisées menées par un plus petit nombre d’auteurs, plutôt qu’un signe annonciateur de la fin du cyberespionnage chinois. [TOC]

En résumé, il est évident que l’usage du cyberespionnage par la Chine s’inscrit dans l’un de ses principaux objectifs stratégiques, c’est-à-dire l’hégémonie et la sécurité économiques. Bien qu’elle utilise sans aucun doute des outils de puissance étatique, la Chine continue de faire appel à des entités étrangères et à des sociétés privées pour recueillir des renseignements au moyen du cyberespionnage. Cette approche a donné davantage de latitude à Beijing, tout en permettant au Parti communiste chinois de nier toute responsabilité, hypothèse qui a fait l’objet d’un examen approfondi au cours des dernières années.

Sergey Dzyuba/Alamy Stock Photo H2HDD0

La cathédrale de Saint Basile au lever du soleil à Moscou, en Russie.

Russie

La première opération de cyberespionnage russe connue contre les États-Unis remonte à 1986. Un pirate se faisant appeler « Hunter » s’est fait prendre alors qu’il tentait d’accéder aux systèmes informatiques de l’Anniston Army Depot, en Alabama. Son but était de recueillir des renseignements sur les essais de missiles réalisés sur le site Redstone de la U.S. Army dans le cadre de l’Initiative de défense stratégique du président Reagan, surnommée « Guerre des étoiles »29. Depuis, les Russes ont acquis des capacités impressionnantes dans le domaine de l’information, et le cyberespionnage a joué un rôle déterminant dans la collecte de renseignements répondant aux priorités stratégiques de Moscou aux quatre coins du monde. La Russie considère le cyberespionnage comme un sous-composant de sa stratégie globale en matière de guerre de l’information et de géopolitique, tant dans les pays avoisinants qu’ailleurs dans le monde.

À moins de faire référence aux interprétations occidentales, les Russes n’utilisent généralement pas les termes « cyberespionnage » et « cyberguerre ». Ils ont plutôt tendance à les conceptualiser dans le cadre plus large de la guerre de l’information, parlant d’informatsionnaya voyna, ou d’« informatisation ». Ce concept général, tel que l’emploient les théoriciens militaires russes, englobe les opérations de réseaux informatiques (ORI), la guerre électronique (GE), les opérations psychologiques (OPPSY) et les opérations d’information (IO)30. Au sujet de la stratégie de guerre hybride de la Russie, le chef d’état-major général des forces armées de la Fédération de Russie, Valéry Guérassimov, faisait la remarque suivante :

Au XXIe siècle, on constate que la ligne entre les états de guerre et de paix se fait de moins en moins nette. Les guerres ne sont plus déclarées et, quand elles commencent, elles se déroulent selon un modèle inhabituel31. [TCO]

Le recours à des forces interposées pour recueillir des renseignements par le cyberespionnage caractérise bien le modus operandi adopté par le président russe Vladimir Poutine dans les dernières années. En 2014, un rapport de FireEye sur la menace persistante avancée APT 28, un groupe de cyberespionnage soupçonné d’être à la solde des Russes, arrivait à la conclusion que, contrairement aux groupes chinois, celui-là ne semblait pas commettre de vols généralisés de propriété intellectuelle à des fins économiques32. Selon la société de cybersécurité, le groupe APT28 serait probablement formé de développeurs et d’utilisateurs chevronnés qui recueillent des renseignements sur des questions de géopolitique et de défense, c’est-à-dire des renseignements qui n’auraient d’utilité que pour un gouvernement33. Le rapport souligne également que les cibles du groupe reflètent les intérêts du gouvernement russe : le Caucase, les gouvernements et les structures militaires d’Europe de l’Est, ainsi que certaines organisations de sécurité bien précises. Par exemple, le groupe APT28 a réussi à obtenir des renseignements sur la dynamique politique et de sécurité de la Géorgie en ciblant des fonctionnaires du ministère des Affaires intérieures et du ministère de la Défense durant la guerre de 200834.

Le cyberespionnage joue également un rôle central dans la stratégie ukrainienne de Vladimir Poutine. Comme le faisait remarquer Jen Weedon de FireEye, les opérations de réseaux informatiques générales de la Russie s’inscrivent dans l’ensemble de ses efforts visant à maintenir sa domination politique et militaire dans un théâtre donné et, de manière plus générale, dans l’opinion publique nationale et internationale35. Parmi la myriade d’entités qui pratiquent le cyberespionnage pour le compte de Moscou, que ce soit directement ou indirectement, APT29 serait l’un des groupes les plus sophistiqués et les plus compétents. Il a l’habitude de cibler des entités qui détiennent des renseignements étroitement liés aux intérêts et aux priorités géopolitiques de la Russie36. Par exemple, il s’est récemment attaqué à des gouvernements occidentaux, à des institutions de sécurité et juridiques internationales, à des groupes de réflexion et à des établissements d’enseignement. Le groupe APT29 utilise différentes méthodes, comme la transmission d’images contenant des instructions masquées ou chiffrées lui permettant de prendre le contrôle de réseaux d’importance, non seulement pour voler de l’information, mais aussi pour garder accès à l’environnement de la victime37.

Sueddeutsche Zeitung Photo/Alamy Stock Photo DYW266

M. Vladimir Poutine, président de la Russie.

Les activités de cyberespionnage de la Russie ne ciblent pas uniquement les États de l’ancien bloc soviétique. En effet, des pays comme la Norvège, le Danemark, les Pays-Bas et l’Italie, entre autres, ont tous accusé la Russie de cyberespionnage de pointe. Les services de renseignement allemands ont aussi accusé la Russie d’avoir piraté les réseaux informatiques du gouvernement, ainsi que ceux de certaines sociétés énergétiques nationales. Dans une étude sur les cyberstratégies de la Russie réalisée pour l’Institut d’études de sécurité de l’Union européenne, on explique que le plus grand risque qui découle de ces activités n’est pas tant le vol ou la perte de données numériques, mais plutôt la possibilité que celles-ci soient manipulées, ce qui en compromettrait l’intégrité et donc la fiabilité38. Par ailleurs, les données obtenues dans le cadre des opérations de cyberespionnage russes sont souvent utilisées pour produire des documents compromettants diffusés avant la tenue d’événements politiques ou sportifs importants. Par exemple, en 2016, durant une enquête visant des athlètes russes, des pirates russes ont divulgué les dossiers médicaux d’athlètes occidentaux qu’ils avaient dérobés à l’Agence mondiale antidopage39. Le Kremlin se distingue sur ce point : aucun autre auteur de cybermenaces ne cherche autant à utiliser les fruits du cyberespionnage dans ses campagnes de guerre de l’information pour influencer, perturber ou discréditer des entités de renom. Le meilleur exemple est sans doute les attaques menées par la Russie durant l’élection présidentielle américaine de 2016.

Dans la version déclassifiée d’une évaluation hautement classifiée du DNI, il est clairement indiqué que les services de renseignement russes ont mené des cyberopérations contre des cibles associées à l’élection présidentielle américaine de 2016, notamment aux deux principaux partis politiques américains40. Ce rapport révèle également qu’ils ont recueilli des renseignements sur les primaires américaines, les groupes de réflexion et les groupes de pression qu’ils estimaient susceptibles de façonner les futures politiques des États-Unis41. En effet, les Russes ont d’abord piraté les réseaux du Comité national démocrate en 2015 et y ont gardé accès au moins jusqu’en 2016. La direction principale du renseignement de l’état-major général russe (GRU), le service de renseignement militaire de Moscou, avait probablement accès aux comptes de courriel personnels des représentants et des personnalités politiques du Parti démocrate, dont elle se serait servie pour extraire un grand volume de données des réseaux du Comité national démocrate42. L’ingérence des Russes dans l’élection présidentielle de 2016 traduit bien l’intention de Vladimir Poutine d’utiliser le cyberespionnage dans le cadre de sa campagne de guerre de l’information contre l’Occident.

En résumé, la façon dont Moscou se sert des groupes APT et d’autres moyens pour mener des cyberopérations ciblées contre l’étranger proche et l’étranger éloigné montre qu’elle a tendance à considérer le cyberespionnage comme un outil parmi tant d’autres dans son vaste arsenal de guerre de l’information.

Arthur Greenberg/Alamy Stock Photo FYCMW9

L’horizon de Téhéran, en Iran, avec le mont Alborz en arrière-plan.

Iran

Le cyberespionnage joue un rôle central dans l’art de gouverner de Téhéran, qui l’utilise comme elle utilise les forces interposées, c’est-à-dire pour projeter sa puissance étatique, exercer son contrôle et user de représailles, en particulier contre les États-Unis, Israël et l’Arabie saoudite. En 2016, la société de sécurité informatique industrielle MalCrawler a mené une expérience consistant à créer un réseau élaboré et à en analyser l’activité pour déterminer les intentions des cyberentités malveillantes. Elle est arrivée à la conclusion que les pirates des différents pays ne présentaient pas un comportement identique. En effet, les pirates russes pénétraient les systèmes, en dressaient la topologie et implantaient des portes dérobées difficiles à repérer en vue de les exploiter plus tard, les pirates chinois compilaient toutes les données s’apparentant à de nouveaux renseignements techniques, et les pirates iraniens, quant à eux, s’efforçaient de faire le plus de dommages possible43.

Selon un rapport Carnegie sur les cybercapacités de l’Iran, peut-être plus que tout autre gouvernement au monde, la République islamique d’Iran a été la cible de cyberattaques particulièrement destructrices de la part des États-Unis et de leurs alliés44. Parmi ces attaques, la plus connue et la plus dommageable a sans doute été Stuxnet, un ver informatique sophistiqué qui aurait été mis au point par les États-Unis et Israël dans le cadre de l’opération Olympic Games. Découvert en 2010, Stuxnet s’est attaqué au système de contrôle de la centrale d’enrichissement nucléaire de Natanz, mettant temporairement hors service 1 000 des 5 000 centrifugeuses qui s’y trouvaient et réussissant à retarder le programme nucléaire de la République islamique d’Iran d’un an45. En réponse à cette attaque, l’Iran a accéléré le développement de ses cybercapacités offensives, y compris la collecte de renseignements au moyen du cyberespionnage46. En fait, peu de temps après la découverte du ver informatique Stuxnet, l’Iran a lancé une série de cyberattaques contre l’Arabie saoudite et les États-Unis dans le but de détruire des données et de manipuler de l’équipement, comme des oléoducs47. Il s’est d’abord attaqué à Saudi Aramco, un géant saoudien des hydrocarbures, compromettant 30 000 postes de travail. Bien que l’attaque ait été contenue grâce au réseau fermé, le secrétaire à la Défense des États-Unis, Leon Panetta, a déclaré en 2012 qu’il s’agissait de la cyberattaque la plus destructrice que le secteur privé ait jamais connue48. Dans les dernières années, Téhéran a démontré des capacités considérables en tant qu’auteur de menaces dans le cyberespace, mais peu de considération a été donnée à ses efforts croissants en matière de cyberespionnage. Dans un article sur le cyberespionnage iranien, Jason Spataro, expert en cybersécurité américain, souligne que la notoriété de Téhéran dans le domaine des cyberattaques destructrices a éclipsé ses vastes campagnes de cyberespionnage, qui visent actuellement presque tous les secteurs industriels et qui sont loin de se limiter aux conflits régionaux au Moyen-Orient49.

En 2015, James Clapper, ancien DNI des États-Unis, a témoigné devant le House Permanent Select Committee on Intelligence au sujet de la République islamique d’Iran, affirmant que celle-ci considérait son programme de cyberespionnage comme un outil parmi tant d’autres pour exercer des représailles asymétriques mais proportionnelles contre ses adversaires politiques50. En effet, les cyberopérations offensives, dont l’espionnage en ligne, jouent maintenant un rôle central dans l’art de gouverner de l’Iran puisqu’elles lui permettent de recueillir des renseignements et de contre-attaquer ses ennemis présumés, au pays et à l’étranger, de façon moins risquée51. Par exemple, sous la direction du Corps des gardiens de la révolution islamique (CGRI), entre 2013 et 2017, des pirates iraniens ont infiltré des centaines d’universités, d’entreprises et d’organismes gouvernementaux aux États-Unis et partout dans le monde. Au total, on estime qu’ils ont volé plus de 30 téraoctets (soit 30 000 gigaoctets) de données universitaires et de propriété intellectuelle52. Toutefois, les Iraniens réussissent rarement à s’introduire dans l’infrastructure gouvernementale des États-Unis et des États européens. En effet, les réseaux ministériels des gouvernements sont habituellement à l’épreuve des auteurs de menaces iraniens. Téhéran s’est donc attaquée à des cibles américaines plus faciles détenant souvent des renseignements utiles et très confidentiels en dirigeant des tentatives de harponnage contre les comptes de courriel et de médias sociaux personnels de fonctionnaires américains53. Elle a notamment tenté de compromettre les adresses de courriel personnelles des membres de la délégation américaine durant les négociations sur le nucléaire, puis a ensuite concentré ses efforts sur les anciens employés de l’administration Obama, les membres républicains du Congrès, les partisans de Donald J. Trump et les médias conservateurs qui couvraient l’élection présidentielle américaine de 201654.

Téhéran a aussi eu recours au cyberespionnage pour recueillir des renseignements sur ses voisins, souvent instables sur le plan politique. Parmi ses cibles, citons les réseaux de la radio d’État, du ministère de l’Éducation et du gouvernement de l’Afghanistan, ainsi que des ingénieurs en télécommunications et des personnalités politiques de l’Irak, qui ont été victimes de la création de faux profils dans les médias sociaux et la cible de campagnes de harponnage55. Bon nombre des engagements régionaux actuels de l’Iran par forces interposées sont liés à des efforts de cyberespionnage. Par exemple, en 2015, la société de cybersécurité israélienne ClearSky a découvert que 11 p. cent des cibles de la campagne de vol de justificatifs d’identité iranienne Rocket Kitten avaient un lien avec le Yémen. On sait d’ailleurs que les récentes tentatives liées à Téhéran ciblaient d’éminents détracteurs des Houthis56.

Kremlin Pool/Alamy Stock Photo F73A07

M. Hassan Rouhani, président iranien, au cours d’une conférence de presse conjointe.

Parmi tous les groupes de cyberespionnage soupçonnés d’être liés à l’Iran, l’Ajax Security Team est celui qui attire le plus l’attention, étant devenu une entité d’espionnage par logiciel malveillant plus sophistiquée et plus furtive depuis la découverte de Stuxnet. Baptisées « opération Saffron Rose », les campagnes du groupe ciblaient des entreprises de l’infrastructure industrielle de défense des États-Unis, ainsi que les Iraniens locaux qui utilisaient des technologies anti-censure pour contourner le système de filtrage Internet de l’Iran57. L’Ajax Security Team est reconnue pour recueillir des renseignements sur ses cibles de différentes façons, y compris par le harponnage et l’hameçonnage de justificatifs d’identité. En 2013, FireEye a publié un rapport expliquant que, même si aucun lien direct ne pouvait être confirmé entre les groupes comme l’Ajax Security Team et le gouvernement iranien, les activités des premiers semblaient concorder avec les objectifs politiques du deuxième58. Téhéran est aussi connue pour utiliser le cyberespionnage comme un outil de contrôle étatique. En fait, la plus grande proportion de victimes de l’opération Saffron Rose se trouve en Iran. FireEye croit que les attaquants ont fait passer des logiciels malveillants pour des outils anti-censure afin de cibler les Iraniens qui utilisent ce genre de technologies, ainsi que les dissidents en dehors du pays59.

En résumé, l’usage que fait l’Iran du cyberespionnage correspond grandement à son approche des affaires intérieures et étrangères. La suppression de la dissidence interne, les guerres régionales asymétriques par forces interposées et les mesures de représailles latentes sont des thèmes qui se reflètent à la fois dans son usage du cyberespionnage et son approche stratégique et géopolitique mondiale en général.

jackie ellis/Alamy Stock Photo PRDEX2

Vue aérienne de Pyongyang, en Corée du Nord.

Corée du Nord

La citation suivante, attribuée à Kim Jong-un, résume bien l’approche de la Corée du Nord en matière de cyberespace : « La cyberguerre, au même titre que les missiles et les armes nucléaires, est une épée universelle qui permet à nos forces militaires de frapper sans relâche60. » [TCO] En avril 2014, alors qu’il était commandant du Commandement des Nations Unies, le général Curtis M. Scaparrotti, Republic of Korea Combined Forces, a déclaré ce qui suit :

La Corée du Nord a recours à des pirates informatiques capables de recueillir des renseignements de sources ouvertes, de pratiquer le cyberespionnage et de mener des cyberattaques perturbatrices. Dans les dernières années, plusieurs attaques perpétrées contre des institutions bancaires de Corée du Sud ont été attribuées à la Corée du Nord. La cyberguerre est une dimension asymétrique importante du conflit, et la Corée du Nord continuera probablement de la renforcer, en partie à cause de son caractère réfutable et de son faible coût relatif61. [TCO]

Dans la présente section, nous verrons comment la République populaire démocratique de Corée (la Corée du Nord) utilise le cyberespionnage et comment celui-ci s’inscrit dans son objectif global de survie du régime et de perturbation des ennemis régionaux, en particulier les États-Unis et la Corée du Sud.

ITAR-TASS News/Alamy Stock Photo T5GH6R

Le leader nord-coréen, Kim Jong-un.

La Corée du Nord a l’une des plus faibles présences Internet au monde, la plus grande partie de son accès limité étant acheminée par la Chine62. L’utilisation d’Internet est fortement surveillée par le régime et surtout limitée aux représentants du gouvernement et des forces armées. Malgré ces restrictions, les compétences en piratage de la Corée du Nord sont devenues aussi redoutées que son arsenal nucléaire63. Le royaume ermite a entrepris de développer ses cybercapacités à la fin des années 2000, quand il s’est engagé dans la voie du cyberespionnage contre la Corée du Sud. D’après le département de la Défense des États-Unis, le cyberespionnage serait l’un des principaux moyens utilisés par la Corée du Nord pour recueillir des renseignements, en particulier sur trois cibles : la Corée du Sud, les États-Unis et le Japon64.

La République de Corée (la Corée du Sud) fait face aux cybermenaces de sa voisine au Nord depuis des années. La plus connue et la plus destructrice d’entre elles est l’attaque Dark Seoul survenue en avril 2013, maintenant connue sous le nom d’opération Troy. Dans la fiche technique détaillant l’incident, David M. Martin explique que, bien que l’attaque ait initialement été attribuée à des cyberactivistes, des chercheurs spécialisés en logiciels malveillants ont découvert qu’il s’agissait en réalité du résultat d’une campagne de cyberespionnage pluriannuelle menée par le gouvernement nord-coréen65. Le logiciel malveillant a mis des dizaines de milliers d’ordinateurs hors service dans les secteurs des médias et des services financiers de la Corée du Sud66. Un livre blanc produit par le géant de la sécurité Internet McAfee a conclu que Dark Seoul et d’autres attaques gouvernementales étaient liées à une longue campagne secrète visant à espionner et à perturber les activités militaires et gouvernementales de la Corée du Sud67. En fait, Dark Seoul s’est produite alors que les forces armées américaines et sud-coréennes menaient un exercice de grande envergure. Les responsables sud-coréens prétendent que la Corée du Nord a perpétré plus de 6 000 cyberattaques entre 2010 et 2017, ce qui aura coûté près de 650 milliards de dollars en réparations et en pertes économiques68. L’opération Troy illustre bien l’engagement soutenu de la Corée du Nord à pratiquer le cyberespionnage contre son principal adversaire régional, la Corée du Sud, afin d’obtenir un avantage militaire et économique.

Forte du succès de l’attaque Dark Seoul, Pyongyang a utilisé des capacités destructrices semblables un peu plus d’un an plus tard contre une entreprise américaine bien connue. Le matin du 24 novembre 2014, un groupe de pirates se faisant appeler les « Gardiens de la paix » s’est infiltré dans les réseaux de Sony Pictures, détruisant 3 000 ordinateurs et 800 serveurs. Le groupe a aussi dérobé plus de 100 téraoctets de données, transmettant la plus grande partie de leur butin à des tabloïdes, puis à la presse générale. Ces données comprenaient les salaires des cadres, des courriels, des versions numériques de films inédits, ainsi que les numéros de sécurité sociale de 47 000 acteurs, entrepreneurs et employés69. Tout cela aurait été réalisé soi-disant en riposte à la sortie prévue du film L’interview qui tue! de Sony, une comédie mettant en scène un complot pour assassiner Kim Jong-un. Le Federal Bureau of Investigation (FBI) a attribué les attaques à Pyongyang après qu’une analyse technique eut révélé des similitudes avec d’autres logiciels malveillants également attribués au gouvernement du royaume ermite. Le piratage de Sony est un cas flagrant de cyberespionnage visant à recueillir des renseignements de nature délicate dans le but de les divulguer plus tard en guise de représailles lorsque la crédibilité du régime est menacée.

En résumé, comme le montre le cas de l’attaque Dark Seoul, le cyberespionnage a fourni et continue de fournir à Pyongyang des renseignements essentiels sur ses adversaires. Il ne fait aucun doute que l’un des principaux objectifs géopolitiques de Kim Jong-un est la survie du régime et la préservation de sa crédibilité. Les attaques contre Sony illustrent clairement jusqu’où la Corée du Nord est prête à aller, en utilisant le cyberespionnage et les cyberattaques, pour préserver l’image de Kim Jong-un. Comme les autres grands auteurs de menaces, la Corée du Nord considère ses capacités de cyberespionnage comme un outil de riposte nécessaire à la survie du régime.

Conclusion

L’évolution du cyberespace a entraîné des changements considérables dans toutes les sphères de la société. L’acquisition de nouvelles cybercapacités a contribué à transformer le paysage du renseignement, ainsi que la façon dont celui-ci s’opère. Le cyberespace fournit aux États, en particulier à ceux dont nous avons parlé dans le présent article, un moyen de recueillir des renseignements et de mener des attaques sans craindre de répercussions importantes, leur conférant une immunité imprévue qui aura tôt fait de disparaître. On peut donc dire que le cyberespace a complètement changé la face de la guerre puisque les États sont maintenant en constante compétition directe. Comme John Carlin le faisait remarquer, au début du mandat de Barack Obama, jamais le gouvernement américain n’accusait publiquement un État étranger de cyberintrusion. Huit ans plus tard, les États-Unis nommaient publiquement les États qu’ils considéraient comme les quatre principales menaces étrangères en ligne : la Chine, accusée d’espionnage industriel; l’Iran, accusé d’avoir perpétré des attaques perturbatrices; la Corée du Nord, accusée d’avoir piraté Sony; la Russie, accusée de s’être ingérée dans l’élection présidentielle de 201670. Dans le présent article, nous avons établi des parallèles évidents entre l’utilisation du cyberespionnage par les quatre grands auteurs de menaces, leurs intérêts géopolitiques et leurs approches habituelles en matière de renseignement et de conduite de la guerre. Que le cyberespionnage soit utilisé pour voler la propriété intellectuelle ou obtenir des renseignements sur un programme d’armement nucléaire étranger, une chose est sûre : parce que le monde sera de plus en plus connecté, la cybermenace ne cessera de croître elle aussi. Il est donc primordial que les gouvernements, les industries et les particuliers travaillent de concert à établir un ordre et des normes régissant le véritable Far West numérique qu’est le cyberdomaine.

B Christopher/Alamy Stock Photo F7FYKB

M. John Carlin, procureur général adjoint responsable de la sécurité nationale, prononce un discours sur la situation concernant la sécurité et les cybermenaces.

Notes

  1. John P. Carlin, Dawn of the Code War: America’s Battle against Russia, China, and the Rising Global Cyber Trend, New York, Public Affairs, 2019, p. 51.
  2. David E. Sanger, The Perfect Weapon: War, Sabotage and Fear in the Cyber Age, New York, Broadway Books, 2019, p. 18.
  3. Office of the Director of National Intelligence, Annual Threat Assessment of the US Intelligence Community for the Senate Select Committee on Intelligence, 2 février 2010, p. 2.
  4. Id., 12 février 2009, p. 5.
  5. Ibid.
  6. Security Service MI5, https://www.mi5.gov.uk/espionage, consulté le 23 juillet 2019.
  7. David Weissbrodt, « Cyber-Conflict, Cyber-Crime, and Cyber Espionage », University of Minnesota Law School Scholarship Repository, 2013, vol. 347, p. 354.
  8. Michael Warner, « Intelligence in Cyber - and Cyber in Intelligence », Understanding Cyber Conflict: Fourteen Analogies, George Perkovich et Ariel E. Levite (éd.), Washington, Georgetown University Press, novembre 2017, p. 18.
  9. Ibid., p. 20.
  10. Weissbrodt, op. cit., p. 354.
  11. Les logiciels malveillants (maliciels) compromettent les ordinateurs au moyen de courriels infectés (hameçonnage) ou de sites Web qui modifient les programmes de manière à exécuter des fonctions qui n’étaient pas prévues à l’origine. On parle d’accès non autorisé à distance lorsqu’un attaquant se connecte à un ordinateur en utilisant un nom d’utilisateur ou un mot de passe et qu’il parvient à manipuler l’ordinateur et les données qu’il contient. Les attaques par déni de service submergent le système informatique de requêtes et de données jusqu’à ce qu’il cesse de fonctionner et refuse l’accès aux utilisateurs légitimes. Weissbrodt, op. cit., p. 355.
  12. William C. Banks, « Cyber Espionage and Electronic Surveillance: Beyond the Media Coverage », Emory Law Journal, 2017, vol. 66, no 3, p. 513.
  13. Nigel Inkster, « Cyber Espionage », Adelphi Series, 2015, vol. 55, no 456, p. 51.
  14. Ibid.
  15. Jack Deoliveira, « Chinese Cyber Espionage and Information Warfare », Small Wars Journal, consulté le 23 juillet 2019.
  16. Jonathan Marcus, « US Accuses China Government and Military of Cyber-Spying », BBC News, 7 mai 2013, consulté le 23 juillet 2019.
  17. Fred Kaplan, Dark Territory: The Secret History of Cyber War, New York, Simon&Schuster, 2016, p. 228.
  18. Inkster, op. cit., p. 51.
  19. Zack Cooper, Understanding the Chinese Communist Party’s Approach to Cyber-Enabled Economic Warfare, Washington, FDD Press, 2018, p. 8.
  20. Ibid., p. 7.
  21. Department of Defense, Assessment on US Defence Implications of China’s Expanding Global Access, décembre 2018, p. 15.
  22. White House Office of Trade and Manufacturing Policy, How China’s Economic Aggression Threatens the Technologies and Intellectual Prope1rty of the United States and the World, juin 2018, p. 3.
  23. Cooper, op. cit., p. 6.
  24. White House Office of Trade and Manufacturing Policy, op. cit., p. 3.
  25. Deoliveira, op. cit.
  26. Inkster, op. cit., p. 67.
  27. Michael Shoebridge, Commentary: Chinese Cyber Espionage and the National Security Risks Huawei Poses to 5G Networks, Ottawa, Institut Macdonald-Laurier, novembre 2018, p. 2.
  28. White House Office of Trade and Manufacturing Policy, op. cit., p. 4.
  29. Nicu Popescu et Stanislav Secriery, « Hacks, Leaks and Disruptions: Russian cyber strategies », Chaillot Papers, octobre 2018, vol. 148, p. 9.
  30. Michael Connell et Sarah Vogler, Russia’s Approach to Cyber Warfare, Arlington, Center for Naval Analysis, 2016, p. 2.
  31. Sanger, op. cit., p. 152.
  32. FireEye, APT28: A Window into Russia’s Cyber Espionage Operations?, Milpitas, FireEye, 2014, p. 3.
  33. Ibid.
  34. Ibid., p. 6.
  35. Jen Weedon, « Beyond Cyber War: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine », Cyber War in Perspective: Russian Aggression against Ukraine, Kenneth Geers, NATO CCD COE Publications, Tallinn, 2015, p. 68.
  36. Ibid., p. 68.
  37. Ibid., p. 71.
  38. Popescu, op. cit., p. 69.
  39. Ibid., p. 117.
  40. Office of Director of National Intelligence, Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process of Cyber Incident Attribution, 6 janvier 2017, p. ii.
  41. Ibid., p. 2.
  42. Ibid.
  43. Annie Fixler et Frank Cilluffo, Evolving Menace: Iran’s Use of Cyber-Enabled Economic Warfare, Washington, FDD Press, 2018, p. 6.
  44. Collin Anderson et Karim Sadjadpour, Iran’s Cyber Threat: Espionage, Sabotage and Revenge, Washington, Carnegie Endowment for International Peace, 2018, p. 5.
  45. Robert Axelrod et Rumen Iliev, « Timing of cyber conflict », Proceedings of the National Academy of Sciences of the United States of America, 28 janvier 2014, vol. 111, no 4, p. 1300.
  46. Fixler, op. cit., p. 6.
  47. Axelrod, op. cit., p. 1300.
  48. Ibid.
  49. Jason G. Spataro, Iranian Cyber Espionage, mémoire de maîtrise sur la cybersécurité présenté à la Faculty of Utica College, 2019, p. 2.
  50. James Clapper, Statement for the Record: Worldwide Cyber Threats, audience devant la House Permanent Select Committee on Intelligence, 10 septembre 2015, p. 4.
  51. Anderson, op. cit., p. 1.
  52. Fixler, op. cit., p. 25.
  53. Anderson, op. cit., p. 31.
  54. Ibid.
  55. Ibid., p. 36.
  56. Ibid.
  57. Nart Villeneuve, Ned Moran, Thoufique Haq et Mike Scott, Operation Saffron Rose, Milpitas, FireEye, 2014, p. 2.
  58. Ibid., p. 19.
  59. Ibid., p. 15.
  60. Mathew Ha et David Maxwell, Kim Jong Un’s “All Purpose Sword”: North Korean Cyber Enabled Economic Warfare, Washington, FDD, 2018, p. 8.
  61. U.S. Congress, House Committee on Armed Services, Statement of General Curtis M. Scaparrotti, Commander, United Nations Command; Commander, United States -Republic of Korea Combined Forces Command, United States Forces Korea, 113e congrès, 2e séance, 2 avril 2014, http://docs.house.gov/meetings/AS/AS00/20140402/101985/HHRG-113-AS00-Wstate-ScaparrottiUSAC-20140402.pdf.
  62. Emma Chanlett-Avery, Liana W. Rosen, John W. Rollins, Catherine A. Theohary, Congressional Research Service, North Korean Cyber Capabilities: In Brief, août 2017, p. 1.
  63. Dylan Stent, « The Great Cyber Game », New Zealand International Review, septembre 2018, vol. 43, no 5, p. 1.
  64. Ibid.
  65. David M. Martin, « Tracing the Lineage of DarkSeoul », Global Information Assurance Certification Paper (Accepted 11/20/15), p. 1.
  66. Ibid., p. 2.
  67. Ryan Sherstobitoff, Itai Liba et James Walter, Dissecting Operation Troy: Cyber espionage in South Korea, Santa Clara, McAfee, 2018, p. 26.
  68. Chanlett-Avery, op. cit., p. 8.
  69. Kaplan, op. cit., p. 268.
  70. Carlin, op. cit., p. 66.