Les autorités chinoises affirment que l’intelligence américaine a ciblé les systèmes Microsoft Windows et les infrastructures critiques dans une campagne coordonnée.
La Chine a accusé les États-Unis de mener plus de 170 000 cyberattaques contre les matchs d’hiver asiatiques tenus à Harbin en février. Les responsables ont nommé trois présumés agents de la NSA, ils prétendent avoir dirigé l’agression numérique.
Le Bureau de la sécurité publique de Harbin a identifié Katheryn A. Wilson, Robert J. Snelling et Stephen W. Johnson en tant que personnel de la NSA responsable des attaques, selon un rapport de l’agence de presse d’État chinoise Xinhua.
« Les enquêtes réalisées par des équipes techniques chinoises ont révélé que les cyberattaques avaient été menées par le bureau des opérations d’accès sur mesure de la NSA », a ajouté le rapport. «Pour cacher les origines de ses attaques et sécuriser ses cyber-armes, le bureau a utilisé plusieurs organisations affiliées pour acheter des adresses IP de divers pays et des serveurs loués de manière anonyme situés dans des régions telles que l’Europe et l’Asie.»
Les accusations suivent un rapport du National Computer Virus Response Center (NCVERC) de la Chine documentant ce qu’il a appelé les cyber-opérations systématiques des cibles chinoises.
Selon NCVERC, «les États-Unis ont fréquemment utilisé des hôtes cloud situés aux Pays-Bas, en Allemagne et dans d’autres pays européens en tant qu’hôte de houblon ou de marionnettes» pour organiser des attaques, établissant ce que les enquêteurs prétendent être un modèle de comportement.
Attaques contre des infrastructures critiques
Les autorités chinoises ont revendiqué la vague initiale d’attaques axée sur les systèmes d’enregistrement, la gestion d’arrivée et du départ et les plateformes d’entrée de compétition contenant des données personnelles sensibles des participants au jeu.
Le cyber-assaut se serait intensifié le 3 février avec le premier match de hockey sur glace, les attaquants se concentrant sur les plateformes d’information essentielles aux opérations d’événements.
« Ces systèmes étaient essentiels pour assurer le bon fonctionnement des jeux, et la NSA a tenté de les perturber pour saper leurs opérations normales », a déclaré le rapport de Xinhua.
Les accusations s’étendent au-delà des systèmes sportifs pour inclure des attaques présumées contre les infrastructures critiques régionales, notamment l’énergie, les transports, les systèmes d’eau, les télécommunications et les installations de recherche de la défense dans toute la province du Heilongjiang.
Les équipes techniques chinoises ont déclaré que la détection de «paquets de données cryptés inconnus» a été transmis à des appareils spécifiques exécutant des systèmes d’exploitation Microsoft Windows au sein de la province. Ces paquets auraient été tentés de «activer ou déclencher des délais pré-implantés dans les systèmes Windows», selon Xinhua.
Une campagne délibérée et coordonnée
Le rapport du NCVERC a révélé qu’entre le 26 janvier et le 14 février 2025, les systèmes d’information des jeux ont été frappés par 270 167 attaques de l’étranger, avec une activité culminante le 8 février, le lendemain de l’ouverture officielle de l’événement. Parmi ceux-ci, 170 864 attaques (63,24%) proviennent des adresses IP basées sur les États-Unis.
Le cyber-assaut cible principalement le système de service d’information de l’événement, le système d’arrivée et de gestion du départ et le système de cartes de charge. Les attaques comprenaient des vulnérabilités de lecture de fichiers arbitraires, une injection de SQL et des en-têtes HTTP usurpés, ainsi que des analyses de port de masse et une exploitation de vulnérabilité, selon le rapport.
Les autorités chinoises ont affirmé dans le rapport de NCVERC que les auteurs utilisaient des hôtes basés sur le cloud de fournisseurs comme Digital Ocean pour obscurcir leurs origines, et le rapport affirme que les serveurs en Europe et en Asie ont été mis à profit pour lancer les attaques sous la cape d’anonymat.
Connexion académique
Le rapport de Xinhua a spécifiquement mentionné le géant chinois des télécommunications Huawei comme une cible, déclarant que les enquêtes ont révélé que «les trois agents de la NSA avaient lancé à plusieurs reprises des cyberattaques contre l’infrastructure d’information critique de la Chine et participé à des sociétés ciblant les opérations cyberdémiques telles que Huawei.»
Dans une tournure inhabituelle, les autorités chinoises ont également impliqué les universités américaines dans la campagne présumée.
«Les équipes techniques ont également révélé des preuves impliquant l’Université de Californie et Virginia Tech dans la cyber-campagne coordonnée contre les Jeux d’hiver asiatiques», selon Xinhua.
Le rapport de NCVERC a affirmé que leur analyse d’attribution a lié les attaques au gouvernement américain sur la base des TTP (tactiques, techniques et procédures), du calendrier, du fuseau horaire, des modèles linguistiques et d’autres caractéristiques comportementales.
« Lors de l’hébergement d’événements sportifs internationaux à grande échelle en Chine, les forces hostiles étrangères n’épargnent aucun effort pour détruire et interférer avec le fonctionnement normal des événements sportifs à travers des cyberattaques, et même essayer de créer le chaos et de voler des informations sensibles », a ajouté le rapport.
Les responsables ont ajouté qu’ils soumettraient «les détails et les artefacts de ces attaques» aux autorités de sécurité publique pour une enquête plus approfondie.
Cyber-tensions en cours
Les accusations représentent le dernier développement du conflit numérique de longue date entre la Chine et les États-Unis, où les deux nations s’accusent régulièrement de cyber-espionnage.
Les agences de renseignement américaines attribuent constamment des violations majeures aux pirates chinois soutenus par l’État, comme l’APT40 et le Typhon Volt, responsable des campagnes contre le gouvernement occidental, les télécommunications et les secteurs technologiques. La NSA, l’Université de Californie et Virginia Tech n’ont pas répondu aux questions sur ces accusations.
