Après la désastreuse affaire SolarWinds, la révélation est un embarras supplémentaire pour les services américains de renseignement. Selon l'agence de cybersécurité israélienne Check Point, la Chine se serait servie d'un outil initialement créé par la NSA américaine afin d'espionner les États-Unis.
L'outil en question se nomme EpMe, et a été créé par l'Equation Group, un groupe de hackers de haut niveau liés à l'agence de surveillance américaine.
Il utilise ce que l'on appelle une faille «zero-day», un trou logiciel critique, en l'occurrence dans Windows, permettant au cybercriminels ou cyberespions de pénétrer dans des systèmes informatiques afin d'y prendre leur aise et y installer divers mouchards.
Pour pouvoir exploiter cette faille et construire EpMe, la NSA avait fait le choix de la conserver secrète, plutôt que de la faire combler par ses développeurs.
Un choix contestable qui lui était déjà revenu en plein visage, comme un boomerang: en 2016 et 2017, un groupe de hackers nommé Shadow Brokers avait fait fuiter les vulnérabilité logicielles secrètement exploitées par l'agence, les mettant entre toutes les mains, parfois les mauvaises, et provoquant de grands remous dans le monde de la cybersécurité.
Tel est pris qui croyait prendre
La Chine, elle, n'a semble-t-il pas attendu 2016 pour s'emparer d'EpMe et en faire une arme à son propre service. Selon Check Point, le fameux groupe de hackers nommé APT31, que l'on dit lié au pouvoir central chinois, a dès 2014 développé ses propres outils d'intrusion, en utilisant une partie du code d'EpMe.
APT31 a fait usage de son cheval de Troie de 2015 à 2017, date à laquelle Microsoft a enfin comblé la vulnérabilité de Windows dont tout est parti. L'année 2017 est également celle où Lockheed Martin, géant américain de l'armement aux projets sensibles par essence, a découvert le mouchard chinois chez l'un de ses partenaires.
Si Lockheed Martin affirme ne pas avoir été lui-même touché, c'est la preuve, selon Check Point, que la version chinoise d'EpMe a été utilisée pour espionner des cibles américaines.
Selon la firme de sécurité israélienne, les hackers d'APT31 ont pu directement recopier une partie du code d'EpMe, y compris certaines parties inutiles. Cela semble indiquer qu'ils ont bénéficié d'un accès direct à l'outil américain –une affirmation que met cependant en doute un expert interrogé par Wired.
Il est possible, explique Check Point, que les hackers chinois aient pu mettre la main sur EpMe après l'avoir découvert dans un système chinois que l'Equation Group avait pénétré pour le compte de la NSA. Voire qu'ils aient directement réussi à fouiner dans les serveurs de l'Equation Group –donc, par extension, de la NSA elle-même.
L'arroseur a été donc arrosé, et l'espion espionné. L'affaire montre à nouveau à quel point jouer avec des vulnérabilités logicielles majeures, plutôt que de les signaler et les faire réparer, peut se révéler être un jeu dangereux, et une arme à double tranchant.
Thomas Burgel