L'espionnage international ne se résume pas toujours à des logiciels malveillants sophistiqués et à des failles de sécurité « zero-day ». Parfois, il suffit simplement de se faire passer pour quelqu'un d'autre et de demander une faveur.
Pendant quatre ans, c'est exactement ce qu'a fait un ingénieur aérospatial chinois. Des dizaines de chercheurs de la NASA, de l'armée américaine et de grandes universités lui ont fourni exactement ce qu'il leur avait demandé, enfreignant peut-être ainsi la législation américaine.
Il s'appelle Song Wu. Il figure sur la liste des personnes recherchées par le FBI depuis septembre 2024, où il est inculpé de 14 chefs d'accusation pour fraude électronique et de 14 chefs d'accusation pour usurpation d'identité aggravée, et il est toujours en fuite.
À titre professionnel, Wu travaillait comme ingénieur à l'Aviation Industry Corporation of China (AVIC), un conglomérat public spécialisé dans l'aérospatiale et la défense, dont le siège se trouve à Pékin et qui compte plus de 400 000 employés. Les États-Unis ont inscrit l'AVIC et plusieurs de ses filiales sur une liste de sanctions.
Son activité parallèle était plus simple. De janvier 2017 à décembre 2021, Wu a créé des comptes de messagerie en se faisant passer pour de véritables chercheurs et ingénieurs américains, puis a envoyé des e-mails à leurs collègues pour leur demander du code source et des logiciels propriétaires. Il a ciblé des employés de la NASA, de l'armée de l'air, de la marine, de l'armée de terre et de la FAA, ainsi que des enseignants d'universités à travers les États-Unis.
Quand un logiciel devient une arme
Les applications qui intéressaient Wu concernaient l'ingénierie aérospatiale et la dynamique des fluides computationnelle. Il s'agit du type de propriété intellectuelle qui permet de mettre au point des missiles tactiques de pointe et d'évaluer les performances des armes ; selon le Bureau de l'inspecteur général de la NASA , ces données relèvent clairement des contrôles à l'exportation américains. Les divulguer à la mauvaise personne, même par inadvertance, constitue une infraction fédérale.
Certaines victimes ont effectivement transmis le code demandé. Elles enfreignaient, selon la formulation prudente de l'OIG, « à leur insu » la législation sur le contrôle des exportations.
Comment une campagne qui a duré quatre ans a finalement abouti
Ce n'est pas un pare-feu qui a permis d'arrêter Wu. C'est une dénonciation.
La division chargée de la cybercriminalité de la NASA a reçu un signalement indiquant que quelqu’un avait créé un compte Gmail en se faisant passer pour un professeur de renom dans le domaine aérospatial, collaborant régulièrement avec la NASA. À partir de cette seule piste, les enquêteurs ont mis au jour une campagne qui visait discrètement des dizaines de chercheurs au sein du gouvernement fédéral et du monde universitaire.
L'OIG a également relevé certains indices révélateurs : Wu a demandé plusieurs fois le même logiciel sans jamais expliquer pourquoi il en avait besoin. Ce sont là des indices que n'importe qui aurait pu repérer lors d'un après-midi tranquille, à condition d'y prêter attention.
À venir
La campagne de Wu a fonctionné pendant quatre ans en ne recourant qu’à des comptes de messagerie fictifs et à une analyse ciblée assez efficace. Il n’est qu’un ingénieur, mais le problème dépasse largement sa personne.
Christopher Wray, alors directeur du FBI, a déclaré devant la Select de la Chambre des représentants en 2024 que :
« La République populaire de Chine dispose d'un programme de piratage informatique plus important que celui de toutes les autres grandes nations réunies. »
« Même si tous les agents américains spécialisés dans la cybersécurité ne s'occupaient que de cela, hackers chinois hackers encore 50 fois plus nombreux qu'eux », a-t-il déclaré.
L'ingénierie sociale reste un problème, et les imposteurs sont de plus en plus convaincants grâce à l'utilisation de deepfake . Les cybercriminels ont recours au clonage vocal et même deepfake pour infiltrer leurs cibles en se faisant passer pour des candidats à un entretien d'embauche. D'autres inversent la tendance en se faisant passer pour des recruteurs sur LinkedIn d'inciter des candidats potentiels à télécharger des logiciels malveillants.
Le spear-phishing posait déjà suffisamment de problèmes lorsqu’il s’agissait d’un seul individu à Pékin disposant d’un compte Gmail. Le problème va prendre une ampleur bien plus grande lorsque le prochain Wu utilisera l’IA générative pour rédiger ses e-mails, reproduira le style d’écriture d’un véritable chercheur et mettra en œuvre son plan d’attaque à la vitesse de l’éclair sur un millier de boîtes de réception.
Naviguez comme si personne ne vous regardait.
Malwarebytes Privacy VPN votre connexion et n'enregistre jamais vos activités, pour que le prochain article que vous lirez ne vous concerne pas personnellement.Essayez-le gratuitement →
