Un concours de piratage chinois a peut-être donné à Pékin de nouvelles façons d’espionner les Ouïghours

Un concours de piratage chinois a peut-être donné à Pékin de nouvelles façons d'espionner les Ouïghours

Crédits: Herr Loeffler / Shutterstock

Quand Apple a annoncé dans un article de blog de 2019 avoir corrigé une vulnérabilité de sécurité dans son système d’exploitation iOS, la société a cherché à rassurer ses clients. L’attaque qui avait exploité la vulnérabilité, a déclaré Apple, était « étroitement concentrée » sur les sites Web présentant du contenu lié à la communauté ouïghoure.

Il est apparu depuis que la vulnérabilité en question a été découverte lors de la principale compétition de piratage en Chine, la Tianfu Cup, où un hacker professionnel a remporté un prix pour son travail de découverte. Le protocole normal serait d’informer Apple de la vulnérabilité. Mais il est allégué qu’au lieu de cela, la brèche a été tenue secrète, le gouvernement chinois l’acquérant pour espionner la minorité musulmane du pays.

Les concours de piratage sont un moyen établi pour les entreprises technologiques comme Apple de localiser et de remédier aux faiblesses de la cybersécurité de leurs logiciels. Mais avec l’augmentation des hacks soutenus par l’État, la suggestion que la Tianfu Cup alimente de nouvelles façons de surveiller Pékin est préoccupante, d’autant plus que les concurrents chinois ont dominé les compétitions internationales de piratage pendant des années.

Compétitions de piratage

Lorsqu’un logiciel est piraté, c’est souvent parce que des attaquants ont découvert et exploité une vulnérabilité de cybersécurité dont l’éditeur de logiciel ignorait l’existence. Trouver ces vulnérabilités avant qu’elles ne soient repérées par des cybercriminels ou des pirates informatiques soutenus par l’État peut faire économiser aux fournisseurs de technologie une énorme quantité d’argent, de temps et de lutte contre les incendies de relations publiques.

C’est pourquoi il existe des compétitions de piratage. Les entreprises technologiques fournissent le prix en argent et les chercheurs en cybersécurité – ou les pirates professionnels – se font concurrence pour le gagner en découvrant les faiblesses de sécurité cachées dans les logiciels les plus utilisés au monde. Des équipes telles que Zoom et Microsoft Teams ont été piratées avec succès lors de l’événement Pwn2Own d’avril, par exemple, considéré comme la principale compétition de piratage en Amérique du Nord.

Jusqu’en 2017, les hackers chinois sont repartis avec une forte proportion de prix offerts à Pwn2Own. Mais après qu’un milliardaire chinois a fait valoir que les pirates chinois devraient «rester en Chine» en raison de la valeur stratégique de leur travail, Pékin a répondu en interdisant aux citoyens chinois de participer à des concours de piratage à l’étranger. La Coupe Tianfu de Chine a été mise en place peu de temps après, en 2018.






Une démonstration vidéo du piratage de l’iPhone «Chaos».

Au cours de sa première année, un hacker participant à la Tianfu Cup a produit un hack primé qu’il a appelé « Chaos ». Le piratage pourrait être utilisé pour accéder à distance même aux derniers iPhones – le type de violation qui pourrait facilement être utilisé à des fins de surveillance. Google et Apple ont tous deux repéré le hack « dans la nature » deux mois plus tard, après avoir été utilisé de manière ciblée contre des utilisateurs d’iPhone ouïghours.

Bien qu’Apple ait atténué le piratage en deux mois, cette affaire montre que les compétitions nationales de piratage exclusives sont dangereuses, en particulier lorsqu’elles ont lieu dans des pays qui exigent que les citoyens coopèrent avec les demandes du gouvernement.

Les compétitions de piratage sont conçues pour exposer les vulnérabilités «zero-day» – des faiblesses de sécurité que les éditeurs de logiciels n’ont pas localisées ou prévues. Les hackers primés sont censés partager les techniques qu’ils ont utilisées afin que les vendeurs puissent trouver des moyens de les réparer. Mais garder les exploits zero-day privés ou les transmettre aux institutions gouvernementales augmente considérablement les chances qu’ils soient utilisés dans des attaques zero-day soutenues par l’État.

Attaques zero-day

Nous avons déjà vu des exemples de telles attaques. Au début de 2021, quatre vulnérabilités zero-day dans le serveur Microsoft Exchange ont été utilisées pour lancer des attaques généralisées contre des dizaines de milliers d’organisations. L’attaque a été liée à Hanium, un groupe de piratage informatique soutenu par le gouvernement chinois.

Un an plus tôt, le piratage de SolarWinds a compromis la sécurité de plusieurs agences fédérales américaines, notamment le département du Trésor et du commerce et le département de l’énergie, qui est en charge du stock nucléaire du pays. Le piratage a été lié à APT29, également connu sous le nom de « Cozy Bear », qui est le bras de piratage du service de renseignement extérieur russe, le SVR. Le même groupe aurait été impliqué dans la tentative de piratage d’organisations détenant des informations sur les vaccins COVID-19 en juillet 2020.

En Russie et en Chine du moins, des preuves suggèrent que des gangs de cybercriminels travaillent en étroite collaboration, et parfois de manière interchangeable, avec des groupes de piratage parrainés par l’État. Avec l’avènement de la Tianfu Cup, la Chine semble avoir accès à un nouveau vivier de talents de pirates informatiques experts, motivés par les prix de la compétition pour produire des hacks potentiellement nuisibles que Pékin pourrait être disposé à utiliser à la fois dans son pays et à l’étranger.


Les États-Unis se rapprochent des représailles pour le piratage alors que les cyber-problèmes se multiplient


Fourni par The Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.La conversation

Citation: Un concours de piratage chinois a peut-être donné à Pékin de nouvelles façons d’espionner les Ouïghours (2021, 24 mai) récupéré le 24 mai 2021 sur https://techxplore.com/news/2021-05-chinese-hacking-competition-beijing-ways .html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.