Les allégations sur les traitements réservés aux Ouïghours, la minorité musulmane de Chine, par le Parti communiste chinois, et faisant intervenir l'outil informatique, sont diverses et variées et ne datent pas d'aujourd'hui. La dernière en date est une attaque visant les appareils Apple dans le cadre d'une compétition de piratage informatique, la Tianfu Cup, mais aurait finalement été détournée pour espionner les Ouïghours. Les autorités américaines auraient ensuite discrètement informé Apple de l'existence de la faille après l'avoir découverte, estimant que la Tianfu Cup est un lieu où la Chine obtient des vulnérabilités zero-days et les exploite.La Tianfu Cup cacherait-elle ses réelles ambitions ?
Les chercheurs en cybersécurité et les pirates informatiques chinois font probablement partie de l'élite mondiale, au côté de leurs homologues russes et américains, car ils sont les plus souvent cités dans les attaques et les découvertes de vulnérabilités. Au Canada, s'il y a le Pwn2Own, un concours de piratage informatique qui octroie une récompense financière et un droit de vantardise éternel à un pirate ou un groupe de pirates qui parviennent à trouver et à exploiter des vulnérabilités logicielles zero-days, en Chine, il y a la Tianfu Cup, un concours qui partagerait les mêmes ambitions.
En effet, à en croire les faits présentés dans un rapport publié cette semaine par le MIT Technology Review, la Tianfu Cup serait une manière déguisée pour le PCC (Parti communiste chinois) de trouver des vulnérabilités zero-days dans les logiciels et de les exploiter ensuite, contrairement au Pwn2Own qui a également pour vocation de trouver les mêmes types de vulnérabilité, mais s'engage à les communiquer en premier aux entreprises concernées afin qu'elles soient corrigées avant d'être divulguées. La Tianfu Cup a vu le jour en novembre 2018 pour empêcher les pirates chinois d'aller vers l'occident pour participer au Pwn2Own.
Lors de la première édition dans le même mois, le premier prix, d'une valeur de 200 000 dollars, a été attribué au chercheur Qixun Zhao de Qihoo 360, qui a présenté une remarquable chaîne d'exploits lui permettant de prendre facilement et de manière fiable le contrôle des iPhone, même les plus récents. Le rapport explique qu'à partir d'un point de départ situé dans le navigateur Web Safari, il aurait trouvé une faiblesse dans le noyau du système d'exploitation des iPhone. Le résultat ? Un attaquant distant peut prendre le contrôle de n'importe quel iPhone qui visite une page Web contenant le code malveillant de Qixun.
C'est le genre de piratage qui peut potentiellement être vendu pour des millions de dollars sur le marché libre afin de permettre aux criminels ou aux gouvernements d'espionner un grand nombre de personnes. Qixun l'aurait nommé "Chaos". Deux mois plus tard, en janvier 2019, Apple aurait publié une mise à jour qui corrigeait la faille. Il y aurait eu peu de fanfares, juste une note rapide de remerciement à ceux qui l'ont découverte. Cependant, en août de la même année, Google aurait publié une analyse mentionnant une campagne inédite de piratage qui, selon lui, "exploitait les iPhone en masse".
Selon le rapport, les chercheurs ont identifié cinq chaînes d'exploits distinctes qu'ils avaient repérées "dans la nature". Parmi elles, l'exploit qui a permis à Qixun de remporter le premier prix à Tianfu Cup, qui, selon eux, a également été découvert par un "attaquant" anonyme. Les chercheurs de Google auraient souligné les similitudes entre les attaques qu'ils ont découvertes dans le monde réel et Chaos. En revanche, le rapport estime que ces derniers ont omis de révéler l'identité des victimes et des attaquants, qui sont en réalité les musulmans ouïghours et le gouvernement chinois.
L'arsenal informatique de la Chine contre les Ouïghours
D'après le rapport du MIT Technology Review, en 2017, le gouvernement chinois aurait interdit aux pirates et aux chercheurs chinois en cybersécurité de participer au Pwn2Own à la suite d'un commentaire de Zhou Hongyi, le milliardaire fondateur et PDG du géant chinois de la cybersécurité Qihoo 360, l'une des plus importantes entreprises technologiques de Chine. Dans une interview accordée au site d'information chinois Sina, Zhou Hongyi aurait déclaré que les bons résultats obtenus lors de tels événements [les compétitions de piratages] ne représentaient qu'un succès "imaginaire".
Zhou aurait prévenu qu'une fois que les pirates chinois ont montré leurs vulnérabilités lors de compétitions à l'étranger, celles-ci ne peuvent "plus être utilisées". Selon lui, les pirates et leurs connaissances devraient plutôt "rester en Chine" afin de pouvoir reconnaître la véritable importance et la "valeur stratégique" des vulnérabilités logicielles. Selon le rapport, c'est à la suite de ces dires qu'est né le...[/les compétitions de piratages]
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Quel est votre avis sur le sujet ?