L'opération Aurora est une importante cyberattaque chinoise, de type Advanced PersistentThreat, visant une trentaine d'entreprises principalement américaines[1], mise au jour le par Google, une des victimes. Les responsables ont été désignés comme agissant pour le compte du gouvernement chinois, même si celui-ci dément toute implication[1]. Lorsque Google a annoncé son intention de quitter la Chine face à de tels agissements, l'affaire a pris la tournure d'un incident diplomatique entre la république populaire de Chine et les États-Unis. Certains voient en cet acte une démonstration de force de la Chine.
Finalement, Google cède aux pressions de Pékin pour conserver sa licence d'exploitation d'Internet, tout en proposant aux utilisateurs une redirection manuelle identique à celle proposée antérieurement sur Hong-Kong.
L'attaque a été nommée «opération Aurora» par Dmitri Alperovitch, vice-président de recherche des menaces à la cybersécurité société McAfee. Cette appellation a pour origine le nom d'un dossier de fichier nommé «Aurora» dans les logiciels malveillants utilisés, qui se trouvait sur l'ordinateur de l'un des assaillants. Les chercheurs de McAfee ont affirmé que lorsque le pirate a compilé le code source pour le logiciel malveillant dans un fichier exécutable, le compilateur a inscrit le nom du répertoire originel sur la machine de l'attaquant[4].
Selon le Livre blanc de McAfee, les hackers ont eu accès à des logiciels de gestion des configurations, qui leur auraient permis de voler des codes sources ou d'y apporter discrètement des modifications afin de s'infiltrer incognito dans les versions commerciales ultérieures des produits des sociétés ciblées[5]. Le vol de code source permet aux pirates son étude minutieuse afin d'y dénicher des vulnérabilités puis de pouvoir les exploiter, en attaquant les clients qui utilisent le logiciel. Ainsi, cette attaque n'est non pas seulement un vol informatique, mais aussi une tentative de hacking et d'espionnage à grande échelle.
«Les SCM étaient grandes ouvertes. Nul n'a jamais pensé à les sécuriser, et pourtant ce sont les joyaux de la plupart de ces entreprises à bien des égards. Elles ont beaucoup plus de valeur que les données financières ou personnelles identifiables pour lesquelles ils font beaucoup d'effort pour leurs protection[5].»
—Dmitri Alperovitch, vice-président de McAfee pour la recherche menace
Historique
Cibles visées et buts
D'après certaines enquêtes, cette opération a fait l'objet d'une grande préparation.
Un contact chinois aurait affirmé à l'ambassade des États-Unis à Pékin que le gouvernement chinois était responsable de cette opération et que celle-ci était de nature strictement politique et visait essentiellement des dissidents. La question du contournement de la censure d'Internet en Chine est un enjeu majeur pour la Chine, qui y voit une menace des États-Unis pour sa stabilité[9].
Complication de l'affaire avec Google
Dépôt de fleur pour le refus des conditions imposées par la Chine
À la suite de l'attaque, Google a déclaré dans son blog qu'il envisage d'arrêter la censure de son moteur de recherche en Chine «dans la légalité, voire pas du tout», et a reconnu que si ce n'est pas possible, l'entreprise pourrait quitter la Chine et fermer ses bureaux locaux[10]. Les médias officiels chinois ont répondu en affirmant que l'incident fait partie d'une conspiration du gouvernement américain[11].
L'annonce de l'entreprise californienne fut perçue par certains forums comme un bluff, puisque le marché chinois de l'Internet est très porteur (384 millions d'internautes fin 2009[12]) et que Microsoft annonçait son intention de poursuivre ses activités avec Bing malgré tout[13]. Cet agissement fut perçu comme un acte de courage grandiose. Google est rapidement devenu en Chine et dans le reste du monde un défenseur de la liberté. Pour rendre hommage et affirmer leur soutien à de telles décisions, de nombreux chinois déposèrent sur l'édifice portant le logo de l'entreprise fleurs, bougies et mots de soutien[14]. Ces actions sont devenues un phénomène très médiatisé, et l'affaire prit les tournures d'un incident diplomatique entre les États-Unis et la république populaire de Chine.
Google n'a pas voulu laisser passer l'affaire, et a exploré les voies possibles pour retrouver les coupables. La presse américaine n'a pas tardé à retransmettre l'intention de coopération entre le géant d'Internet et la NSA[15], ce qui a soulevé des questions quant aux destinées des banques de données de Google confiées au FBI et à la NSA afin de connaître les origines de la cyberattaque et ses instigateurs.
Dans la fin de la semaine du 14 au , le New York Times affirmait, en se basant sur des sources anonymes chinoises, que l'Opération Aurora avait été menée depuis deux écoles chinoises spécialisées en informatique[16]. Ces deux établissements — l'université de Shanghai Jiaotong et l'école spécialisée Lanxiang — rejetteront les accusations[17].
«Nous sommes choqués et indignés d'entendre ces allégations sans fondement qui pourraient nuire à la réputation de l'université […] L'information du New York Times se base uniquement sur l'adresse IP. Au regard du développement de la technologie réseau, une telle information n'est ni objective ni équilibrée» relayait un porte-parole de l'université de Shanghai Jiatong à l'agence de presse Xinhua[17].
Hillary Clinton, ministre des Affaires étrangères américaine, provoqua d'importantes tensions à la suite d'un discours relatif aux faits, prononcé à Washington le jeudi . Dans ce discours, elle présentait les États-Unis comme un pays défendant la liberté sur Internet, radicalement opposé à la censure[18]. Au contraire, la politique chinoise a été vivement dénoncée. Des formules choc y seront promulguées, sans jamais réellement expliciter le gouvernement chinois:
«J'espère que le refus de soutenir la censure politique va devenir une caractéristique typique des entreprises américaines dans le secteur des technologies. Je voudrais que cela devienne comme une marque nationale[19].»
—Hillary Clinton,Discours de Washington le jeudi
«Quand les contrats menacent cette liberté, les entreprises doivent réfléchir à ce qui est juste, pas seulement à la perspective de profits rapides[19].»
—Hillary Clinton,Discours de Washington le jeudi
«les pays ou les individus qui se livrent à des cyberattaques doivent en subir les conséquences et être condamnés internationalement[19].»
—Hillary Clinton,Discours de Washington le jeudi
«dans un monde connecté, une attaque contre les réseaux d'une nation peut être une attaque contre toutes les nations[19].»
—Hillary Clinton,Discours de Washington le jeudi
De telles accusations, bien que ne désignant pas directement la Chine, rappellent les événements et les discours qui ont eu lieu pendant la guerre froide. La secrétaire d'État des États-Unis a elle-même affirmé qu'un «nouveau rideau est en train de s'abattre sur l'information dans une grande partie du monde»[19],[20], ce qui reflète la phrase célèbre proférée par Churchill, à la suite de la Seconde Guerre mondiale.
Les autorités chinoises, qui ont nié en bloc toute implication depuis le début, ont tenté dans un premier temps de calmer l'affaire en affirmant qu'il ne s'agissait pas d'«un problème entre les gouvernements chinois et américain»[21]. Pour le ministère des affaires étrangères chinois, ces accusations constituent des offenses infondées qu'il condamne: «Nous enjoignons les États-Unis de respecter les faits et d'arrêter de saisir le supposé problème de liberté d'expression sur l'Internet pour faire des reproches injustifiés à la Chine»[21]. Par la suite, Pékin durcira le ton en accusant les États-Unis de conspiration visant à dénigrer la Chine. Le Quotidien du peuple affichait sur son éditorial Internet que: «Ces déclarations et actes (de la part des Américains) se font au mépris de la réalité et portent atteinte à l'image de la Chine, mettant à mal le développement de relations sino-américaines saines et stables» en ajoutant qu'«Il n'est pas difficile de voir l'ombre du gouvernement américain derrière la politisation de l'affaire Google»[22].
Pour régulariser sa situation envers la censure et pour rester fidèle à ses engagements, Google agit, non pas en décensurant son moteur de recherche chinois, mais en redirigeant les utilisateurs vers la version basée à Hong Kong, elle, non censurée[23],[24]. Cette esquive sera considérée par le gouvernement comme une violation de contrat[24]: Google a «violé une promesse écrite qu'il avait faite en arrivant sur le marché chinois en arrêtant de filtrer son moteur de recherche»[25]. Pékin a déjà commencé à bloquer certains services de la firme californienne et opérer des transformations de son accès sur l'Internet chinois. Par ailleurs, la presse numérique véhiculait l'information que le gouvernement chinois faisait pression sur les plus grands opérateurs nationaux pour annuler les commandes de téléphones sous Android, système d'exploitationmobile phare de Google par mesure de représailles[26]. Ces mesures ont été confirmées dès le lendemain, le jeudi [27].
Les répercussions chez Microsoft
Les gouvernements allemands, australiens et français ont publiquement émis des avertissements aux utilisateurs d'Internet Explorer après l'attaque, leur conseillant d'utiliser des navigateurs alternatifs, ne serait-ce que jusqu'à ce qu'un correctif pour la faille de sécurité soit disponible[28],[29]. De ce fait, ces trois gouvernements considèrent toutes les versions d'Internet Explorer vulnérables ou potentiellement vulnérables.
La technique d'exploitation d'Internet Explorer utilisée dans l'attaque a été publiée, et a été intégrée dans l'outil de tests d'intrusion Metasploit. Ce procédé a été communiqué à Wepawet, un service permettant de détecter et d'analyser les logiciels malveillants, dirigé par le groupe de sécurité informatique à l'université de Californie.
Microsoft a admis que la faille de sécurité utilisée était connue d'eux depuis septembre 2009[30]. Le travail sur une mise à jour est depuis, devenu une priorité, et le jeudi , Microsoft a publié un correctif de sécurité visant à contrer cette faiblesse. Cette opération n'a pas amélioré la popularité de Microsoft, et réveillé bien des craintes sur la fiabilité d'Internet Explorer, utilisé par des centaines de millions d'internautes[31].
