« La Chine est la source la plus prolifique, toutes nations confondues, de cyberattaques au monde contre les USA », d'après le directeur du FBI

Dans un discours au musée présidentiel Ronald Reagan

Le directeur du FBI, Christopher Wray, désigne la Chine comme la source la plus prolifique, toutes nations confondues, de cyberattaques contre les États-Unis. La sortie intervient dans un contexte marqué de cyberespionnage. Le récent cas de l’entreprise RM Cybernetics qui a fait l’acquisition d’une machine en Chine livrée avec des logiciels malveillants préinstallés l’illustre. Cyberattaques : une spécificité chinoise ?

Le directeur du FBI indique que le Bureau mène plus de 2000 enquêtes sur des incidents considérés comme des tentatives du gouvernement chinois « de voler des informations et des technologies des USA. »

« Le gouvernement chinois vole des volumes stupéfiants d'informations et cause des dommages profonds et destructeurs d'emplois dans un large éventail d'industries à tel point que, comme vous l'avez entendu, nous ouvrons constamment de nouvelles affaires pour contrer leurs opérations de renseignement, toutes les 12 heures environ », souligne-t-il.

Wray estime que l'offensive en ligne de la Chine est « plus importante que celles de toutes les autres grandes nations réunies et ajoute qu'elle (la Chine) dispose « d'un financement important, d'outils sophistiqués et qu'elle s'associe souvent à des cybercriminels ; en fait, à des cybermercenaires. »

Retour sur le cas RM Cybernetics

RM Cybernetics est spécialisé dans le développement d'appareils électroniques sur mesure pour la recherche scientifique, les projets média et le développement de produit. L’entreprise a fait l’acquisition d’une petite machine Pick and Place en Chine pour réaliser de petites séries et des prototypes. Ils ont décidé de documenter l'expérience d'achat et de configuration d'une machine Pick & Place ZhengBang ZB3245TSS. La société propose plusieurs autres modèles, mais RM Cybernetics a choisi celui-là, car il dispose de 58 emplacements d'alimentation possibles, ce qui signifie qu'ils pourraient conserver presque tous les composants CMS standard qu'ils utilisent habituellement dans la machine. RM a commandé la machine sur AliExpress pour un prix total d'environ 4000 £ GBP (4784 Є hors droits d'importation. Le colis est arrivé juste avant que les bureaux de RM ne ferment pour Noël et est donc resté emballé une semaine avant que l'équipe ne commence à le manipuler.


« Il n'y avait pas vraiment grand-chose à brancher sur la machine pour la faire démarrer. Fondamentalement, moniteur, clavier, souris. Lorsqu'elle est allumée, la machine démarre très rapidement dans Windows 7 Ultimate. Lorsque nous avons demandé au fournisseur si nous pouvions le mettre à jour vers W10, on nous a dit que cela empêcherait la machine de fonctionner. Un peu décevant, car il s'agit d'une toute nouvelle machine et W7 n'est plus pris en charge depuis janvier 2020.

« La machine était livrée avec deux barres en aluminium et une tige ronde qui n'étaient pas mentionnées dans le manuel ou les vidéos. Le support m'a dit que c'était pour tenir les plus grandes bobines et a envoyé une photo. Malheureusement, il semble qu'ils aient envoyé la mauvaise pièce, car il n'y a aucun moyen pour que ces pièces s'adaptent à la machine, ce qui signifie qu'à ce stade, nous ne pouvons utiliser que des bobines plus petites. Ils nous ont dit qu'ils nous enverraient la bonne pièce.

« Étant une machine provenant directement de Chine et à un coût relativement faible par rapport à un produit concurrent de marque, nous nous attendions à devoir faire un peu de travail pour commencer et contourner les bogues et défauts typiques des produits chinois. Une grande partie du système d'exploitation et des autres logiciels de la machine étaient en chinois, ce qui est un peu pénible, mais le principal logiciel d'exploitation était en anglais (enfin, en quelque sorte).

« L'ouverture du logiciel appelé FlyerSMT_HV a fait apparaître une interface d'apparence rudimentaire sans surprise, qui hébergeait la machine sans aucune difficulté. Nous avons déjà utilisé des machines pick and place, nous connaissons donc leur fonctionnement, nous avons donc jeté un coup d'œil rapide sur les réglages et les commandes. Ils semblaient assez familiers bien que les mots anglais utilisés pour les décrire soient un peu difficiles à comprendre. Eh bien, il y a toujours un manuel d'utilisation complet auquel se référer, n'est-ce pas ?… N'est-ce pas ? »

« Il y avait un raccourci sur le bureau de la machine vers un manuel d'utilisation en anglais pour la machine. Il y avait aussi un fichier vidéo montrant la configuration de base. Les premières pages du manuel montrent toutes les pièces et les boutons indiquant leur nom, mais seulement leur nom et peu de choses sur ce qu'ils peuvent faire. Par exemple, il y a un gros bouton sur le côté de la machine qui s'appelle "FAST BOOT", et dans le manuel il est marqué d'une étiquette disant "Fast Boot"... et c'est tout*! On pourrait deviner qu'il s'agissait d'une sorte de démarrage rapide pour la machine, bien qu'avec le démarrage à partir d'un SSD, il ait été assez rapide de toute façon. Si vous deviniez également la même chose, vous auriez tort. Nous avons dû demander au fournisseur ce qu'il fait, car rien dans le manuel ou les vidéos ne le décrit. On nous a dit "Fast Boot est un bouton, si vous avez terminé une fois le placement, puis cliquez sur ce bouton, il placera directement un autre PCB."

« L'une des premières choses à faire avec une machine pick and place est de configurer les chargeurs avec vos composants. Il y a une section à ce sujet dans le manuel, mais encore une fois c'est très vague et nous avons dû contacter le support pour clarifier certains points. Vous pourriez vous attendre à ce que chacun des paramètres d'entrée soit décrit dans le manuel, mais malheureusement ce n'est pas le cas. Le mauvais anglais rend encore plus difficile à comprendre. Le support nous a envoyé une sélection de vidéos YouTube avec des conseils qui nous ont aidés ».

« À ce stade, nous avons pensé que nous pouvions au moins commencer à éditer les chargeurs et à configurer de manière à ce que le logiciel de la machine soit sauvegardé sur une clef USB au cas où nous aurions gâché quoi que ce soit. Lorsque vous avez branché cette clef USB sur l'un de nos postes de travail, l'antivirus a immédiatement affiché une boîte de dialogue disant qu'il désinfectait le lecteur*! L'examen du journal a montré qu'il s'agissait du fichier "FlyerSMT_HV.exe" qui est le principal logiciel d'exploitation de la machine ! Ce fichier a été téléchargé sur VirusTotal pour avoir une idée s'il peut s'agir d'un faux résultat positif. VirusTotal nous a dit que 53 sur 69 produits antivirus l'ont signalé comme un logiciel malveillant. L'assistance de Zhengbang en a été informée et ils nous ont dit qu'il s'agissait d'un faux positif et qu'il ne fallait pas s'inquiéter, car un logiciel antivirus était installé sur la machine. Nous avons reçu un nouveau fichier zip contenant le logiciel. Le contenu de ce fichier zip n'a pas été signalé comme contenant...