Le directeur du FBI, Christopher Wray, désigne la Chine comme la source la plus prolifique, toutes nations confondues, de cyberattaques contre les États-Unis. La sortie intervient dans un contexte marqué de cyberespionnage. Le récent cas de l’entreprise RM Cybernetics qui a fait l’acquisition d’une machine en Chine livrée avec des logiciels malveillants préinstallés l’illustre. Cyberattaques : une spécificité chinoise ? Le directeur du FBI indique que le Bureau mène plus de 2000 enquêtes sur des incidents considérés comme des tentatives du gouvernement chinois « de voler des informations et des technologies des USA. »
« Le gouvernement chinois vole des volumes stupéfiants d'informations et cause des dommages profonds et destructeurs d'emplois dans un large éventail d'industries à tel point que, comme vous l'avez entendu, nous ouvrons constamment de nouvelles affaires pour contrer leurs opérations de renseignement, toutes les 12 heures environ », souligne-t-il.
Wray estime que l'offensive en ligne de la Chine est « plus importante que celles de toutes les autres grandes nations réunies et ajoute qu'elle (la Chine) dispose « d'un financement important, d'outils sophistiqués et qu'elle s'associe souvent à des cybercriminels ; en fait, à des cybermercenaires. »
Retour sur le cas RM Cybernetics
RM Cybernetics est spécialisé dans le développement d'appareils électroniques sur mesure pour la recherche scientifique, les projets média et le développement de produit. L’entreprise a fait l’acquisition d’une petite machine Pick and Place en Chine pour réaliser de petites séries et des prototypes. Ils ont décidé de documenter l'expérience d'achat et de configuration d'une machine Pick & Place ZhengBang ZB3245TSS. La société propose plusieurs autres modèles, mais RM Cybernetics a choisi celui-là, car il dispose de 58 emplacements d'alimentation possibles, ce qui signifie qu'ils pourraient conserver presque tous les composants CMS standard qu'ils utilisent habituellement dans la machine. RM a commandé la machine sur AliExpress pour un prix total d'environ 4000 £ GBP (4784 Є
hors droits d'importation. Le colis est arrivé juste avant que les bureaux de RM ne ferment pour Noël et est donc resté emballé une semaine avant que l'équipe ne commence à le manipuler. « Il n'y avait pas vraiment grand-chose à brancher sur la machine pour la faire démarrer. Fondamentalement, moniteur, clavier, souris. Lorsqu'elle est allumée, la machine démarre très rapidement dans Windows 7 Ultimate. Lorsque nous avons demandé au fournisseur si nous pouvions le mettre à jour vers W10, on nous a dit que cela empêcherait la machine de fonctionner. Un peu décevant, car il s'agit d'une toute nouvelle machine et W7 n'est plus pris en charge depuis janvier 2020.
« La machine était livrée avec deux barres en aluminium et une tige ronde qui n'étaient pas mentionnées dans le manuel ou les vidéos. Le support m'a dit que c'était pour tenir les plus grandes bobines et a envoyé une photo. Malheureusement, il semble qu'ils aient envoyé la mauvaise pièce, car il n'y a aucun moyen pour que ces pièces s'adaptent à la machine, ce qui signifie qu'à ce stade, nous ne pouvons utiliser que des bobines plus petites. Ils nous ont dit qu'ils nous enverraient la bonne pièce.
« Étant une machine provenant directement de Chine et à un coût relativement faible par rapport à un produit concurrent de marque, nous nous attendions à devoir faire un peu de travail pour commencer et contourner les bogues et défauts typiques des produits chinois. Une grande partie du système d'exploitation et des autres logiciels de la machine étaient en chinois, ce qui est un peu pénible, mais le principal logiciel d'exploitation était en anglais (enfin, en quelque sorte).
« L'ouverture du logiciel appelé FlyerSMT_HV a fait apparaître une interface d'apparence rudimentaire sans surprise, qui hébergeait la machine sans aucune difficulté. Nous avons déjà utilisé des machines pick and place, nous connaissons donc leur fonctionnement, nous avons donc jeté un coup d'œil rapide sur les réglages et les commandes. Ils semblaient assez familiers bien que les mots anglais utilisés pour les décrire soient un peu difficiles à comprendre. Eh bien, il y a toujours un manuel d'utilisation complet auquel se référer, n'est-ce pas ?… N'est-ce pas ? »
« Il y avait un raccourci sur le bureau de la machine vers un manuel d'utilisation en anglais pour la machine. Il y avait aussi un fichier vidéo montrant la configuration de base. Les premières pages du manuel montrent toutes les pièces et les boutons indiquant leur nom, mais seulement leur nom et peu de choses sur ce qu'ils peuvent faire. Par exemple, il y a un gros bouton sur le côté de la machine qui s'appelle "FAST BOOT", et dans le manuel il est marqué d'une étiquette disant "Fast Boot"... et c'est tout*! On pourrait deviner qu'il s'agissait d'une sorte de démarrage rapide pour la machine, bien qu'avec le démarrage à partir d'un SSD, il ait été assez rapide de toute façon. Si vous deviniez également la même chose, vous auriez tort. Nous avons dû demander au fournisseur ce qu'il fait, car rien dans le manuel ou les vidéos ne le décrit. On nous a dit "Fast Boot est un bouton, si vous avez terminé une fois le placement, puis cliquez sur ce bouton, il placera directement un autre PCB."
« L'une des premières choses à faire avec une machine pick and place est de configurer les chargeurs avec vos composants. Il y a une section à ce sujet dans le manuel, mais encore une fois c'est très vague et nous avons dû contacter le support pour clarifier certains points. Vous pourriez vous attendre à ce que chacun des paramètres d'entrée soit décrit dans le manuel, mais malheureusement ce n'est pas le cas. Le mauvais anglais rend encore plus difficile à comprendre. Le support nous a envoyé une sélection de vidéos YouTube avec des conseils qui nous ont aidés ».
« À ce stade, nous avons pensé que nous pouvions au moins commencer à éditer les chargeurs et à configurer de manière à ce que le logiciel de la machine soit sauvegardé sur une clef USB au cas où nous aurions gâché quoi que ce soit. Lorsque vous avez branché cette clef USB sur l'un de nos postes de travail, l'antivirus a immédiatement affiché une boîte de dialogue disant qu'il désinfectait le lecteur*! L'examen du journal a montré qu'il s'agissait du fichier "FlyerSMT_HV.exe" qui est le principal logiciel d'exploitation de la machine ! Ce fichier a été téléchargé sur VirusTotal pour avoir une idée s'il peut s'agir d'un faux résultat positif. VirusTotal nous a dit que 53 sur 69 produits antivirus l'ont signalé comme un logiciel malveillant. L'assistance de Zhengbang en a été informée et ils nous ont dit qu'il s'agissait d'un faux positif et qu'il ne fallait pas s'inquiéter, car un logiciel antivirus était installé sur la machine. Nous avons reçu un nouveau fichier zip contenant le logiciel. Le contenu de ce fichier zip n'a pas été signalé comme contenant des logiciels malveillants.
« Nous avons envoyé le fichier pour analyse de logiciels malveillants, ce qui a confirmé qu'il contenait effectivement des logiciels malveillants. Le logiciel malveillant collecterait les données des utilisateurs et les enverrait à une adresse distante. Vraisemblablement, cela pourrait être un moyen de voler des informations sur l'entreprise telles que des conceptions, des comptes, etc., ou d'installer un rançongiciel sur d'autres machines. Des trucs plutôt louches ! Cependant, cela ne s'arrête pas là !
« Avec le nouveau logiciel non infecté de Zhengbang, nous avons pensé que nous pouvions simplement remplacer celui qui était infecté et réessayer. Cela semblait fonctionner correctement, et nous avons également copié quelques outils de suppression de logiciels malveillants sur la machine pour nous en assurer. Lorsque vous remettez l'USB dans un poste de travail, Bit Defender apparaît à nouveau, mais signale maintenant les programmes d'installation pour les outils que nous venons de télécharger ! Ils montraient tous comme ayant la même infection que FlyerSMT_HV. Comment ceux-ci pourraient-ils être infectés alors qu'ils provenaient de sources légitimes et n'ont pas été signalés lors du téléchargement initial ?
« Après avoir analysé le PC intégré dans la machine Zhengbang, avec plusieurs outils antivirus différents, nous avons découvert d'autres logiciels malveillants, notamment des téléchargeurs de chevaux de Troie. Ce logiciel malveillant ferait une copie cachée de n'importe quel exe sur la clef USB, puis le reconditionnerait avec certains logiciels malveillants inclus. Des trucs astucieux !
« De nombreuses analyses et travaux manuels finissent par montrer que la machine n'est pas infectée et que les périphériques USB ne sont plus infectés. W7 a été mis à jour dans la mesure du possible, et jusqu'à présent, il semble OK. Vraiment, il serait préférable de remplacer le SSD par une copie anglaise légitime de Windows et de réinstaller uniquement le logiciel nécessaire. Cependant, nous devrons nous assurer que nous avons une copie de tous les pilotes nécessaires et ainsi de suite pour le remettre en marche.
« La machine est livrée avec une copie de Windows 7 Ultimate installée et avec les mises à jour désactivées. Cette version de Windows est très courante en tant que logiciel piraté et est souvent livrée avec des logiciels malveillants. Il se peut que ce soit la source du logiciel malveillant et que Zheng Bang ne le sache pas ou ne s'en soucie tout simplement pas. En tant qu'entreprise, je m'attendais à ce qu'ils vérifient cela car ils pourraient se retrouver avec leurs propres systèmes à l'usine compromis. Le fait qu'ils nous aient dit de ne pas en tenir compte plutôt que d'enquêter semble suspect. Cela indiquerait davantage la direction de certaines actions délibérées, mais qui sait vraiment. Depuis la publication de cet article, il a été lu des milliers de fois et a attiré l'attention de Zheng Bang lui-même. Ils ont expliqué qu'il s'agissait d'une erreur et ont proposé de corriger le problème, n'est-ce pas ? Non ! Le responsable nous a demandé de supprimer l'article ! »
« Nous avons contacté Ali Express pour signaler que des machines étaient vendues avec des logiciels malveillants préinstallés, mais leur réponse n'a pas été reçue. Ils ont déclaré que cela ne violait pas leurs conditions et qu'aucune mesure ne serait prise. Bien que cela ne soit pas contraire à leur politique, nous savons que c'est contraire à la loi britannique conformément à la loi sur l'utilisation abusive des ordinateurs. L'infection délibérée de systèmes utilisant des subterfuges pour accéder à des données informatiques sans autorisation est une infraction pénale. Donc voilà, si vous voulez vendre des machines avec des logiciels malveillants pour des moyens illégaux, Ali Express semble ne pas vouloir l'arrêter*! Ci-dessous, la réponse qu'ils nous ont envoyée…
Envoyé par Ali Express
Veuillez noter que la ou les listes signalées ne sont ni interdites ni contrôlées en vertu de notre politique de liste de produits.
« Il y a eu quelques autres commentaires demandant pourquoi nous semblons garder la machine plutôt que de la rendre. Tout d'abord, c'était bon marché et nous nous attendions à avoir des problèmes avec. Il n'y a rien d'autre d'équivalent (à notre connaissance) dans cette fourchette de prix autre que plus de machines chinoises. Si vous avez déjà acheté quelque chose d'AliExpress ou d'autres produits directement en provenance de Chine, vous saurez qu'il faut réduire considérablement vos attentes. Il ne fonctionne pas sur notre réseau et dispose désormais d'un nouveau SSD et d'un système d'exploitation légitime, de sorte que le risque d'infection supplémentaire est minime. Le matériel semble raisonnablement robuste et nous espérons pouvoir en faire bon usage. Cela dit, s'il s'avère que nous ne pouvons pas construire de PCB de manière fiable avec, nous chercherons bien sûr un remboursement. Nous sommes une toute petite entreprise d'un être humain et demi seulement. COVID a causé toutes sortes de problèmes, nous laissant simplement boitiller, nous voulons donc vraiment faire fonctionner cette machine et essayer de faire certaines choses ».
Cyberespionnage : une spécificité chinoise ?
L’agence de sécurité américaine est connue comme un grand acteur dans le monde de l’espionnage informatique (retrouvez le dossier complet de rédaction sur l’espionnage de la NSA). En 2014, Der Spiegel a mis en avant un catalogue de 50 pages découvert quelques années auparavant et révélant qu’une division de la NSA appelée ANT, pouvant infiltrer toute sorte de systèmes informatiques, fournit des techniques d’infiltration à un département spécial de la NSA dénommé TAO pour Tailored Access Operation. C’est cette division qui se serait chargée d’installer des backdoor dans les appareils de nombreux constructeurs tels que Samsung, Apple, Western Digital, Seagate, Cisco System, Huawei, Dell pour ne citer que ceux-là.
En 2017, des chercheurs de Positive Technologies (un fournisseur de solutions de sécurité pour les entreprises) ont trouvé un moyen de désactiver le moteur d’administration Intel (en anglais, Intel Management Engine 11), un microcontrôleur contenu dans le pont sud (PCH) des PC modernes et pointé du doigt par l’Electronic Frontier Foundation (EFF) comme étant un risque pour la sécurité des possesseurs de PC. En effet, dans un billet de blog paru en mai dernier, l’EFF faisait état de vulnérabilités dans le module d’administration active (Active Management Technology, AMT), une couche micrologicielle, s’appuyant sur le moteur d’administration Intel, pour permettre à des administrateurs système de contrôler des ordinateurs via les réseaux d’entreprise dans lesquels ils sont insérés.
« Depuis 2008, la plupart des jeux de puces Intel contiennent un minuscule ordinateur appelé Management Engine (ME). La semaine dernière des vulnérabilités dans le module AMT de certains moteurs d’administration ont laissé beaucoup d’ordinateurs équipés de processeurs Intel vulnérables à des attaques locales et distantes. Bien qu’AMT puisse être désactivée, il n’existe présentement aucun moyen de désactiver ou limiter le moteur d’administration en général. Intel doit absolument en fournir un », prévenait alors l’organisation, soulignant au passage la relation entre l’AMT et le module d’administration.
Les chercheurs avaient fini par publier une procédure de désactivation qui consiste à flasher le firmware du module d’administration avec une version modifiée au niveau d’un bit particulier dénommé High Assurance Platform (HAP). Les chercheurs avaient au passage indiqué qu’Intel aurait mis ce bit à disposition d’agences gouvernementales américaines pour qu’elles puissent désactiver le module d’administration. En d’autres termes, elles pouvaient se prémunir d’éventuelles attaques par ce canal et se servir des vulnérabilités pour espionner.
Dans une réponse adressée aux chercheurs du centre européen, Intel avait déclaré qu’« en réponse aux requêtes formulées par des clients avec des besoins particuliers, nous explorons souvent la possibilité de désactiver certaines fonctionnalités. Dans ce cas, les modifications ont été faites à la demande de fabricants d’équipements soucieux de rester cohérents avec des exigences du programme gouvernemental High Assurance Platform (HAP). »
Source : discours
Et vous ?
Le lancement de cyberattaques est-il une spécificité chinoise ? Comment mettez-vous ce questionnement en lien avec la sortie du directeur du FBI ? Voir aussi :
La France prévoit un budget de 1,6 milliard pour ses cybercombattants, leur effectif devrait également passer à 4000 d'ici 2025 2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense 81 % des attaques au mobile financier seraient des ransomwares, selon un nouveau rapport d'Atlas VPN Le montant total payé par les victimes de ransomware a augmenté de 311 % en 2020, pour atteindre l'équivalent de près de 350 millions de dollars en cryptomonnaies selon Chainalysis Par appel téléphonique, des opérateurs derrière des ransomwares veulent intimider des victimes, qui souhaitent éviter de payer la rançon en tentant de restaurer le système depuis une sauvegarde 
