Des sites gouvernementaux et privés surveillés depuis la CHINE

1295 ordinateurs infiltrés dans 103 pays

En juin 2008 des proches du dalaï lama ont alerté des experts après avoir trouvé un programme anormal sur un PC

La carte ci-dessous résume le travail de cette équipe de chercheurs canadiens du Munk insitute for international studies de l’université de Toronto.

Un réseau baptisé GhostNet

Taille des cercles proportionnelle au nombre d’ordinateurs touchés par pays.

sources : Rue89 et NYtimes

________

Le bureau du dalaï lama à Dharamsala (siège du gouvernement tibétain en exil)

Le logiciel douteux repéré dans les ordinateurs de l’organisation tibétaine a permis de dévoiler ce réseau. En 9 mois (de Juin 2008 à Mars 2009) plusieurs experts  ont mis en évidence des infiltrations par les mails. Les programmes espions s’installaient à l’ouverture d’un mail ou après un clic sur un lien. Une mécanique très efficace et des mails très bien faits dit un des chercheurs.

Les 4 Chercheurs de l’université de Toronto. De g à d : Ronald J. Deibert, Greg Walton, Nart Villeneuve et Rafal A. Rohozinski.

Ils ont retrouvé des traces d’intrusions depuis 2007. Essentiellement en Asie. Des sites de ministères, des ambassades et des bureaux du dalaï lama ont été visités à Bruxelles, New-York ou Londres. Pour la France il y a eu 15 intrusions dont l’une à l’Ambassade de Roumanie.

Le piratage venait de 3 serveurs en Chine mais pour autant les auteurs ne désignent pas le gouvernement chinois. Il peut s’agir de pirates isolés que l’on appelle les « hackers patriotiques »

________

Une fois le programme implanté les pirates avaient accès à tous les documents, ils pouvaient aussi surveiller une pièce en activant la webcam du PC ou son micro

Ce rapport cite quelques exemples d’intrusion ou de surveillance.

- Le dalaï lama reçoit un mail d’invitation d’un diplomate étranger. Dans la foulée ce diplomate reçoit un appel d’un officiel chinois pour tenter de la convaincre d’annuler la visite.

- Une militante qui organise des liaisons entre tibétains en exil et tibétains au Tibet a été interceptée en entrant au Tibet. Des policiers lui ont montrés des transcriptions de ces conversations en ligne. Elle a été  mise en garde.

L’équipe canadienne a aussi trouvé l’adresse d’un ordinateur de l’OTAN qui a été surveillé pendant une demi-journée. Également infiltré l’ambassade Indienne à Washington.

En conclusion de leur étude on peut lire cette phrase : Ce réseau GhostNet est toujours actif, une Douzaine d’ordinateurs est visitée chaque semaine.

_____

La clé : une série de 22 caractères

Une équipe rattachée à l’Université de Cambridge a réalisé la partie consacrée au bureau du dalaï lama à Dharamsala. Vous pouvez lire ce rapport en cliquant sur ce lien.

Mais c’est ensuite à Toronto que le réseau est apparu. Nart Villeneuve, un des experts, a trouvé une série bizarre de 22 caractères qui revenait dans tous les documents infectés. En faisant un copier/coller il a lancé une recherche sur Google et le moteur l’a conduit vers un site chinois qui n’était pas protégé par un mot de passe. L’équipe à alors trouvé la marche à suivre du programme espion.

Pour vérifier qu’il s’agissait du bon canal et du bon programme les chercheurs ont commandé une surveillance d’un PC de leur laboratoire et ça a marché. C’était le 12 mars dernier.

C’est en accédant au tableau de bord du site que l’équipe à pu découvrir les quelques 1300 sites visités dans 103 pays (Parmi les documents qu’ils ont copié il y a un rapport d’activité du 22 mai 2007).

L’étude de Cambridge est alarmiste. Selon les auteurs c’est une nouvelle menace qu’il faut prendre au sérieux car elle peut toucher des banques, des administrations etc… « La protection sera dure et le défi sera de la rendre abordable financièrement »

Passez la souris sur ce lien pour accéder à l’intégralité du rapport sur GhostNet