Opération Aurora - Définition

Introduction

L'Opération Aurora est une importante cyberattaque chinoise visant une trentaine d'entreprises principalement américaines, mise à jour le 12 janvier 2010 par Google, une des victimes. Les responsables ont été désignés comme agissant pour le compte du gouvernement chinois, même si celui-ci dément toute implication. Lorsque Google a annoncé son intention de quitter la Chine faute à de tels agissements, l'affaire a pris la tournure d'un incident diplomatique entre la République populaire de Chine et les États-Unis. Certains voient en cet acte une démonstration de force de la Chine.
Le 31 mars 2010, on apprenait que l'entreprise avait été une nouvelle fois l'objet d'une cyberattaque dans le but de censurer des opposants à un projet de mine de bauxite au Vietnam impliquant une société chinoise. Finalement, google cède aux pression de Pékin pour conserver sa licence d'exploitation d'internet, tout en proposant aux utilisateurs une redirection manuelle identique à celle proposée.

Origine du nom

L'attaque a été nommée "Opération Aurora" de Dmitri Alperovitch, Vice Président de recherche des menaces à la cybersécurité société McAfee. Cette appellation a pour origine le nom d'un dossier de fichier nommé «Aurora» dans les logiciels malveillants utilisés, qui se trouvait sur l'ordinateur de l'un des assaillants. Les chercheurs de McAfee ont affirmé que lorsque le pirate a compilé le code source pour le logiciel malveillant dans un fichier exécutable, le compilateur a inscrit le nom du répertoire originel sur la machine de l'attaquant.

Historique

Cibles visées et buts

D'après certaines enquêtes, cette opération a fait l'objet d'une grande préparation.

L'attaque a d'abord été publiée par Google le 12 janvier 2010 sur son blog officiel. Dans un billet, Google a déclaré que l'attaque provient de Chine. L'attaque ciblait 34 organisations au total, dont Adobe, Juniper Networks et Rackspace qui ont publiquement confirmé avoir été ciblés. Selon les médias, Yahoo, Symantec, Northrop Grumman et Dow Chemical faisaient également partie des cibles.

Complication de l'affaire avec Google

Dépôt de fleur pour le refus des conditions imposées par la Chine

À la suite de l'attaque, Google a déclaré dans son blog qu'il envisage d'arrêter la censure de son moteur de recherche en Chine "dans la légalité, voire pas du tout", et a reconnu que si ce n'est pas possible, l'entreprise pourrait quitter la Chine et fermer ses bureaux locaux. Les médias officiels chinois ont répondu en affirmant que l'incident fait partie d'une conspiration du gouvernement américain.

L'annonce de l'entreprise californienne fut perçue par certains forums comme un bluff, puisque le marché chinois de l'Internet est très porteur (384 millions d'internautes fin 2009) et que Microsoft annonçait son intention de poursuivre ses activités avec Bing malgré tout. Cet agissement fut perçu comme un acte de courage grandiose. Google est rapidement devenu en Chine et dans le reste du monde un défenseur de la liberté. Pour rendre hommage et affirmer leur soutien à de telles décisions, de nombreux chinois déposèrent sur l'édifice portant le logo de l'entreprise fleurs, bougies et mots de soutien. Ces actions sont devenues un phénomène très médiatisé, et l'affaire prit les tournures d'un incident diplomatique entre les États-Unis et la République populaire de Chine.

L'affaire tourne à l'incident diplomatique

Google n'a pas voulu laisser passer l'affaire, et a exploré les voies possibles pour retrouver les coupables. La presse américaine n'a pas tardé à retransmettre l'intention de coopération entre le géant d'internet et la NSA, ce qui a soulevé des questions quant aux destinées des banques de données de Google confiées au FBI et à la NSA afin de connaître les origines de la cyberattaque et ses instigateurs.

Dans la fin de la semaine du 14 au 21 mars, le New York Times affirmait, en se basant sur des sources anonymes chinoises, que l'Opération Aurora avait été menée depuis deux écoles chinoises spécialisées en informatique. Ces deux établissements -l'université de Shanghai Jiaotong et l'école spécialisée Lanxiang- rejetteront les accusations.

« Nous sommes choqués et indignés d'entendre ces allégations sans fondement qui pourrait nuire à la réputation de l'université [...]L'information du New York Times se base uniquement sur l'adresse IP. Au regard du développement de la technologie réseau, une telle information n'est ni objective ni équilibrée » relayait un porte-parole de l'université de Shanghai Jiatong à l'agence de presse Xinhua.

Hillary Clinton, ministre des affaires étrangères américaines, provoqua d'importantes tensions suite à un discours relatif aux faits, prononcé à Washington le jeudi 21 janvier 2010. Dans ce discours, elle présentait les États-Unis comme un pays défendant la liberté sur internet, radicalement opposé à la censure. Au contraire, la politique chinoise a été vivement dénoncée. Des formules choc y seront promulguées, sans jamais réellement expliciter le gouvernement chinois :

« J'espère que le refus de soutenir la censure politique va devenir une caractéristique typique des entreprises américaines dans le secteur des technologies. Je voudrais que cela devienne comme une marque nationale. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010,

« Quand les contrats menacent cette liberté, les entreprises doivent réfléchir à ce qui est juste, pas seulement à la perspective de profits rapides. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

«  les pays ou les individus qui se livrent à des cyber-attaques doivent en subir les conséquences et être condamnés internationalement. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

«  dans un monde connecté, une attaque contre les réseaux d'une nation peut être une attaque contre toutes les nations. »

— Hillary Clinton, Discours de Washington le jeudi 21 janvier 2010

De telles accusations, bien que ne désignant pas directement la Chine, rappellent les événements et les discours qui ont eu lieu pendant la Guerre froide. La secrétaire d'État des États-Unis a elle-même affirmé qu'« nouveau rideau est en train de s'abattre sur l'information dans une grande partie du monde. », ce qui reflète la phrase célèbre proférée par Churchill, suite à la Seconde Guerre mondiale.

Les autorités chinoises, qui ont nié en bloc toute implication depuis le début, ont tenté dans un premier temps de calmer l'affaire en affirmant qu'il ne s'agissait pas d'« un problème entre les gouvernements chinois et américain. » Pour le ministère des affaires étrangères chinois, ces accusations constituent des offenses infondées qu'il condamne : « Nous enjoignons les États-Unis de respecter les faits et d'arrêter de saisir le supposé problème de liberté d'expression sur l'Internet pour faire des reproches injustifiés à la Chine. » Par la suite, Pékin durcira le ton en accusant les États Unis de conspiration visant à dénigrer la Chine. Le Quotidien du peuple affichait sur son éditorial Internet que :« Ces déclarations et actes (de la part des Américains) se font au mépris de la réalité et portent atteinte à l'image de la Chine, mettant à mal le développement de relations sino-américaines saines et stables » en ajoutant qu'« Il n'est pas difficile de voir l'ombre du gouvernement américain derrière la politisation de l'affaire Google ».

Pour régulariser sa situation envers la censure et pour rester fidèle à ses engagements, Google agit, non pas en décensurant son moteur de recherche chinois, mais en redirigeant les utilisateurs vers la version basée à Hong-Kong, elle, non censurée. Cette esquive sera considérée par le gouvernement comme une violation de contrat : Google a « violé une promesse écrite qu'il avait faite en arrivant sur le marché chinois en arrêtant de filtrer son moteur de recherche ». Pékin a déjà commencé à bloquer certains services de la firme californienne et opérer des transformations de son accès sur l'Internet chinois. Par ailleurs, la presse numérique véhiculait l'information que le gouvernement chinois faisait pression sur les plus grands opérateurs nationaux pour annuler les commandes de téléphones sous android, système d'exploitation mobile phare de Google par mesure de représailles. Ces mesures ont été confirmées dès le lendemain, le jeudi 25 mars 2010.

Les répercussions chez Microsoft

Les gouvernements allemands, australiens et français ont publiquement émis des avertissements aux utilisateurs d'Internet Explorer après l'attaque, leur conseillant d'utiliser des navigateurs alternatifs, ne serait-ce que jusqu'à ce qu'un correctif pour la faille de sécurité soit disponible. De ce fait, ces trois gouvernements considèrent toutes les versions d'Internet Explorer vulnérables ou potentiellement vulnérables.

Dans une déclaration publiée le 14 janvier 2010, Microsoft a déclaré que les attaquants ont exploité une faille dans le navigateur. La vulnérabilité affecte les versions d'Internet Explorer 6, 7 et 8 sur Windows 7, Vista, Windows XP, Server 2003, Server 2008 SP2, ainsi qu'IE 6 sous Windows 2000 Service Pack 4.[24]

La technique d'exploitation d'Internet Explorer utilisée dans l'attaque a été publiée, et a été intégré dans l'outil de tests d'intrusion Metasploit. Ce procédé a été communiqué à Wepawet, un service permettant de détecter et d'analyser les logiciels malveillants, dirigé par le groupe de sécurité informatique à l'Université de Californie.

Microsoft a admis que la faille de sécurité utilisée était connue d'eux depuis septembre (2009). Le travail sur une mise à jour est depuis, devenu une priorité, et le jeudi 2 janvier 2010, Microsoft a publié un correctif de sécurité visant à contrer cette faiblesse. Cette opération n'a pas amélioré la popularité de Microsoft, et réveillé bien des craintes sur la fiabilité d'Internet Explorer, utilisé par des centaines de millions d'internautes.