Archives par mot-clé : chine

Blocage de Telegram en Irak, Xiaomi bloque la messagerie en Chine

Les autorités occidentales souhaitent se rapprocher de Telegram pour traquer les cyber criminels, en Iraq et en Chine, la méthode est plus expéditive.

Telegram, la messagerie Russe dont l’auteur a délocalisé son business à Dubaï, fait couler beaucoup d’encre. Il faut dire aussi que les malveillants 2.0 et la guerre Russo-Ukrainienne ont fait migrer des millions de personnes sur cette message qui se veut sécurisée. Le blog spécialisé ZATAZ expliquait dans cet article comment les autorités occidentales tentent de se rapprocher de Telegram pour nouer des partenariats afin de bloquer et traquer les cyber criminels.

En Iraq, le ministère des Communications a annoncé le blocage de Telegram par le gouvernement pour des raisons « liées à la sécurité nationale« . Le Service Veille ZATAZ nous a fourni des captures écrans de vente de BDD irakiennes qui ont pu motiver le blocage de Telegram dans le pays.

Le message indique que le gouvernement a tenté à plusieurs reprises de contacter l’équipe de Telegram dans le but d’établir une coopération, mais n’a jamais reçu de réponse. Un fait que de nombreux pays reprochent à Telegram. « Nous respectons les droits des citoyens à la liberté d’expression et de communication sans porter atteinte à la sécurité de l’État, et nous sommes convaincus que les citoyens comprennent cette mesure [le blocage de Telegram] », ajoute le ministère des Communications d’Irak.

Telegram gagne rapidement en popularité, évinçant les produits de Facebook (WhatsApp, Messenger, Instagram Direct). A noter que Telegram abrite des représentations officielles d’organismes gouvernementaux irakiens qui continuent de publier des actualités sur la plateforme… malgré le blocage. Un blocage qui est facilement contourné par des VPN et des proxies.

A noter que des internautes Turcs et Géogiens se sont étonnés d’être, eux aussi, bloqués. Il est tout à fait possible que les réseaux des fournisseurs d’accès à Internet des pays voisins soient étroitement liés et que le blocage dans un pays ait des répercussions sur les autres.

L’une des principales raisons présumées du blocage de Telegram est la fuite de nombreuses données personnelles des citoyens irakiens à partir des bases de données gouvernementales. Le Service Veille ZATAZ a repéré de nombreuses fuites de données concernant le pays, comme celle visant l’université de technologie spatiale et l’université technique du Nord de l’Irak, ou encore la diffusion, il y a peu, des données des électeurs iraquiens ou d’une base de données baptisée : Sécurité Nationale Iraq. « Elles ont été volées à partir des dispositifs du ministère et n’ont pas été obtenues par des méthodes via le web, souligne le voleur. Les données contiennent toutes les informations sur les citoyens irakiens. »

Pendant ce temps, en Chine, le fabriquant de téléphone Xiaomi désactive Telegram pour les Chinois. Les résidents de Chine ne peuvent plus installer l’application de messagerie Telegram sur leurs smartphones. Selon Bleeping Computer, le système d’exploitation MIUI du géant technologique classe l’application comme dangereuse et la bloque. L’interface maison MIUI en est à sa quatorzième version (Android 13).

« Cette application est frauduleuse et son utilisation peut comporter le risque de devenir une victime d’escroquerie. Par mesure de sécurité, il est recommandé de prendre des mesures de protection pour éliminer la menace des applications dangereuses« , indique le message affiché pour les résidents de Chine lorsqu’ils essaient de lancer le programme. L’article établit un lien direct entre cet événement et l’ajout d’une fonctionnalité à MIUI 13 en 2022, qui permet de marquer les applications malveillantes et de les bloquer.

Suite à cela, l’entreprise a été soupçonnée de surveillance potentielle des utilisateurs et de préparation à des actes de censure. Ces soupçons se sont renforcés après que MIUI ait commencé à bloquer les applications qui permettaient aux utilisateurs de modifier les paramètres réseau en dehors des valeurs par défaut. Dans de tels cas, le système d’exploitation, comme c’est le cas actuellement avec Telegram, bloquait les applications qui ne lui plaisaient pas et essayait même de les supprimer de l’appareil.

Piratage de la police de Shanghai

Des pirates affirment avoir volé les données personnelles de plus d’un milliard de personnes domiciliées en Chine suite au piratage d’une base de données de la police de Shanghai. Possible ?

Lors d’une fuite de données de cette ampleur il est pratiquement impossible de vérifier la véracité de chaque entrée. Toutefois, sur la base d’un échantillon de données, les premiers rapports indiquent que la fuite est plutôt crédible. On ne sait toujours pas si les données proviennent d’une seule base de données, de bases de données liées ou de bases de données sans rapport entre elles, ce qui signifie que le nombre de citoyens concernés pourrait bien être inférieur au nombre de données communiquées.

 Le prix relativement faible proposé par les pirates pourrait sembler significatif, sauf que de nombreux pirates, depuis le lancement de la guerre lancée par la Russie à l’encontre de son voisin l’Ukraine, fait ressortir des fuites et des failles  gardées secrètes depuis des semaines, certaines mêmes depuis des mois. Les pirates ont besoin de liquidité. Les Sécurité du système d’information (SI) non maitrisés deviennent de vraies mines d’or pour les pirates !

Les données sont proposées pour 10 bitcoins (200 000 dollars), ce qui laisse penser que le pirate cherche peut-être à vendre les données à plusieurs acheteurs et donc de manière non exclusive. Certains pirates que j’ai pu rencontrer me disaient « nous préférons vendre à un petit montant 10 fois aujourd’hui, qu’espérer une grosse somme demain« . Effectivement, 10 fois 200 000 aujourd’hui et mieux qu’espérer tomber sur le bon acheteur à 2 millions demain !

« La valeur des données personnelles varie également d’un citoyen à l’autre, en grande partie en fonction de la possibilité de monétiser les données par le biais de l’usurpation d’identité ou de fraude, les nations occidentales telles que le Royaume-Uni et les États-Unis exigeant généralement un prix plus élevé. »  explique Toby Lewis, Global Head of Threat Analysis de Dartrace.

Il est intéressant de noter que les organes de censure chinois s’empressent de mettre fin à toute discussion sur cette fuite qui pourrait discréditer le gouvernement, dans la mesure où ce dernier est considéré comme la source présumée de la fuite. Cela peut être une indication de la véracité de l’affirmation, mais il peut s’agir simplement d’une tentative d’étouffer des rumeurs potentiellement dommageables.

Comment le Parti communiste chinois vole les travaux scientifiques

Des chercheurs de la société Avago, basée aux États-Unis et à Singapour, ont mis plus de 20 ans à développer une technologie capable d’améliorer les communications sans fil. Mais un employé a volé le fruit de leurs travaux au profit du gouvernement chinois. Les responsables américains voient dans ce vol un exemple de « l’approche extensive » du Parti communiste chinois qui consiste à voler des technologies et de la propriété intellectuelle. Son but ? Accroître sa puissance militaire et économique, et asseoir sa domination scientifique dans le monde.

La « fusion militaro-civile » s’inscrit dans cette logique. La FMC fait intervenir l’ensemble de la société : toutes les entreprises, toutes les personnes sont amenées à participer à la modernisation de l’armée chinoise, que ce soit en leur offrant des incitations, en les recrutant ou en leur forçant la main.

Voilà qui pose des problèmes considérables à tous ceux — universités, entreprises privées et pays — qui seraient prêts à travailler en collaboration avec leurs homologues chinois.

En mai, le président Trump a publié une proclamation visant à limiter la capacité du PCC à faire un usage abusif des visas d’étudiant pour acquérir indûment des technologies émergentes à l’appui de la FMC. En outre, les organes fédéraux d’application de la loi mènent plus d’un millier d’enquêtes sur le vol possible de technologies américaines, y compris pour les besoins de la FMC.

Le PCC a plusieurs cordes à son arc pour s’approprier les travaux de recherche d’autres pays. Il recrute des ressortissants chinois, paie secrètement des scientifiques étrangers pour qu’ils recréent leurs recherches en Chine et envoie des militaires à l’étranger en les faisant passer pour des civils. Le but est toujours le même : voler des technologies et des informations afin de faire progresser les objectifs militaires et de développement économique de la RPC.

Christopher Wray, le patron du FBI, a déclaré le 7 juillet que le PCC faisait « tout son possible pour exploiter l’ouverture » des démocraties afin de voler des données scientifiques.

Voici, par exemple, comment il s’y prend :

Le piratage d’entreprises étrangères

Dans un cas récent, deux pirates informatiques, en lien avec le ministère chinois de la Sécurité de l’État, ont ciblé des industries de haute technologie* dans 11 pays. Certaines développent des vaccins et des traitements contre la COVID-19.

Leur campagne de piratage, qui a duré plus de dix ans, a notamment ciblé les secteurs de la fabrication de haute technologie et de la défense ainsi que l’industrie pharmaceutique aux États-Unis, en Australie, en Allemagne, au Japon, en Espagne, en Corée du Sud, en Suède et au Royaume-Uni.

Le recrutement de citoyens chinois

En outre, pour faire avancer les objectifs militaires et de développement économique de la RPC, le PCC dispose de nombreux programmes de recrutement et de motivation de ressortissants chinois à l’étranger qui ont accès à des technologies et des informations sensibles.

Hongjin Tan, citoyen chinois et résident légal aux États-Unis, a postulé au programme de recrutement du PCC, le Plan des Mille Talents, et s’est engagé à « compiler » et à « absorber » la technologie américaine, a déclaré M. Wray.

Lorsqu’il a quitté son emploi dans une société pétrolière basée dans l’Oklahoma en décembre 2018, il a emporté des secrets industriels d’une valeur de plus d’un milliard de dollars. M. Tan a plaidé coupable de vol* et de transmission de secrets industriels, et a été condamné à 24 mois de prison.

En juin, Hao Zhang, un citoyen chinois de 41 ans, a été reconnu coupable d’espionnage économique* et de complot avec un ancien employé d’Avago, Wei Pang, en vue du vol de secrets industriels.

Les offres aux experts étrangers

Dans certains cas, Beijing a encouragé des scientifiques étrangers à recréer leurs recherches en Chine — alors qu’ils étaient financés simultanément par le gouvernement américain pour les mêmes travaux.

Selon des procureurs fédéraux, le programme des Mille talents du PCC s’est engagé à verser 50 000 dollars par mois à Charles Lieber, un chercheur à Harvard, et lui a accordé 1,5 million de dollars* pour établir un laboratoire de recherche à l’université de technologie de Wuhan. M. Lieber a accepté ce financement du gouvernement chinois sans les divulguer à Harvard ni à son bailleur de fonds, le département de la Défense, ce qui constitue une infraction aux règles et à la loi américaine.

M. Lieber est accusé d’avoir fait une déclaration fausse, fictive et frauduleuse.

Une enquête récente des Instituts nationaux de la santé (NIH) a révélé que 54 scientifiques ont été licenciés ou ont démissionné parce qu’ils n’avaient pas divulgué leurs liens financiers avec des gouvernements étrangers. Sur les 189 scientifiques visés par l’enquête, 93 % avaient des liens avec la RPC.

Yanqing Ye (FBI)

La dissimulation des affiliations militaires

Yanqing Ye, lieutenante dans l’Armée de libération du peuple, a envoyé des documents en Chine pendant qu’elle faisait des études dans la section de physique, chimie et génie biomédical de l’Université de Boston (BU), affirment des procureurs.

Elle s’est fait passer pour une étudiante sur sa demande de visa et a caché son affiliation militaire. L’un des chefs d’accusation retenus contre elle est d’être une agente d’un gouvernement étranger.

TEMP.Periscope : Des pirates Chinois, amateurs d’éléctions présidentielles ?

Il n’y aurait pas que les pirates Russes amateurs d’éléctions ? Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

TEMP.Periscope – La société américaine FireEye, une des « sources » des médias concernant les « pirates Russes« , annonce avoir examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyber attaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux Etats Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Gloabalement, selon FireEye, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe de pirates chinois. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux operations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des medias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coincide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Description de l’incident

FireEye a analysé trois serveurs qu’il pense être contrôlés par TEMP.Periscope, ce qui lui a permis d’obtenir des informations sur les objectifs et les tactiques opérationnelles du groupe, ainsi qu’un grand nombre de données techniques d’attribution/validation. Ces serveurs était “open indexés” et donc accessibles par quiconque sur l’Internet public, sans exiger la moindre identification. Ce type d’erreur permet d’obtenir des informations intéressantes sur les activités d’un groupe car, à la différence de données contenues dans des messages de spear phishing, des acteurs malveillants n’anticipent pas que ces données puissent être analysées. L’analyse de FireEye couvre la période allant d’avril 2017 jusqu’à aujourd’hui, la plupart des opérations actuelles étant concentrées sur les élections au Cambodge. Pour l’heure, nous retenons les domaines concernés.

Deux serveurs, Domain 1 et Domain 2, fonctionnent comme des serveurs C2 et des sites d’hébergement traditionnels, alors que le troisième, Domain 3, fonctionne comme un serveur SCANBOX actif. Les serveurs C2 contenaient à la fois les logs et le malware. Une étude des trois serveurs a révélé une adresse IP d’un acteur potentiel située à Hainan en Chine, et des données volées provenant d’attaques potentielles ciblant d’autres industries et secteurs dont l’éducation, l’aviation, la chimie, la défense, les administrations gouvernementales, le monde maritime et le high tech dans de multiples régions du monde. Les fichiers sur les serveurs comprenaient des malwares nouveaux (DADBOD, EVILTECH) et précédemment identifiés (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX ) utilisés par TEMP.Periscope.

Attaques sur les entités liées aux élections cambodgiennes

L’analyse des logs des victimes associées avec les serveurs identifiés a révélé des attaques ciblant de multiples entités cambodgiennes, principalement celles liées aux élections de juillet 2018. De plus, un email de spear phishing séparé analysé par FireEye a mis en évidence une action simultanée ciblant des figures de l’opposition au Cambodge. L’analyse a révélé que des organisations gouvernementales cambodgiennes et des individus ciblés avaient été attaqués comme la Commission Nationale des Elections, Ministère de l’Intérieur, Ministères des Affaires Etrangères et de la Coopération Internationale, Sénat du Cambodge, Ministère de l’Economie et des Finances. Des membres du Parlement représentant le Parti cambodgien du Sauvetage National. De multiples personnalités cambodgiennes partisans des droits de l’homme et de la démocratie ayant écrit des articles critiquant le parti actuellement au pouvoir. Deux diplomates cambodgiens en poste à l’étranger et de multiples organes de presse au Cambodge.

Le Domain 2 a été identifié comme le serveur C2 pour un malware AIRBREAK attaché à un message leurre envoyé à Monovithya Kem, Directeur Général Adjoint, Affaires Publiques, Parti Cambodgien du Sauvetage National (CNRP), et à la soeur de Ken Sokha, leader (emprisonné) d’un parti cambodgien de l’opposition. Le document leurre prétend provenir de LICADHO (une ONG cambodgienne fondée en 1992 pour promouvoir les droits de l’homme).

Une infrastructure également utilisée pour des opérations contre des entreprises privées

’infrastructure décrite plus haut a également été utilisée contre des entreprises privées en Asie, en Europe et en Amérique du Nord. Ces entreprises appartiennent à des industries très diverses, dont l’éducation, l’aviation, la chimie, le monde maritime et le high tech. Beaucoup de ces attaques sont en ligne avec les activités précédentes de TEMP.Periscope en direction des secteurs du maritime et de la défense. Toutefois, nous avons également découvert une attaque visant une société européenne dans la chimie très implantée en Asie, ce qui démontre que ce groupe est une menace pour des entreprises partout dans le monde, et particulièrement celles ayant des intérêts en Asie.

Un malware MURKYTOP de 2017 et des données contenues dans un fichier lié au domain 1 suggère qu’une entreprise impliquée dans l’industrie de la défense aux Etats Unis, peut être en lien avec la recherche maritime, a également été attaquée. De plus, des attaques probables d’une entreprise du secteur américain de la défense et d’une entreprise européenne dans la chimie ayant des bureaux en Asie ont été découvertes sur les serveurs “open indexés”.

Les Downloaders et Droppers AIRBREAK révèlent des indicateurs leurres

Les noms de fichiers pour les downloaders AIRBREAK trouvés sur les sites “open indexés” suggèrent aussi un intérêt marqué pour des cibles associées à la géopolitique liée à l’Asie orientale. De plus, l’analyse des sites downloaders AIRBREAK a révélé un serveur associé qui souligne l’intérêt de TEMP.Periscope pour la politique au Cambodge. Les downloaders AIRBREAK redirigent les victimes vers les sites indiqués pour afficher un document légitime mais leurre tout en téléchargeant un contenu malveillant AIRBREAK à partir d’un des serveurs C2 identifiés. A noter que le site hébergeant les documents légitimes n’a pas été compromis. Un domaine C2 supplémentaire, partyforumseasia[.]com, a été identifié comme la fonction de rappel (callback) pour un downloader AIRBREAK référençant le Parti Cambodgien du Sauvetage National.

Le serveur SCANBOX utilisé pour prévoir des opérations futures

e serveur SCANBOX actif, Domain 3, héberge des articles liés à la campagne actuelle au Cambodge et à des opérations plus larges. Les articles trouvés sur le serveur indiquent le ciblage d’intérêts liés à la géopolitique Etats Unis – Asie orientale, à la Russie et à l’OTAN. Les victimes sont probablement attirées sur le serveur SCANBOX soit via une attaque stratégique de site web soit via des liens malicieux dans des emails ciblés, l’article étant présenté comme un leurre. Les articles proviennent de contenus open source disponibles directement en ligne.

La suite de malwares de TEMP.Periscope

L’analyse du catalogue de malwares contenus sur les trois serveurs révèle une suite classique de contenus malveillants utilisés par TEMP.Periscope, dont les signatures d’AIRBREAK, MURKYTOP, et de HOMEFRY. De plus, l’enquête de FireEye a révélé de nouveaux outils, EVILTECH et DADBOD.

Les données contenues dans les logs renforcent l’attribution à la Chine

FireEye suit les activités de TEMP.Periscope depuis 2013 et de multiples facteurs nous conduisent à affirmer qu’il agit au nom du gouvernement chinois. Notre analyse des serveurs et des données associées dans cette dernière campagne renforcent cette affirmation. Les données du log d’accès au panneau de contrôle indique que les opérateurs sont probablement basés en Chine et travaillent sur des ordinateurs fonctionnant en langue chinoise. Les cibles historiques de TEMP.Periscope restent cohérentes avec les objectifs du gouvernement chinois, et les outils qu’il utilise sont cohérents avec ceux utilisés par de nombreuses autres équipes chinoises. Un log sur le serveur a révélé des adresses IP qui avaient été utilisées pour se connecter au logiciel employé pour communiquer avec le malware implanté sur des machines victimes. L’une de ces adresses IP, 112.66.188.xx, est située à Hainan, en Chine. D’autres adresses appartiennent à des serveurs virtuels privés, mais des éléments indiquent que les ordinateurs utilisés pour se connecter sont configurés pour fonctionner en chinois.

Perspectives et Implications

Les operations révélées ici fournissent un nouvel éclairage sur les activités de TEMP.Periscope. Nous connaissions déjà l’intérêt de cet acteur pour les affaires maritimes, mais cette campagne malveillante apporte des indications supplémentaires indiquant que ce groupe va cibler le système politique de pays possédant une importance stratégique. Le Cambodge a été un supporter fiable de la position de la Chine dans le Sud de la Mer de Chine au sein de forums internationaux tels que l’ASEAN, et figure parmi les partenaires importants du pays. Bien que le Cambodge soit classé comme Autoritaire dans le Democracy Index de The Economist, le récent renversement surprise du parti au pouvoir en Malaisie peut motiver la Chine à surveiller étroitement les élections du 29 juillet au Cambodge.

Le ciblage de la commision électorale est particulièrement significatif, en raison du rôle stratégique qu’elle joue pour inciter les gens à voter. Nous n’avons pas encore suffisamment d’informations expliquant pourquoi cette organisation a été attaquée – simplement pour récolter des informations ou dans le cadre d’une opération plus complexe. Quelle que soit la raison, cet incident est l’exemple le plus récent de l’implication aggressive d’un état nation dans les processus électoraux dans le monde. Bien que des activités liées à des élections aient seulement été découvertes en Asie du Sud Est, ce serait une erreur d’assumer que ces menaces ne peuvent pas se reproduire ailleurs.

Nous pensons que TEMP.Periscope va continuer à cibler un large éventail d’entités gouvernementales, d’organisations internationales et d’entreprises privées, particulièrement celles travaillant dans l’ingénierie ou des processus chimiques utilisés par des navires. Nous ne pensons pas qu’il va modifier beaucoup voire même un seul élément révélé par cette enquête, mais il continuera probablement à développer de nouvelles architectures d’intrusion via de nouveaux domaines, sites compromis, certificats et outils. FireEye prévoit que ces intrusions vont se poursuivre et monter en puissance aussi longtemps que le groupe y trouvera un intérêt.

Interdit d’interdire ! La Chine bloque de nombreuses applications iPhone

Le Ministère de la Santé Chinoise fait interdire de nombreuses applications après la modification de la législation locale. Skype résiste, mais pour combien de temps ?

La Chine fait interdire la VoIP ! Les utilisateurs Chinois d’iPhone sont de moins en moins à la fête après la modification de la loi Internet voté par le gouvernement. De nombreuses applications permettant de communiquer en mode VoIP ont été censurées. Le ministère de la santé publique a fait retirer plusieurs applications Voice-over-Internet-Protocol (VoIP). La loi ne les autorise plus sur le territoire Chinois.

Les boutiques d’Apple et Google souhaitant continuer à faire du business en Chine, les deux géants américains se plient donc à la censure Chinoise.

Skype fonctionne encore pour le moment, mais il n’est plus possible depuis fin octobre de payer les services Skype via Apple.

Skype est l’un des derniers outils non-chinois à fonctionner. Il y a six mois, Gmail, Twitter, Telegram ou encore Snapchat avaient été interdits. En septembre 2017, WhatsApp a été bloqué.

Des outils qui peuvent revenir batifoler avec le cyberespionnage Chinois à la condition ou le chiffrement des applications soit retiré. La Chine a aussi interdit l’utilisation des VPN. Amende et prison pour ceux qui tenteraient de jouer avec le yaomo, le diable.

Les auteurs de Fireball arrêtés

Le logiciel malveillant Fireball a infiltré plus de 250 millions d’ordinateurs. Onze personnes soupçonnées d’être derrière cet outil pirate arrêtées.

La police Chinoise vient d’arrêter 11 présumés pirates informatiques auteurs de l’infiltration de plus de 250 millions d’ordinateurs. Les personnes sont soupçonnées d’avoir développé des logiciels malveillants nommés Fireball. Parmi les dispositifs infectés, 20% appartiennent à de grands réseaux d’entreprises dans divers pays. Le programme malveillant Fireball a été découvert il y a deux mois par des chercheurs de la société Proofpoint.

Fireball avait pour mission de se cacher dans les ordinateurs et d’afficher des publicités dans les navigateurs. Pour piéger les internautes, les pirates passaient par un éditeur de logiciels Chinois, Rafotech. Les publicités affichés, rapportaient de l’argent aux pirates à chaque diffusion. Les 11 personnes arrêtées travaillaient pour Rafotech. Les pirates informatiques auraient gagné 80 millions de yuans (Plus de 10 928 290 millions d’euros) avec leur campagne de logiciels malveillants, rapporte le Beijing Youth Daily. Au moment de la découverte de Fireball, les chercheurs ont trouvé 25,3 millions d’appareils infectés en Inde, 5,5 millions d’appareils aux États-Unis, 24,1 millions au Brésil, 16,1 millions au Mexique, 13,1 millions en Indonésie.

Le PDG du géant du e-commerce Alibaba défend la contrefaçon

Alors que le volume de produits contrefaits ne cesse de croître, Jack Ma, PDG du géant du     e-commerce Alibaba, a affirmé lors d’une réunion avec des investisseurs à Hangzhou le 14 juin dernier que « les faux produits présentent aujourd’hui une meilleure qualité et un meilleur prix que les vrais produits » avant d’ajouter que ces produits sont fabriqués dans les mêmes usines avec les mêmes matériaux que les originaux mais n’utilisent simplement pas le même nom.

Ces propos rapportés par le Wall Street Journal ont évidemment provoqué de vives réactions dans le monde de l’industrie du luxe, un des secteurs les plus atteints par la contrefaçon, et posent à nouveau la question du rôle des plateformes de e-commerce dans la lutte contre la contrefaçon.

Alibaba accusé de faciliter la contrefaçon
Fin janvier, l’administration d’état du commerce et de l’industrie chinoise faisait déjà publiquement état d’une prolifération de faux, de vendeurs non-agréés et de pratiques illégales sur les plateformes de vente d’Alibaba, et principalement sur Taobao. Était notamment concernée la maroquinerie de luxe.
En mai dernier, le groupe de luxe français Kering avait d’ailleurs porté plainte aux États-Unis contre Alibaba, pour la second fois, en considérant que le groupe encourageait la commercialisation de produits contrefaits, notamment par la vente de mots clefs et les suggestions de son moteur de recherche, et en tirait profit en toute connaissance de cause.

L’insuffisante implication d’Alibaba dans la lutte contre la contrefaçon
Les méfiances à l’égard du géant chinois sont tangibles. L’adhésion du géant de l’e-commerce à la coalition anti-contrefaçon (Anti-Counterfeiting Coalition Internationale) avait d’ailleurs été suspendue en raison du retrait de certaines maisons de luxe préoccupées par la vente de produits contrefaits sur ses plateformes. Alors que groupe chinois avait pourtant amorcé une opération de communication assurant qu’il se mobilisait activement pour la lutte contre la contrefaçon sur ses sites, le récent discours tenu par son PDG, qu’il justifie par le nouveau business model inhérent à Internet, suscite des doutes quant à la politique réellement poursuivie par le groupe.

Des propos « consternants »
Guillaume de Seynes, président du Comité Colbert et directeur de la maison Hermès, a alors déclaré qu’il trouvait ces propos « consternants » et qu’ils constituaient une atteinte directe aux droits de propriété intellectuelle. Il avait alors souligné que la lutte contre la contrefaçon était particulièrement difficile à mener dans la mesure où un certain nombre de plateformes digitales ne procèdent à aucun contrôle des produits mis en ligne.

Simples intermédiaires techniques, ces plateformes bénéficient d’un régime de responsabilité allégé. Elles ne sont en aucun cas soumises à une obligation générale de surveillance et ne sont tenues que du retrait des contenus illicites qui leur seraient notifiés. Toutefois, elles pourraient être tenues pour responsables de la mise en ligne de produits contrefaisants dès lors qu’elles jouent un rôle actif si elles fournissent des conseils précis pour chaque vendeur et ont une connaissance effective des annonces. En revanche, la seule mise en place d’un système de filtrage automatisé des contenus ne suffira pas à qualifier la plateforme d’éditeur de contenus et à les priver du régime de responsabilité atténué.

Pour autant, depuis son entrée en Bourse, le groupe Alibaba fait face à une importante crise de crédibilité en allant à l’encontre d’une coopération efficace pour assainir le marché. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)

25 millions de chinois touchés par un logiciel espion

Plus de 25 millions de téléphones mobiles appartenant à des Chinois ont été touchés par un spyware bancaire en 2015.

L’année du Mouton en bois vert [2015] aura été une année informatiquement mouvementée pour les smartphones Chinois. Selon une étude locale, plus de 25 millions d’appareils ont été infectés par un code malveillant se faisant passer pour un outil de paiement.

326 000 nouveaux logiciels pirates, usurpant le paiement mobile, pour téléphones portables ont été découverts derrière la grande muraille. La société Tencent qui a édité ces chiffres indique que 16,7 millions de virus visant les ordiphones ont été diffusés.

Fondée en novembre 1998, Tencent est devenu plus grand et le plus utilisé portail de services Internet en Chine. [Shanghai daily]

La Chine renforce sa loi dédiée au cyber crime

La Chine vient va promulguer une nouvelle loi dédiée à la cyber sécurité. Pékin veut plus de coopération internationale pour contrer les pirates et renforcer ses moyens de réponse.

Le gouvernement Chinois a décidé de prendre le taureau par les cornes et souhaite arrêter les pirates qui, via son sol, attaqueraient toute la planète. Bref, Pékin en a marre d’être montré du doigt par les Etats-Unis et autres gouvernements du monde qui l’accusent d’orchestrer des attaques numériques. L’Assemblée Populaire Nationale (APN) a adopté cette nouvelle loi cyber défense. Zheng Shuna, vice-présidente de la Commission des affaires législatives de l’APN a indiqué que cette la loi était nécessaire car « la situation de la sécurité nationale de la Chine était de plus en plus difficile« . Cette nouvelle législation indique vouloir « développer la sécurité des informations rentrantes et sortantes du pays ; le renforcement des capacités scientifique de la Chine, ainsi que le renforcement de la coopération internationale« . Un moyen aussi pour la Chine de renforcer le contrôle des logiciels rentrant sur son territoire.

Pendant ce temps…

Les pirates chinois soupçonnés du piratage de milliers de dossiers de fonctionnaires de l’Oncle Sam auraient, aussi, mis la main sur les dossiers personnels d’agents du FBI. Une fuite qui pourrait avoir des implications de sécurité nationale. 35.000 agents fédéraux américains travaillent pour le FBI.

Les 12 pays émettant le plus de spams

Comme chaque trimestre, Sophos mesure le volume de spam envoyé dans le monde et publie le résultat des douze pays ayant émis le plus de spam. La Chine et les USA toujours en tête.

Ce dernier trimestre 2014 a été marqué par la poussée du spam issu de Chine, qui détrône les États-Unis de la première position qu’elle détenait jusqu’alors. La France n’apparaît pas dans ce tableau, car elle n’occupe que la quatorzième place avec 1,6% du spam émis au niveau mondial.

Ceci est une bonne nouvelle car ce classement ne reflète pas tant l’activité des créateurs de spam dans le pays, que la taille, l’infrastructure réseaux et surtout l’état de sécurité de son parc informatique. En effet, les créateurs de spam agissent très largement par l’intermédiaire de botnets, réseaux de systèmes piratés sous leur contrôle, qui relaient leur spam.

Les grands pays ayant un parc informatique important et des infrastructures réseaux développées occupent donc naturellement de ce fait des places élevées. Le seul moyen pour eux de descendre dans le classement est alors d’améliorer la sécurité de leur environnement. Mais ça, c’est une autre histoire !

370 milliads de dollars pour le futur cloud Chinois

Dans un nouveau rapport, BroadGroup propose pour la toute première fois un état des lieux des investissements dans le Cloud et des projets de développement de datacenters en Chine. DataSecurityBreach.fr a pu lire qu’à l’issue de recherches qualitatives et d’une centaine d’entretiens individuels, ce rapport révèle un programme de très grande ampleur portant sur un investissement total de 370 milliards $  et le doublement de la capacité des datacenters d’ici à 2016.
Le rapport, intitulé ‘China Cloud, Challenges and Opportunities in China’s Cloud Datacenter Deployment’ (Enjeux et opportunités de déploiement de datacenters pour le Cloud en Chine), décrit la stratégie mise en œuvre pour éliminer la dépendance vis-à-vis des fournisseurs étrangers de technologie et réunir les conditions d’une croissance économique durable pour la population chinoise d’1,3 milliard d’habitants. Le 12ème plan quinquennal du gouvernement chinois retient l’attention du monde entier pour la part belle qu’il fait aux investissements de création de logiciels, d’applications et de plates-formes Cloud, soutenus par un programme de déploiement massif de datacenters Cloud.
Le rapport explique comment le plan gouvernemental initial portant sur des déploiements Cloud dans 5 villes continue de s’élargir et couvre à présent 15 provinces au moins, avec des financements de projets conséquents. 109 projets ont été identifiés au total, la plupart impliquant la construction de nouveaux datacenters Cloud. Le rapport détaille les plans d’investissements, province par province, essentiellement concentrés dans le nord de la Chine, avec 88 % de l’investissement total partagés entre les cinq premières provinces de la liste.
Les profils des principaux acteurs des projets sont présentés dans le rapport, ainsi que les résultats d’analyses SWOT des segments clés de l’industrie des datacenters, à savoir les datacenters indépendants des opérateurs (carrier neutral), les datacenters Internet, et les trois géants des télécommunications en Chine : China Mobile, China Unicom et China Mobile.
Les projets Cloud sont détaillés par ville et dans le cadre d’une analyse régionale, avec taxinomie des projets par localisation géographique. Des cartes de la distribution des projets Cloud sont fournies pour illustrer le propos selon différents angles : par montant de l’investissement (en RMB), par dimensions (m²) et par nombre de projets.
Le secteur du datacenter est confronté à des enjeux immenses. Si la réussite future des projets Cloud en Chine dépendra surtout des business models et de la demande, le rapport nous explique que de nombreux obstacles politiques, commerciaux et techniques pèsent déjà sur les questions de disponibilité de la bande passante, d’accès réseau et d’alimentation électrique.
Certes le marché est porteur d’opportunités, mais seule la politique du gouvernement pourra apporter des changements favorables aux règles d’investissement et de participation des étrangers au marché. Le rapport fait état de théories toujours en circulation concernant des solutions potentielles risquant d’être sanctionnées.
Ce rapport est le premier à ce jour à proposer une analyse aussi complète de la stratégie Cloud et des déploiements de datacenters en Chine.
A l’occasion des Datacentres Europe 2013 organisés par BroadGroup les 29 et 30 mai 2013 à Nice, de nombreux représentants de l’industrie, d’utilisateurs de différents marchés verticaux et d’administrations gouvernementales du monde entier seront présents.

Chine versus Corée du Sud ? Une banque tranche

La Corée du Sud est responsable du piratage ayant causé l’arrêt du réseau, et non la Chine. C’est ce qu’indique la presse Chinoise, depuis quelques heures. A l’image de CRJ Online, le message passé par Bjeing est assez clair. La Chine n’est pas responsable de l’attaque informatique à l’encontre de la Corée du Sud. « Le groupe formé par divers services sud-coréens, explique le communiqué de presse reçu à la rédaction de Data Security Breach, chargé d’enquêter sur la coupure du réseau internet de certains médias et banques, a indiqué le 22 mars que le code informatique malveillant ayant provoqué ces coupures était venu d’ordinateurs présents au sein de la banque sud-coréenne, et non d’ordinateurs de Chine. » Pour parfaire sa démonstration du « C’est pas moi, c’est quelqu’un d’autre », la Chine précise que ce code est venu d’une adresse IP privée.