Tandis que manifestants et forces de l’ordre s’affrontent dans les rues de Hong Kong, une bataille moins visible fait rage en parallèle sur Internet entre hacktivistes et l’État chinois.

Dans des attaques particulièrement sophistiquées qui, selon certains analystes, sont l’œuvre du régime chinois, des pirates informatiques infiltrent les téléphones, les tablettes et les ordinateurs des militants prodémocratie à Hong Kong. Ces intrusions leur permettent non seulement de connaître les intentions des militants, mais elles pourront leur permettre de surveiller leurs activités bien après la fin du mouvement.

Cependant, le régime chinois n’est pas le seul à se livrer à des cyberattaques. Des groupes spécialisés en sécurité informatique travaillent d’arrache-pied pour révéler les cyberattaques du régime. En même temps, les hacktivistes (pirates informatiques militant pour une cause) s’en prennent aux sites Internet du gouvernement chinois et mènent des campagnes sur les réseaux sociaux pour la démocratie.

Espionnage

Steven Adair, pdg de la compagnie de sécurité Volexity, enquête actuellement sur une série de cyberattaques à Hong Kong visant à infecter les ordinateurs des internautes qui visitent les sites web prodémocratie.

Jusqu’à maintenant, ses trouvailles et celles d’autres chercheurs offrent un portrait plutôt inquiétant.

«Il semble que quelqu’un tente d’infecter et de surveiller tous les gens en faveur de la démocratie à Hong Kong», mentionne M. Adair en entrevue téléphonique.

Depuis les derniers mois, Volexity surveille une cyberattaque sophistiquée qui cible des sites web à Hong Kong et au Japon. «Dans les deux pays, les sites web compromis sont particulièrement notables pour leur pertinence quant à l’actualité et à la grande visibilité des organisations impliquées», indique Volexity dans un résumé de ses découvertes.

«En particulier, les brèches à Hong Kong semblent être survenues après la vitesse atteinte par le mouvement Occupy Central», spécifie la compagnie de sécurité.

La cyberattaque fonctionne par l’entremise de sites web infectés par des pirates informatiques. Lorsqu’un internaute visite le site, le maliciel est installé sur leur plateforme. On retrouve parmi les sites infectés celui du Parti démocratique de Hong Kong, autant les versions chinoise qu’anglaise.

Ce qui rend cette cyberattaque particulièrement intéressante est son code sophistiqué qui filtre quel internaute sera infecté.

«Cela nous indique que c’est moins probable qu’ils aient fait une erreur, mais plutôt qu’ils avaient plus d’information sur les gens qu’ils voulaient exploiter», explique M. Adair. «Ils sont intéressés par les sujets que vous consultez sur le web et par le type de documents que vous avez dans votre système. Ce genre de choses.»

Téléphones intelligents ciblés

La cyberattaque contre les sites Internet prodémocratie n’était pas la première visant les manifestants.

Deux différentes cyberattaques contre les militants prodémocratie de Hong Kong ont été découvertes le 30 septembre par des chercheurs de Lacoon Mobile Security. Ces attaques sophistiquées visent spécifiquement les téléphones intelligents et les tablettes.

Selon Michael Shaulov, pdg de Lacoon Mobile Security, le régime chinois a beaucoup de raisons de s’attaquer aux téléphones, puisque «vous êtes en mesure d’intercepter les communications sur l’appareil même et d’obtenir de l’information en temps réel».

Étant donné que les téléphones intelligents ont des GPS, des micros, des caméras et sont transportés presque partout – même dans des réunions importantes – ils deviennent l’outil idéal pour espionner.

«Si vous êtes un acteur gouvernemental, obtenir ce genre d’information a vraiment plus de valeur qu’obtenir de l’information sur des ordinateurs portables», estime M. Shaulov. «Pour se livrer à l’espionnage, c’est probablement l’outil parfait.»

Les gens utilisant la plateforme Android à Hong Kong ont commencé à recevoir des messages mentionnant : «Obtenez cette appli Android conçue par Code4HK pour la coordination d’OCCUPY CENTRAL!»

Le message envoyé sur le système de messagerie cellulaire WhatsApp semble légitime, alors que Code4HK est une communauté de programmeurs qui développe des technologies pour appuyer le mouvement prodémocratie.

Si l’utilisateur appuie sur le lien, selon Lacoon Mobile Security, un outil sophistiqué appelé mRAT est installé, donnant un accès quasi complet au téléphone.

Les chercheurs indiquent sur leur blogue que le mRAT est «sans aucun doute un des plus avancés que nous avons vus. Il peut extraire à peu près tout ce qu’il veut de l’appareil, ce qui en fait une méthode très versatile de surveillance...». Le pirate informatique a ainsi accès, entre autres, aux courriels, à l’historique d’appels et à l’emplacement de l’utilisateur.

Les chercheurs ajoutent qu’ils estiment que le régime chinois est responsable de ces attaques et ils soulignent qu’il s’agit «d’un mRAT très sophistiqué qui est sans aucun doute soutenu par un État-nation».

La cyberattaque contre les téléphones Android n’était pas isolée, puisqu’elle a été lancée en parallèle avec une autre utilisant un mRAT pratiquement identique qui s’attaque au système d’exploitation iOS des iPhones et iPads.

Cela a grandement surpris les chercheurs, indique M. Shaulov, puisque les pirates informatiques intéressés aux profits font rarement les efforts nécessaires pour pénétrer un appareil fonctionnant sur iOS.

La version iOS du virus, appelée «Xsser mRAT» par les chercheurs de Lacoon, fonctionne et est diffusée d’une manière semblable à celle de la version Android, mais elle affecte seulement les appareils qui ont été jailbroken ou débridés. C’est-à-dire les appareils dont le système d’exploitation a été modifié par l’utilisateur afin d’enlever certaines restrictions et permettre l’installation de logiciels interdits par le manufacturier.

Si l’on considère qu’au moins 30 % des iPhones en Chine étaient débridés en 2013, selon Tech In Asia, la portée du virus peut être immense.

M. Shaulov affirme qu’ils ont repéré un seul type d’attaque qui s’en prenait à la fois aux systèmes Android et iOS, en soulignant que l’attaque contre l’iOS utilisait un «maliciel très sophistiqué et très raffiné».

Le 20 octobre, une autre cyberattaque a été découverte, cette fois ciblant l’iCloud d’Apple. Les chercheurs de GreatFire.org ont affirmé que les autorités chinoises lançaient des attaques qui leur fournissaient les noms d’usagers et les mots de passe pour les comptes iCloud, leur permettant donc d’accéder aux photos, vidéos et contacts des usagers.

Selon une analyse de l’attaque par GreatFire.org, elle pourrait «être reliée encore aux images et vidéos des manifestations à Hong Kong qui sont partagées en Chine continentale».

Hacktivistes

Pendant que les experts en sécurité informatique s’affairent à révéler les cyberattaques, les hacktivistes lancent des attaques qui visent à appuyer le combat des Hongkongais pour la démocratie.

Le 18 octobre, des membres du collectif de pirates informatiques Anonymous ont lancé des attaques coordonnées contre des sites du gouvernement chinois après avoir officiellement déclaré une cyberguerre au régime le 15 octobre.

Selon Strudalz, un membre important d’Anonymous, les cyberattaques «démontrent qu’il est possible d’affaiblir le régime. Ils sont puissants seulement parce que les gens le permettent».

Les cyberattaques, qui ont ciblé plus de 150 sites web, étaient les dernières dans le cadre d’Opération Hong Kong, lancée par Anonymous au début d’octobre pour soutenir les manifestations à Hong Kong.

L’attaque la plus importante est survenue le 11 octobre lorsque des membres d’Anonymous ont divulgué les bases de données de 51 sites du gouvernement chinois, contenant des dizaines de milliers de noms d’usagers et mots de passe, des numéros de téléphone et autres informations.

Les hacktivistes d’Anonymous ont également lancé des dénis de service distribués (DDoS) contre les sites du régime, ce qui envoie un nombre surélevé de requêtes et fait planter les sites.

Les cyberattaques d’Anonymous semblent être plus symboliques qu’autre chose. Certains internautes chinois ont souligné que très peu de personnes en Chine visitent les sites du régime qui ont été attaqués.

Les attaques ont quand même frustré le régime chinois. L’International Business Times a rapporté le 6 octobre que les autorités avaient arrêté cinq hacktivistes présumés d’Anonymous âgés entre 13 et 39 ans.

Le Bureau de liaison à Hong Kong du régime chinois a indiqué à Reuters que «ce genre d’attaque informatique viole la loi et la morale sociale et nous l’avons déjà signalée à la police».

Propagande et censure

Les efforts du régime chinois visant à affaiblir le mouvement affectent évidemment la sphère médiatique également, alors qu’il tente de faire croire que des forces étrangères sont à l’origine des événements.

En même temps, le Parti communiste chinois (PCC) s’efforce de faire taire les médias indépendants à Hong Kong, alors que ses censeurs du web font du temps supplémentaire pour supprimer toute forme de soutien envers le mouvement.

Avec des Twitterstorms (tempête de gazouillis), Anonymous tente de contrer la censure du PCC en diffusant des informations au sujet des manifestations.

Les militants dans les rues de Hong Kong remarquent cette démarche, alors qu’ils sont souvent aperçus avec des pancartes qui remercient Anonymous pour son soutien.

Anonymous considère que les attaques DDoS et la divulgation des bases de données du régime sont l’équivalent moderne de l’occupation. Dans le paysage virtuel d’Internet, le groupe participe à sa propre «occupation».

Version originale : A Cyberwar Quietly Rages Over Hong Kong