Chaque année, à la veille de la commémoration du massacre de la place Tiananmen, le 4 juin, le gouvernement chinois renforce la censure en ligne pour supprimer les discussions nationales sur l’événement.
Les critiques, les dissidents et les groupes internationaux anticipent une augmentation de la cyberactivité, allant des courriels contenant des liens malveillants aux attaques de réseaux dans les jours et les semaines précédant l’anniversaire.
Une grande partie de cette cyberactivité de Pékin se fait en secret. Mais une récente restructuration de la cyberforce chinoise et une fuite de documents révélant les activités de la société technologique chinoise i-Soon ont mis en lumière la manière dont Pékin gère le piratage informatique.
En tant qu’expert de la Chine et chercheur open source, je pense que les dernières révélations tirent le rideau sur un écosystème d’entrepreneurs dans lequel les responsables gouvernementaux et les opérateurs commerciaux travaillent de plus en plus ensemble. En bref, Pékin sous-traite ses cyberopérations à une armée disparate de hackers du secteur privé qui proposent leurs services dans un mélange de nationalisme et de profit.
De la censure aux cyberattaques
Les autorités chinoises limitent le flux d’informations en ligne en interdisant les termes de recherche, en analysant les réseaux sociaux à la recherche de messages subversifs et en bloquant l’accès aux médias et applications étrangers susceptibles d’héberger des contenus censurés. Le contrôle de l’activité en ligne est particulièrement strict à l’occasion de l’anniversaire des manifestations de la place Tiananmen en 1989, qui se sont terminées par une répression sanglante des manifestants par les troupes le 4 juin de la même année.
Depuis lors, les militants pro-démocratie ont cherché à commémorer le massacre à l’occasion de son anniversaire – et Pékin a cherché à contrecarrer la mention de la répression. Les internautes chinois constatent davantage de restrictions et de censure à l’approche de l’anniversaire, avec davantage de mots interdits et même la disparition de certains émojis – comme les bougies, désignant les veillées.
En 2020, les autorités chinoises ont ordonné à Zoom, une entreprise technologique américaine disposant d’une équipe de développement en Chine, de suspendre les comptes de militants basés aux États-Unis commémorant le 4 juin et d’annuler les veillées en ligne hébergées sur la plateforme. Zoom s’est conformé, déclarant qu’il respectait les lois locales.
Au-delà de la censure, des cyberattaques contre des groupes dissidents et des médias de langue chinoise de la diaspora ont également eu lieu à l’occasion ou aux alentours de cet anniversaire.
Le 4 juin 2022, Media Today, un groupe de médias de langue chinoise en Australie, a subi une cyberattaque non attribuée contre ses comptes d’utilisateurs. Et plus tôt cette année, le ministère américain de la Justice a accusé sept pirates informatiques basés en Chine d’avoir envoyé des courriels de suivi malveillants aux membres de l’Alliance interparlementaire sur la Chine, un groupe créé en 2020 à l’occasion de l’anniversaire du massacre de la place Tiananmen.
La cyberforce chinoise
La sophistication croissante des attaques en ligne contre des groupes dissidents et internationaux survient alors que la Chine a restructuré les agences responsables de ses cyberopérations.
Aujourd’hui, une grande partie des cyberactivités malveillantes de la Chine sont menées par le ministère de la Sécurité d’État, ou MSS, la principale agence de renseignement et police secrète du pays. Mais avant que le MSS ne prenne ce rôle, l’Armée populaire de libération, ou APL, était responsable des premières cyberattaques attribuées au gouvernement chinois. En 2015, l’APL a dédié un nouveau service à la cyberguerre et à la sécurité des réseaux, la Force de soutien stratégique.
Mais en avril 2024, l’APL a brusquement annoncé la dissolution de la Force de soutien stratégique et la création de trois nouvelles forces : la Force aérospatiale, la Force du cyberespace et la Force de soutien à l’information. Ils, ainsi que la Force conjointe de soutien logistique existante, relèvent directement du Parti communiste chinois.
Cette restructuration intervient à un moment d’incertitude politique pour les dirigeants chinois. En 2023, le ministre de la Défense Li Shangfu a été démis de ses fonctions quelques mois seulement après son entrée en fonction, aux côtés du ministre des Affaires étrangères Qin Gang et de Li Yuchao, commandant de la Rocket Force.
Même si Pékin n’a pas encore fourni de détails sur la réorganisation militaire, le timing semble envoyer un message. Le président Xi Jinping a personnellement présidé l’inauguration de la Force de soutien à l’information, disant aux membres de la force qu’ils devaient « écouter les ordres du parti » et être « absolument loyaux, absolument purs, absolument fiables ».
Hackers : patriotes, pirates ou profiteurs ?
La restructuration des cyberforces chinoises coïncide avec une tendance qui a vu l’externalisation des cyberopérations malveillantes vers des sous-traitants du secteur privé agissant avec l’approbation explicite ou tacite de l’État.
En février 2024, une fuite de documents a révélé un réseau clandestin de cyber-entrepreneurs chinois piratant à des fins lucratives.
Les cyber-experts soupçonnent depuis longtemps que les pirates informatiques peuvent collaborer avec le gouvernement chinois, mais la fuite montre comment les opérateurs travaillant pour la société chinoise i-Soon ont vendu des services et des produits à des entités gouvernementales chinoises et à des groupes menaçants parrainés par l’État. L’entreprise a été fondée en 2010 par Wu Haibo, un ancien membre de l’Armée verte, souvent décrit comme la première communauté de hackers de Chine.
L’Armée verte a été créée en 1997 pour permettre aux hackers d’apprendre et d’échanger des techniques de piratage. En 1998, des pirates informatiques chinois patriotes ont commencé à organiser des cyberattaques. Par exemple, lorsque les émeutes déclenchées en Indonésie par la crise financière asiatique ont donné lieu à des violences raciales contre les Indonésiens chinois, des pirates informatiques chinois ont ciblé les sites Web du gouvernement indonésien.
En 1999, des pirates informatiques chinois ont vandalisé les sites Web du gouvernement américain à la suite du bombardement accidentel de l’OTAN contre l’ambassade de Chine à Belgrade. Le terme « honker », signifiant « hacker rouge » en chinois, est apparu à cette époque pour désigner les hackers chinois motivés par l’idéologie et le nationalisme.
Pourtant, les hackers chinois entretiennent des relations difficiles avec les autorités. Bien qu’ils offrent des compétences en matière de cybersécurité ainsi qu’un déni plausible pour le gouvernement chinois, ils ont tendance à brouiller la politique étrangère de Pékin lorsque leurs actions vont trop loin et suscitent des critiques.
Ils sont également enclins à commettre des cybercrimes tels que la fraude et le vol de propriété intellectuelle, parallèlement à l’espionnage parrainé par l’État.
Le gouvernement chinois et d’éminents hackers « patriotes » ont déjà tenté de contrôler la communauté et de promouvoir des activités légitimes telles que la cybersécurité.
La fuite d’i-Soon documente cependant comment des entrepreneurs parrainés par l’État chinois se livrent à des pots-de-vin et à d’autres activités illicites.
Exploiter les failles de sécurité
Les cybercapacités de la Chine se sont développées grâce au contrôle et à l’exploitation des cyberprofessionnels, parrainés par l’État ou non. Mais c’est une relation compliquée.
Pour éliminer progressivement le comportement criminel des pirates informatiques, Pékin a développé un pipeline pour former sa cyber-force. Et en partie pour les empêcher de partager leur expertise avec des étrangers, les cyberprofessionnels chinois sont généralement exclus des compétitions internationales de piratage.
Même si la cybersécurité s’améliore lorsque les professionnels de la sécurité partagent les failles de sécurité récemment découvertes, la réglementation chinoise limite le flux de ces informations. Selon la loi, les vulnérabilités logicielles découvertes en Chine doivent être immédiatement signalées au gouvernement chinois. Les experts estiment que le ministère de la Sécurité de l’État exploite ensuite ces données pour développer des capacités cyber-offensives.
Pourtant, la fuite d’i-Soon met en évidence la corruption dans au moins un secteur du réseau croissant de piratage commercial en Chine. La correspondance interne montre des entrepreneurs soudoyant des fonctionnaires du gouvernement avec de l’argent, de l’alcool et d’autres faveurs. Les messages montrent également que les entrepreneurs ne parviennent pas à générer des ventes, livrent un travail de qualité inférieure et se plaignent de leur salaire de classe ouvrière.
Alors que les gouvernements locaux chinois ont du mal à payer les services de base dans une économie faible, les entreprises telles que i-Soon qui soutiennent les cyberopérations de Pékin sont confrontées non seulement à des difficultés politiques mais aussi financières. Malgré l’intention de Pékin de mettre en œuvre une répression en ligne chaque année le 4 juin, les cyberforces qu’il emploie pour ce faire sont confrontées à leurs propres problèmes qui appellent un examen minutieux et une rectification de la part du Parti communiste chinois.
