L’agence belge de cybersécurité a lié des pirates informatiques parrainés par la Chine à une attaque contre un homme politique de premier plan, alors que les gouvernements européens sont de plus en plus disposés à défier Pékin pour des cyberdélits présumés.
Samuel Cogolati, un député belge, a été désigné par les autorités le mois dernier comme faisant l’objet d’une cyberattaque vers janvier 2021 lorsqu’il a rédigé une résolution pour mettre en garde contre les « crimes contre l’humanité » contre les musulmans ouïghours en Chine.
Dans une lettre vue par le Financial Times, le Center for Cyber Security Belgium (CCB) a écrit au député qu’il avait été informé qu’un acteur étatique chinois spécifique appelé « APT31 » était très probablement à l’origine de l’attaque dite de « chasse sous-marine ».
La volonté de la cyber-autorité de nommer un acteur étatique chinois et de le lier à une attaque spécifique intervient alors que les cyber-agences européennes perdent leur ancienne réticence à interpeller la Chine sur des incidents suspects.
L’année dernière, le ministère belge des Affaires étrangères a pris la décision inhabituelle de demander au gouvernement chinois de freiner ses cyberactivités malveillantes. L’UE a également mis en garde contre les attaques chinoises en 2021.
Christopher Ahlberg, co-fondateur de la société de cyber-renseignement Recorded Future, a déclaré que ces activités malveillantes de groupes liés à la Chine s’étaient « déplacées vers l’Europe » ces dernières années.
Mais les pays ont souvent refusé d’attribuer ouvertement les attaques à la Chine, a ajouté Ahlberg, craignant de perturber les relations avec une grande puissance économique.
« Pour un petit pays comme la Belgique, c’est assez courageux. Il y a quatre ou cinq ans, il était pratiquement inexistant pour les pays européens d’attribuer des attaques à la Chine. Les plaintes constantes sont devenues plus difficiles à ignorer pour la Chine », a ajouté Ahlberg.
Alors que Cogolati rédigeait la résolution ouïghoure, il a reçu un e-mail d’une fausse agence de presse prétendant détenir des informations sur les violations des droits de l’homme en Chine. Cogolati n’a réalisé l’importance du message qu’après qu’il ait été signalé par l’agence belge de cybersécurité.
« Nous avons des raisons de croire que cette série d’e-mails provenait d’APT31, un acteur menaçant associé à la Chine et qui s’est intéressé aux personnes qui ont critiqué les actions du Parti communiste chinois », a écrit le CCB.
Le CCB a ensuite déclaré au Financial Times qu’une source avait lié l’APT 31 à l’activité mais que son implication « n’a pas pu être confirmée par le CCB » avec une certitude absolue.
Cogolati, qui a confirmé l’alerte du CCB, a déclaré que son objectif principal était désormais de « faire toute la lumière sur l’étendue des cyberattaques de la Chine contre mon pays ».
L’attaque par e-mail reçue par Cogolati se présentait sous la forme d’une campagne de « spearphishing », dans laquelle un attaquant conçoit un e-mail pour cibler un groupe spécifique de victimes.
La signature d’APT31 consiste à ajouter un « pixel de suivi », souvent utilisé en marketing, dans une image jointe à un e-mail, qui renvoie des données générales sur la configuration informatique de la victime. Les attaquants enverront ensuite d’autres e-mails contenant des liens malveillants ou des pièces jointes personnalisées pour le système de la victime.
Une audition parlementaire belge en mai 2021 avec des victimes ouïghoures a dû être reportée après la fermeture du parlement par une cyberattaque de masse.
« Nous n’encourageons, ne soutenons ni ne complices des cyberattaques. Nous rejetons l’affirmation irresponsable de la partie belge », a déclaré un porte-parole du ministère chinois des Affaires étrangères en réponse aux allégations de 2022 de la Belgique.
L’ambassade de Chine en Belgique n’a pas immédiatement répondu aux questions concernant la lettre de Cogolati.