Unité 61398

61398部队
Drapeau de l'APL

Création	2004 (Est.)
Pays	Chine
Allégeance	Armée populaire de libération
Rôle	Espionnage
Effectif	2 000 (Est.)
Fait partie de	3^e département de l'état-major général de l'armée chinoise
modifier

L'unité 61398 (chinois : 61398部队) de l'Armée populaire de libération, basée à Shanghai, est chargée de conduire des opérations militaires dans le domaine des réseaux informatiques.

Dans un rapport publié le 18 février 2013, la société de sécurité informatique Mandiant accuse cette unité de l'armée chinoise d'être à l'origine depuis 2006 d'une vaste opération de cyber-espionnage principalement contre des entreprises et organisations anglo-saxonnes^[1]^,^[2]. Le gouvernement chinois a immédiatement nié être à l'origine de ces cyberattaques^[3].

Présentation[modifier | modifier le code]

Le 3^e département de l'état-major général de l'armée chinoise, dont les effectifs sont estimés à 130 000 personnes^[4] a notamment des activités similaires à celle de la National Security Agency (NSA) américaine^[5].

Au sein de ce 3^e Département, l'unité 61398 (aussi appelée 2^e bureau), qui n'a pas d'existence officielle dans l'organigramme de l'armée chinoise^[6], est notamment chargée d'activités de renseignement sur les questions politiques, économiques et militaires^[7]. Cette unité se focaliserait sur les États-Unis et le Canada, alors que l'unité 61046 (aussi appelée 8^e bureau) serait spécialisée sur l'Europe^[8]^,^[9].

La date de création exacte de cette unité demeure inconnue, cependant elle recrutait de jeunes diplômés en informatique de l'Université de Zhejiang dès 2004^[10]^,^[11].

Début 2007, la construction d'un immeuble dédié à cette unité a commencé, dans le district de Pudong à Shanghai^[12]. En 2009, cette unité a bénéficié, au nom de la « raison d'État », du soutien de l'opérateur d'État China Telecom pour construire son architecture réseau en fibre optique^[13]. L'immeuble est situé au 208 Datong Road, occupe douze étages et 12 138 m²^[14].

En 2013, l'effectif de cette unité est estimée à 2 000 personnes^[15].

Soupçons récurrents de cyber-espionnage 2002-2012[modifier | modifier le code]

Depuis des années, les experts en sécurité informatique ont mis en garde les États et les entreprises contre la hausse des tentatives de cyber-attaques en provenance de Chine^[16], mais sans le démontrer – publiquement – de manière probante.

Deux groupes de cyber-espions, le Comment Crew et l'Elderwood Group, qui auraient tous les deux participé à l'Opération Aurora, sont néanmoins régulièrement soupçonnés d'être liés à la Chine^[17]^,^[18].

Le groupe Comment Crew, en particulier, serait basé à Shanghai et lié à l'Armée Chinoise^[17] :

la société américaine de cyber-sécurité Fireye attribue à ce groupe plus d'un millier de cyber-attaques entre 2002 et 2012 ;
ce groupe serait à l'origine des cyber-attaques contre de nombreuses sociétés comme RSA Security, DuPont ou British American Tobacco ;
ce groupe s'intéresse aussi à des hommes politiques de premier plan : il serait à l'origine du vol en moins de 14 minutes de la messagerie électronique du président de la Commission européenne en juillet 2012, durant les négociations sur la crise économique grecque ;
il est aussi identifié sous le nom de Shanghai Group ou de Byzantine Candor (ce dernier nom est évoqué dans un câble diplomatique américain de 2008 dévoilé par Wikileaks).

Accusations directes de cyber-espionnage en 2013[modifier | modifier le code]

Rapport APT1 de la société Mandiant publié en février 2013[modifier | modifier le code]

La société privée américaine de sécurité informatique Mandiant a été fondée en 2004 par Kevin Mandia, qui était précédemment enquêteur en cybercriminalité au sein de l'US Air Force^[19].

Depuis sa création, cette société a enquêté sur les failles de sécurité informatique de centaines d'organisations à travers le monde^[20]. En 2006, elle a identifié une équipe de hackers réalisant du cyber-espionnage qu'elle a appelée APT1 (Mandiant a identifié en tout plus d'une vingtaine de groupes similaires, dont les attaques proviennent de Chine^[20]). Et à ce jour, en 2013, ce groupe APT1 est, selon ses observations, l'un des groupes de cyber-espions les plus prolifiques en termes de quantité d'informations volées^[20].

En raison de l'ampleur des cyber-attaques, la quantité de données sensibles volées et leurs impacts, la société a publié, le 18 février 2013, un rapport sur les activités de ce groupe APT1^[20] (aussi dénommé Comment Crew ou Shanghai Group^[21]). À noter que l'ensemble des informations publiées sont soit issues de leurs observations directes durant les 7 dernières années, soit d'informations librement accessibles sur internet^[20].

Après la publication du rapport, celui-ci a été diffusé sous forme de spam par des hackers, infecté par des virus^[22].

Groupe de cyber-espions Shanghai Group[modifier | modifier le code]

Selon la société Mandiant, le groupe de cyber-espions APT1 a systématiquement volé, depuis 2006, des volumes très importants de données dans au moins 141 organisations, et a démontré sa capacité à espionner des dizaines d'organisations simultanément :

cette opération aurait permis de dérober des quantités très importantes (plusieurs centaines de téraoctets^[23]) d'informations sensibles en s’infiltrant dans des réseaux informatiques ;
les informations volées couvrent un large spectre de données sensibles en termes de stratégie (mémos internes, agendas, comptes-rendus), développements de produits (technologie, conception de systèmes, manuels, résultats de tests), processus industriels (standards, procédures propriétaires), informations commerciales (business plans, négociations contractuelles, grille tarifaire), opérations de croissance externe (fusions/acquisitions) ou de partenariat, contenu des messageries électroniques des dirigeants, ainsi que les identifiants et mots de passe^[24] ;
le groupe réussit à maintenir des accès aux réseaux informatiques des entreprises pour une durée moyenne d'un an (356 jours). Dans un cas, le groupe a réussi à maintenir ses accès au réseau interne de l'entreprise durant 1 764 jours, soit quatre ans et dix mois^[25].

Selon le même rapport de la société Mandiant, le groupe de cyber-espions APT1 se concentre sur des organisations anglophones :

parmi les 141 victimes d'APT1, 87 % d'entre elles ont leur siège social dans des pays où l'anglais est la langue maternelle ;
les entreprises ou organisations gouvernementales victimes sont essentiellement situées aux États-Unis, au Canada et en Grande-Bretagne, dans 20 secteurs d'activité différents^[26]. Une seule entreprise française a été recensée.

La société complète son rapport en précisant que ce groupe APT1 maintient une vaste infrastructure de systèmes informatiques dans le monde entier :

au cours des deux dernières années, la société a observé le groupe APT1 établir presque un millier de serveurs de commandement et de contrôle (C2), hébergé sur des adresses IP distinctes dans 13 pays. La majorité de ces 849 adresses IP uniques a été enregistrée en Chine (709), suivie des États-Unis (109). De plus, dans 97 % des cas recensés, les hackers se sont connectés sur ces serveurs de commandement et contrôle depuis des adresses IP localisables dans la région de Shanghai en Chine^[27] ;
sur la même période, la société a identifié 2 551 noms de domaine internet complets attribués à APT1^[27]. À noter que la société Mandiant a publié la liste de ces noms de domaine sur son site internet.

Shanghai Group serait l'unité 61398[modifier | modifier le code]

Selon la société Mandiant, l'hypothèse la plus probable est que le groupe de cyber-espions appelé APT1 ou Shanghai Group est l'Unité 61398 de l'Armée Chinoise^[28] :

de par l'envergure de ces opérations de cyber-espionnage, seul un État est capable de mobiliser autant de moyens financiers, humains et matériels sur une aussi longue période ;
les compétences techniques et linguistiques requises pour mener à bien ces missions sont similaires aux compétences recrutées par le 3^e département de l'état-major général de l'armée chinoise, et en particulier l'Unité 61398 (qui serait spécialisée sur les États-Unis et le Canada) ;
les schémas tactiques, méthodes et procédures sont appliquées avec rigueur par les cyber-espions, comme le feraient des militaires : Mandiant n'a identifié aucune destruction de données ou escroquerie financière dans les organisations victimes, ce qui contraste nettement les hackers ou le crime organisé ;
l'analyse des secteurs d'activités des 141 organisations espionnées démontre une nette corrélation avec les objectifs stratégiques du douzième plan quinquennal Chinois (2011-2015) en termes de secteurs économiques à développer ;
la majeure partie des informations recueillies (adresses IP, coordonnées utilisées, localisation de certains cyber-espions, systèmes développés et utilisés en chinois) durant ces 7 années converge vers la même localisation, c'est-à-dire Shanghai.

Partie immergée de l'iceberg du cyber-espionnage économique chinois[modifier | modifier le code]

Plusieurs pays sont réputés disposer de capacités de cyber-espionnage : en premier lieu, les États-Unis, mais aussi la Russie, Israël ou la France^[29]. Néanmoins, de par le volume considérable de données sensibles volées et le nombre d'organisations victimes recensées, l'unité 61398 pourrait n'être que la "partie émergée de l'iceberg" d'une des plus vastes opérations d'espionnage économique et industrielle de l'histoire^[3].

Accusations réfutées par les autorités chinoises[modifier | modifier le code]

Le gouvernement Chinois a vigoureusement réfuté être à l'origine de ces activités de cyber-espionnage :

le jour même de la publication du rapport par la société, le 18 février 2013, le ministère chinois des Affaires étrangères a déclaré que les allégations étaient « irresponsables et non professionnelles » et a rappelé que « la Chine s'oppose fermement aux actions de piratage et a établi des lois et règlements et pris des mesures policières strictes pour se défendre contre les activités de piratage en ligne^[30] » ;
le 20 février 2013, le ministère chinois de la Défense nationale a indiqué que les allégations portées par la société sont « dans les faits, sans fondement^[31] ».

Néanmoins le gouvernement chinois n'a pas démenti l'existence de cette unité, tandis que les photos et vidéos du building censé être son quartier général ont été reprises par de nombreux médias^[32].

Notes et références[modifier | modifier le code]

↑ (en) John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne
↑ Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
↑ ^{a et b} (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, 18 février 2013 (consulté le 25 février 2013)
↑ « Rapport "Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage" préparé pour la Commission de sécurité Chine/USA du congrès Américain », sur uscc.gov, 12 mars 2012, p. 47
↑ « Rapport Mandiant APT1 », 2013, p. 8
↑ « Rapport Mandiant APT1 », 2013, p. 9
↑ (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », 11 novembre 2011, p. 8
↑ Ursula Gauthier, « L'unité 61046 qui espionne l'Europe », L'Obs, n^o 2613,‎ 4 décembre 2014, p. 41 (ISSN 0029-4713)
↑ (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », 11 novembre 2011, p. 10
↑ (en) « PLA Unit 61398 Recruitment Notice Found », China Digital Times, 20 février 2013 (consulté le 2 mars 2013), p. 10
↑ (en) « Internet Sleuths Add Evidence to Chinese Military Hacking Accusations », New York Times, 27 février 2013
↑ « Rapport Mandiant APT1 », 2013, p. 3
↑ « Rapport Mandiant APT1 », 2013, p. 19 Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l'Unité 61398 du 3^e département de l'état-major général et à la construction d'un réseau pour la Défense nationale
↑ Sébastian SEIBT, « L’Unité 61398, nid de cyber-espions chinois ? », sur france24.com, 19 février 2013 (consulté le 21 mars 2012)
↑ « Rapport Mandiant APT1 », 2013, p. 11 La société a estimé le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
↑ (en) « Chinese army hackers are the tip of the cyberwarfare iceberg », The Guardian, 23 février 2013 (consulté le 24 février 2013)
↑ ^{a et b} (en) « Hackers Linked to China’s Army Seen From EU to D.C », Bloomberg.com, 27 juillet 2012 (consulté le 2 mars 2013)
↑ Mark Clayton, « Stealing US business secrets: Experts ID two huge cyber 'gangs' in China », CSMonitor, 14 septembre 2012 (consulté le 24 février 2013)
↑ (en) « Mandiant Corp Goes Viral After China Hacking Report », Arab Times, 23 février 2013 (consulté le 25 février 2013)
↑ ^{a b c d et e} « Rapport Mandiant APT1 », 2013, p. 2
↑ « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », New York Times, 18 février 2013
↑ Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février [2013 à lire en ligne
↑ « Rapport Mandiant APT1 », 2013, p. 20
↑ « Rapport Mandiant APT1 », 2013, p. 25
↑ « Rapport Mandiant APT1 », 2013, p. 21
↑ « L’Unité 61398, nid de cyber-espions chinois ? », France 24, 19 février 2013 (consulté le 24 février 2013)
↑ ^{a et b} « Rapport Mandiant APT1 », 2013, p. 4
↑ « Rapport Mandiant APT1 », 2013, p. 59 et 60
↑ « U.S. said to be target of massive cyber-espionage campaign », Washington Post, 10 février 2013 (consulté le 1^er mars 2013)
↑ (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, 18 février 2013 (consulté le 25 février 2013)
↑ (en) « China Says Army Is Not Behind Attacks in Report », The New York Times, 20 février 2013 (consulté le 25 février 2013)
↑ (en) « Reuters - Unity 61398 », Reuters, 19 février 2013 (consulté le 4 mars 2013)

Voir aussi[modifier | modifier le code]

Sources et bibliographie[modifier | modifier le code]

(en) APT1 - Exposing One of China’s Cyber Espionage Units, États-Unis, Société privée Américaine de sécurité informatique Mandiant, 18 février 2013, 74 (hors annexes) (lire en ligne)

Unités similaires[modifier | modifier le code]

Équipe Tailored Access Operations de la NSA
Bureau 121 de l'armée populaire de Corée

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Vidéo de la société Mandiant montrant le mode opératoire du Groupe APT1 (Sur Youtube)

[1] (en) John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne

[2] Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne

[China's_Army_Is_Seen_as_Tied_to_Hacking_Against_U.S._-_NYTimes.com-3] {a et b} (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, 18 février 2013 (consulté le 25 février 2013)

[4] « Rapport "Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage" préparé pour la Commission de sécurité Chine/USA du congrès Américain », sur uscc.gov, 12 mars 2012, p. 47

[MandiantReportAPT1P8-5] « Rapport Mandiant APT1 », 2013, p. 8

[MandiantReportAPT1P9-6] « Rapport Mandiant APT1 », 2013, p. 9

[ProjectInstitute2049-2011P8-7] (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », 11 novembre 2011, p. 8

[l'obs-décembre_2014-8] Ursula Gauthier, « L'unité 61046 qui espionne l'Europe », L'Obs, n^o 2613,‎ 4 décembre 2014, p. 41 (ISSN 0029-4713)

[ProjectInstitute2049-2011P10-9] (en) « The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure », 11 novembre 2011, p. 10

[ChinaDigital-10] (en) « PLA Unit 61398 Recruitment Notice Found », China Digital Times, 20 février 2013 (consulté le 2 mars 2013), p. 10

[NYTimes20130227-11] (en) « Internet Sleuths Add Evidence to Chinese Military Hacking Accusations », New York Times, 27 février 2013

[MandiantReportAPT1P3-12] « Rapport Mandiant APT1 », 2013, p. 3

[MandiantReportAPT1P19-13] « Rapport Mandiant APT1 », 2013, p. 19 Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l'Unité 61398 du 3^e département de l'état-major général et à la construction d'un réseau pour la Défense nationale

[14] Sébastian SEIBT, « L’Unité 61398, nid de cyber-espions chinois ? », sur france24.com, 19 février 2013 (consulté le 21 mars 2012)

[MandiantReportAPT1P11-15] « Rapport Mandiant APT1 », 2013, p. 11 La société a estimé le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité

[16] (en) « Chinese army hackers are the tip of the cyberwarfare iceberg », The Guardian, 23 février 2013 (consulté le 24 février 2013)

[Hackers_Linked_to_China's_Army_Seen_From_EU_to_D.C._-_Bloomberg-17] {a et b} (en) « Hackers Linked to China’s Army Seen From EU to D.C », Bloomberg.com, 27 juillet 2012 (consulté le 2 mars 2013)

[CSMonitor-Elderwood-18] Mark Clayton, « Stealing US business secrets: Experts ID two huge cyber 'gangs' in China », CSMonitor, 14 septembre 2012 (consulté le 24 février 2013)

[19] (en) « Mandiant Corp Goes Viral After China Hacking Report », Arab Times, 23 février 2013 (consulté le 25 février 2013)

[MandiantReportAPT1P2-20] {a b c d et e} « Rapport Mandiant APT1 », 2013, p. 2

[NYTimes-20130218-21] « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », New York Times, 18 février 2013

[22] Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février [2013 à lire en ligne

[MandiantReportAPT1P20-23] « Rapport Mandiant APT1 », 2013, p. 20

[MandiantReportAPT1P25-24] « Rapport Mandiant APT1 », 2013, p. 25

[MandiantReportAPT1P21-25] « Rapport Mandiant APT1 », 2013, p. 21

[26] « L’Unité 61398, nid de cyber-espions chinois ? », France 24, 19 février 2013 (consulté le 24 février 2013)

[MandiantReportAPT1P4-27] {a et b} « Rapport Mandiant APT1 », 2013, p. 4

[MandiantReportAPT1P59-60-28] « Rapport Mandiant APT1 », 2013, p. 59 et 60

[29] « U.S. said to be target of massive cyber-espionage campaign », Washington Post, 10 février 2013 (consulté le 1^er mars 2013)

[30] (en) « Chinese Army Unit Is Seen as Tied to Hacking Against U.S. », The New York Times, 18 février 2013 (consulté le 25 février 2013)

[31] (en) « China Says Army Is Not Behind Attacks in Report », The New York Times, 20 février 2013 (consulté le 25 février 2013)

[32] (en) « Reuters - Unity 61398 », Reuters, 19 février 2013 (consulté le 4 mars 2013)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker