C'est une affaire suivie avec la plus grande vigilance par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le gendarme de la cybersécurité en France, et ses homologues allemand (BSI), britannique (GCHQ) et espagnol (CCN). Révélée le 30 janvier par Airbus qui annonçait avoir été victime d'un "incident de cybersécurité" dans les systèmes informatiques de sa branche aviation commerciale, cette cyberattaque a conduit les différents cyberenquêteurs qui travaillent sur le dossier à pointer du doigt Pékin. Selon des sources concordantes, étatiques et proches du constructeur aéronautique, cette attaque a été menée via un mode opératoire utilisé par un groupe de hackers qui opère depuis la Chine. Si des "données à caractère personnel ont été consultées", comme l'a précisé l'avionneur dans son communiqué, cette intrusion ciblait, selon nos informations, des documents techniques relatifs à la certification des avions du géant européen.
"Le schéma d'attaque est très proche de ceux du groupe APT 10, il est probablement même plus complexe et sophistiqué que ce que nous observions jusqu'à présent", précise une source au fait du dossier. L'appellation APT 10 fait référence à un groupe de hackers chinois opérant depuis la Chine et lié, selon les États-Unis, aux services de renseignement chinois. Le 20 décembre 2018, deux de ses membres avaient été inculpés par le ministère américain de la Justice et accusés d'avoir mené des cyberattaques contre 12 pays au nom du gouvernement chinois.
Infiltration via un fournisseur
Dans le cas d'Airbus, les cyberenquêteurs ont mis au jour une attaque en deux temps et qui a duré plusieurs semaines. Pour parvenir à leurs fins, les hackers n'ont pas attaqué directement l'avionneur européen. Ils ont commencé par pénétrer les systèmes informatiques de l'un de ses fournisseurs français. Alerté par l'ANSSI en décembre 2018, ce dernier a alors informé Airbus. Après quelques jours d'investigations informatiques poussées ("forensic"), les experts du groupe européen et l'ANSSI se sont aperçus début janvier que l'attaque contre l'entreprise sous-traitante impactait également Airbus. Contacté par Challenges, le géant aéronautique n'a pas souhaité faire de commentaire.
Les cyberenquêteurs qui suivent ce dossier ont également fait le lien avec une précédente attaque visant l'avionneur dont le siège opérationnel est à Blagnac. "Il y a deux ans, des hackers ont atteint de la même manière les systèmes informatiques d'Airbus après s'être introduits chez un prestataire du groupe, confie la même source citée plus haut. Si le code utilisé aujourd'hui est plus sophistiqué, les modes opératoires sont les mêmes, et à chaque fois les éléments recueillis indiquent que cela vient de Chine". Selon nos informations, certains salariés du groupe sont également suspectés par les cyberlimiers de s'être rendus complices des hackers s'agissant de ces deux attaques.
Le précédent Safran
Que recherchent réellement les cyberespions ? "Dans le domaine aéronautique, Pékin est très actif car la mise en service du C919 [premier moyen-courrier conçu par la Chine, NDLR] prend de plus en plus de retard, répond un expert, bon connaisseur du dossier Airbus. La Chine essaie donc de gagner du temps en mettant la main sur les données de certification des avions ou des moteurs, Safran en a d'ailleurs fait l'expérience".
En 2013 et 2014, le motoriste français Safran a en effet fait l'objet de plusieurs cyberattaques attribuées par les États-Unis à la Chine. L’affaire a été rendue publique par le département de la justice américain (DOJ) le 30 octobre 2018. Elle a débouché sur l’inculpation aux États-Unis de dix ressortissants chinois pour espionnage économique contre des sociétés aéronautiques américaines et Safran. Le DOJ reproche à deux officiers présumés du renseignement chinois, six autres soupçonnés d'être des hackers et deux agents infiltrés, d’avoir cherché pendant au moins cinq ans à voler "des données, de la propriété intellectuelle et des informations commerciales confidentielles, concernant notamment un moteur utilisé par des compagnies aériennes", selon l'acte d'accusation. Ces actes de cyberespionnage, retracés en détails par le site spécialisé Intelligence Online, sont édifiants.
Attribution épineuse
Mais accuser les cyberespions chinois d’être responsables de ces attaques pose toutefois une question épineuse. Comment être sûr que Pékin est bien derrière ces intrusions alors que les experts du monde de la cybersécurité expliquent en chœur qu’il est très difficile de se prononcer sur l’attribution des attaques ? "Concernant l'affaire Safran, c'était assez facile puisque le FBI, via des écoutes et des aveux, a eu les preuves de l'implication de hackers liés aux services chinois, répond le même expert. Pour Airbus, le faisceau d'indices est également extrêmement concordant. En revanche, il est vrai que techniquement, l'attribution est extrêmement aléatoire. Mais les services de renseignements disposent de moyens d'investigation permettant dans un certain nombre de cas de savoir qui est derrière telle ou telle attaque".
Laurent Heslault, directeur des technologies sécurité du géant informatique américain Symantec, complète. "D’un point de vue technique, il est très compliqué de savoir qui est le coupable. On peut, par exemple, trouver dans le code source de l’attaque, des idéogrammes propres à tel ou tel pays mais ils peuvent être ajoutés par les hackers pour accuser un État plutôt qu’un autre. En revanche, le facteur humain (qui est le hacker?) ou la méthode employée sont des éléments qui peuvent permettre d'attribuer une attaque". En France, contrairement aux États-Unis, la règle est celle de la non-attribution publique des cyberattaques, même si Florence Parly a semblé faire évoluer cette position de principe en pointant récemment du doigt un malware d'origine russe. La ministre de la Défense mettra-t-elle sa nouvelle doctrine à exécution concernant Airbus?
Dossier : Comment préparer son déménagement :
