Comment les « Honkers » patriotiques chinois sont devenus les cyberespions d'élite du pays

À l'été 2005, Tan Dailin était un étudiant diplômé de 20 ans à l'Université des sciences et de l'ingénierie du Sichuan lorsqu'il a attiré l'attention de l'Armée populaire de libération de Chine.

Tan faisait partie d'une communauté de hackers en plein essor connue sous le nom des Honkers. À la fin des années 1990 et au début des années 2000, des adolescents et des jeunes d'une vingtaine d'années en Chine formaient des groupes comme l'Armée verte et Evil Octal et lançaient des cyberattaques patriotiques contre des cibles occidentales qu'ils jugeaient irrespectueuses envers la Chine. Ces attaques étaient peu sophistiquées – principalement des dégradations de sites web et des opérations de déni de service ciblant des entités aux États-Unis, à Taïwan et au Japon –, mais les Honkers ont développé leurs compétences au fil du temps, et Tan a documenté ses frasques dans des billets de blog. Après avoir publié des articles sur des cibles de piratage au Japon, l'APL est venue les rejoindre.

Tan et ses amis d'université furent encouragés à participer à un concours de piratage informatique affilié à l'APL et remportèrent la première place. L'APL les invita à un stage intensif d'entraînement de piratage informatique d'un mois. En quelques semaines, Tan et ses amis construisirent des outils de piratage, étudièrent les techniques d'infiltration de réseaux et menèrent des attaques simulées.

La chronologie des événements ultérieurs est incertaine, mais Tan, connu sous les pseudonymes Wicked Rose et Withered Rose, a ensuite lancé son propre groupe de hackers : le Network Crack Program Hacker (NCPH). Le groupe s'est rapidement fait connaître en remportant des concours de piratage et en développant des outils. Ils ont créé le rootkit GinWui, l'une des premières portes dérobées d'accès à distance développées en Chine, puis, selon les experts, l'ont utilisé, ainsi que des dizaines d'exploits zero-day , dans une série de piratages « sans précédent » contre des entreprises et des entités gouvernementales américaines au printemps et à l'été 2006. Ils ont agi pour le compte de l'APL, selon Adam Kozy, ancien analyste du FBI qui a suivi Tan et d'autres hackers chinois pendant des années et dirige aujourd'hui le cabinet de conseil SinaCyber, spécialisé dans la Chine.

Tan avait alors révélé en ligne que lui et son équipe étaient payés environ 250 dollars par mois pour leurs piratages, sans toutefois préciser qui payait ni ce qu'ils pirataient. Ce salaire est passé à 1 000 dollars par mois après leur piratage estival, selon un rapport de 2007 de l'ancienne société de renseignement sur les menaces VeriSign iDefense.

À un moment donné, Tan a changé d'équipe et a commencé à travailler sous contrat avec le ministère de la Sécurité d'État (MSS), l'agence de renseignement civile chinoise, dans le cadre de son tristement célèbre groupe de piratage informatique connu sous le nom d'APT 41. Et en 2020, alors que Tan avait 36 ans, le ministère américain de la Justice a annoncé des actes d'accusation contre lui et d'autres membres présumés d'APT 41 pour avoir piraté plus de 100 cibles, notamment des systèmes gouvernementaux américains, des organisations de soins de santé et des télécommunications.

Le parcours de Tan jusqu'à l'APT 41 n'est pas unique. Il fait partie des nombreux anciens Honkers qui ont débuté leur carrière comme hackers patriotes autodidactes avant d'être absorbés par l'État et intégrés à son immense système d'espionnage.

Peu de choses ont été écrites sur les Honkers et leur rôle essentiel dans les opérations APT de la Chine, en dehors du témoignage de Kozy devant le Congrès en 2022. Mais un nouveau rapport , publié ce mois-ci par Eugenio Benincasa, chercheur principal en cyberdéfense au Centre d'études de sécurité de l'université ETH de Zurich en Suisse, développe le travail de Kozy pour retracer les débuts des Honkers et comment ce groupe de jeunes qualifiés est devenu l'un des cyberespions les plus prolifiques de Chine.

« Il ne s’agit pas seulement [des Honkers] de créer une culture de hackers implicitement alignée sur les objectifs de sécurité nationale », explique Benincasa, « mais aussi des relations personnelles qu’ils ont créées [que] nous voyons encore reflétées dans les APT aujourd’hui. »

La communauté Honker a largement émergé lorsque la Chine a rejoint Internet en 1994. Un réseau reliant universités et centres de recherche à travers le pays pour le partage des connaissances a permis aux étudiants chinois d'accéder à Internet avant le reste du pays. À l'instar des hackers américains, les Honkers étaient des passionnés de technologie autodidactes qui affluaient sur les forums électroniques (forums d'accès commuté) pour partager des conseils de programmation et de piratage informatique. Ils ont rapidement formé des groupes comme Xfocus, China Eagle Union et The Honker Union of China, et sont devenus connus sous le nom de Red Hackers ou Honkers, un nom dérivé du mandarin « hong » pour rouge, et « heike » pour visiteur noir – le terme chinois pour hacker.

Ces groupes étaient autonomes, dotés de hiérarchies souples et disposaient même de codes d'éthique élaborés par des membres influents comme le hacker taïwanais Lin Zhenglong (connu sous son pseudonyme « coolfire »). Lin estimait que les compétences en piratage informatique ne devaient être développées que pour renforcer les cyberdéfenses – pour apprendre les méthodes des hackers afin de les contrer – et a rédigé un manuel de piratage influent « pour sensibiliser à l'importance de la sécurité informatique, et non pour apprendre à déchiffrer des mots de passe ».

À l'époque, les environnements simulés permettant aux hackers de développer leurs compétences n'existaient pas, et Honkers recourait donc souvent au piratage de réseaux réels. Lin ne s'y opposait pas – le piratage n'était illégal en Chine que contre les réseaux gouvernementaux, de défense ou de recherche scientifique – mais il publia un ensemble de règles éthiques conseillant aux hackers d'éviter les systèmes gouvernementaux ou de causer des dommages permanents, et de restaurer les systèmes dans leur état initial une fois le piratage terminé.

Mais ces directives ont rapidement été abandonnées à la suite d'une série d'incidents impliquant des affronts étrangers à la Chine. En 1998, une vague de violence a éclaté en Indonésie contre les Chinois d'origine locale, et des groupes de Honkers indignés ont réagi par des dégradations de sites web et des attaques par déni de service coordonnées contre des cibles gouvernementales indonésiennes. L'année suivante, après que le président taïwanais Lee Teng-hui a annoncé sa théorie des deux États , remettant en cause la doctrine d'une seule Chine du Parti communiste, les Honkers ont dégradé des sites gouvernementaux taïwanais avec des messages patriotiques affirmant l'existence d'une Chine unifiée.

En 2000, après que les participants à une conférence au Japon ont nié les faits autour du massacre de Nanjing, au cours duquel environ 300 000 Chinois ont été tués pendant l'occupation de la ville par le Japon dans les années 1930, Honkers a fait circuler une liste de plus de 300 sites gouvernementaux et d'entreprises japonais, ainsi que les adresses e-mail de responsables japonais, et a incité les membres à les cibler.

Les cyberguerres dites patriotiques ont donné aux Honkers une cause commune qui leur a forgé une identité distincte des groupes de hackers occidentaux, qu'ils avaient jusque-là imités. Là où les hackers occidentaux étaient principalement motivés par la curiosité, le défi intellectuel et le droit de se vanter, les Honkers se sont unis autour d'une cause commune : aider la Chine à « se relever ». Selon les termes d'un engagement de la China Eagle Union, les Honkers ont juré de « placer les intérêts de la nation chinoise au-dessus de tout ».

Les guerres patriotiques ont fait connaître les Honkers chinois et en ont incité d'autres à les rejoindre. L'Union des Honkers a atteint environ 80 000 membres, l'Armée verte 3 000. La plupart n'étaient que des passionnés et des aventuriers, mais un sous-groupe s'est distingué par son leadership et ses compétences en piratage informatique. Parmi eux, un groupe particulièrement influent, que Benincasa appelle les « 40 Rouges », a fondé ou rejoint plusieurs des plus grandes entreprises chinoises de cybersécurité et de technologie, devenant ainsi un élément essentiel du système de cyberespionnage de l'État.

Rien ne prouve que le gouvernement ait dirigé ces opérations de piratage patriotique, affirme Benincasa, mais leur activité cadrait avec les intérêts de l'État et a attiré l'attention du gouvernement. Un contre-amiral à la retraite de l'Armée populaire de libération et ancien professeur à l'Université de défense nationale de l'APL a salué leur patriotisme. Le public semblait également les soutenir. Un rapport affirmait que 84 % des internautes chinois étaient favorables à ce piratage patriotique.

Mais en avril 2001, la situation a commencé à changer après qu'un avion de chasse chinois a percuté un avion de reconnaissance américain en plein vol au large de Hainan, déclenchant un incident international. La collision a tué le pilote chinois et contraint l'avion américain à atterrir à Hainan, où l'armée chinoise a saisi l'appareil et retenu l'équipage pendant plus d'une semaine. L'incident a attisé les sentiments nationalistes parmi les pirates informatiques américains et chinois, et les deux camps ont lancé des cyberattaques contre les systèmes de l'autre pays.

Le gouvernement chinois s'est inquiété de son manque de contrôle sur les Honkers et a craint qu'ils ne deviennent un handicap et n'aggravent les tensions. Le journal officiel du Parti communiste chinois a comparé le piratage à du « terrorisme sur Internet », et le directeur de l'Internet Society of China a également publié un communiqué dans les médias officiels chinois pour le condamner. Le contre-amiral à la retraite de l'APL, qui avait auparavant fait l'éloge de ces groupes, a désormais averti qu'ils constituaient une menace pour les relations internationales.

Les Honkers ont compris le message, mais leur mission patriotique ayant été mise de côté, la cohésion des groupes s'est affaiblie. Des conflits de direction et des désaccords sur l'orientation et les priorités ont éclaté : certains souhaitaient se professionnaliser et créer des entreprises de cybersécurité pour défendre les systèmes chinois contre les attaques ; d'autres voulaient se lancer dans la vente d'outils malveillants. Les premiers ont rejoint des entreprises technologiques comme Baidu, Alibaba et Huawei, ou des sociétés de cybersécurité comme Venustech et Topsec. Certains sont devenus entrepreneurs et ont lancé leurs propres sociétés de sécurité, comme NSFocus et Knownsec, qui sont devenues des leaders de la recherche sur les vulnérabilités et du renseignement sur les menaces. Certains, en revanche, se sont tournés vers la cybercriminalité. D'autres, comme Tan, sont devenus des pirates informatiques sous contrat pour l'APL et le MSS ou ont fondé des entreprises au service de ces opérations.

Selon Benincasa, l'APL et le MSS ont commencé à recruter des Honkers vers 2003, mais le recrutement est devenu plus structuré et plus sérieux après les piratages informatiques de 2006 attribués au NCPH et à Tan. Le recrutement s'est intensifié pendant et après les Jeux olympiques de Pékin de 2008 et a probablement été facilité en 2009 par l'adoption de l'amendement VII du Code pénal chinois, qui criminalisait les intrusions non autorisées dans tout réseau ainsi que la distribution d'outils de piratage.

Les forums de hackers ont commencé à fermer et certains Honkers ont été arrêtés. La rumeur s'est répandue que Tan était parmi eux. Selon Kozy, Tan risquait sept ans et demi de prison, mais on ignore s'il a purgé une peine quelconque. Kozy pense avoir conclu un accord et commencé à travailler pour le MSS. En 2011, il semble qu'il ait lancé une société d'antivirus nommée Anvisoft , qui aurait pu servir de couverture à son travail pour le MSS.

Selon Benincasa, les anciens Honkers Zeng Xiaoyong (Masque d'envie) et Zhou Shuai (Face froide) sont également devenus des sous-traitants de l'APL et du MSS et ont participé aux opérations menées par APT 41, APT 17 et APT 27. Certains ont travaillé par l'intermédiaire de sociétés écrans, d'autres par l'intermédiaire de sociétés légitimes qui servaient d'intermédiaires aux services de renseignement.

Topsec et Venustech étaient deux entreprises accusées d'avoir contribué à ces efforts. Topsec employait plusieurs anciens Honkers, dont le fondateur de l'Union Honkers de Chine, et ce dernier a reconnu lors d'une interview que l'APL dirigeait son entreprise. En 2015, Topsec a été liée à des cyberopérations commanditées par l'État, notamment la violation de la sécurité informatique d'Anthem Insurance aux États-Unis.

Au fil des ans, de nombreux outils utilisés par les groupes APT chinois ont été développés par les Honkers, et l'APL et le MSS les ont exploités pour la recherche de vulnérabilités et le développement d'exploits. En 1999, Huang Xin (glacier), membre de l'Armée verte, a lancé « Glacier », un cheval de Troie d'accès à distance. L'année suivante, lui et Yang Yong (coolc) de XFocus ont lancé X-Scan, un outil d'analyse des vulnérabilités des réseaux, encore utilisé aujourd'hui par les pirates informatiques en Chine. En 2003, deux membres de l'Union Honker ont lancé HTRAN, un outil permettant de masquer la localisation d'un attaquant en redirigeant son trafic via des ordinateurs proxy, utilisé par les APT chinois. Tan et Zhou Jibing (whg), membre du NCPH, auraient créé la porte dérobée PlugX en 2008, utilisée par plus de dix APT chinois. Selon Benincasa, Zhou l'a perfectionnée pour produire ShadowPad, utilisé notamment par APT 41.

Au fil des ans, des fuites et des inculpations américaines contre d'anciens Honkers ont révélé leurs carrières d'espionnage post-Honker, ainsi que le recours par la Chine à des entreprises à but lucratif pour des opérations de piratage informatique étatiques. Parmi ces dernières figurent i-Soon et Integrity Tech, toutes deux fondées par d'anciens Honkers.

Wu Haibo (arrêté), ancien membre de Green Army et de 0x557, a lancé i-Soon en 2010. L'année dernière, des fichiers internes et des journaux de discussion d'i-Soon ont été divulgués , révélant les activités d'espionnage menées par l'entreprise pour le compte du MSS et du MPS. En mars de cette année, huit employés d'i-Soon et deux agents du MPS ont été inculpés par les États-Unis pour des opérations de piratage visant des agences gouvernementales américaines, des ministères des Affaires étrangères asiatiques, des dissidents et des médias.

Integrity Tech, fondée en 2010 par l'ancien membre de l'Armée verte Cai Jingjing (cbird), a été sanctionnée par les États-Unis cette année en raison de ses liens avec des piratages d'infrastructures mondiales.

Cette année, les États-Unis ont également inculpé les anciens membres de l’Armée verte Zhou et Wu pour avoir mené des opérations de piratage informatique d’État et ont sanctionné Zhou pour ses liens avec APT 27. En plus de se livrer à des piratages informatiques parrainés par l’État, il aurait également dirigé un service de fuite de données vendant certaines des données volées à des clients, notamment des agences de renseignement.

Ce n'est pas sans rappeler les hackers américains de la première génération, devenus fondateurs d'entreprises de cybersécurité et recrutés par la NSA et la CIA, ou engagés par des sous-traitants pour mener des opérations de piratage pour le compte des États-Unis. Mais contrairement aux États-Unis, les autorités de renseignement chinoises, qui interviennent à l'échelle de la société, ont contraint certains citoyens et entreprises chinois à collaborer avec l'État pour mener des activités d'espionnage, note Kozy.

« Je pense que la Chine, dès le départ, s'est dit : "On peut s'approprier [les Honkers] pour servir ses intérêts nationaux" », explique Kozy. « Et… comme beaucoup de ces jeunes avaient des penchants patriotiques au départ, on les a en quelque sorte poussés à se mettre au service du pays en leur disant : "Vous allez faire beaucoup de bonnes choses pour le pays." » Et beaucoup d'entre eux ont commencé à comprendre qu'ils pouvaient s'enrichir en faisant cela. »