Imaginez un instant : des milliers d’ordinateurs à travers les États-Unis, infectés par des logiciels malveillants chinois, collectant discrètement des données sensibles. C’est précisément ce scénario que le Département de la Justice (DOJ) et le FBI ont déjoué lors d’une opération sans précédent en août 2024.

Une vaste campagne d’espionnage démantelée

Les autorités américaines ont confirmé avoir perturbé les activités d’un groupe de hackers soutenu par l’État chinois, connu sous le nom de « Twill Typhoon » ou « Mustang Panda ». Ce groupe avait infiltré des millions d’ordinateurs dans le monde entier afin de dérober des données dans le cadre d’une campagne d’espionnage de plusieurs années.

Lors d’une opération autorisée par un tribunal en août 2024, le FBI a réussi à supprimer les malwares plantés par ce groupe sur des milliers de systèmes infectés aux États-Unis. Une prouesse rendue possible grâce à l’assistance des autorités françaises et de la société de cybersécurité parisienne Sekoai.

PlugX : un malware redoutable

Le malware au cœur de cette affaire, baptisé « PlugX », s’est révélé particulièrement sournois. Généralement installé via le port USB d’un ordinateur, il a infecté plusieurs millions d’appareils dans le monde, dont 3 000 rien qu’en France selon les procureurs français.

Une fois en place, PlugX se met à collecter et exfiltrer les fichiers de l’ordinateur victime. Le FBI a observé ce malware dès 2012 et a établi qu’il était utilisé par des hackers soutenus par l’État chinois depuis 2014 à des fins d’espionnage.

Sekoai, l’atout maître de l’opération

La société française Sekoai a joué un rôle clé dans le succès de cette opération. Elle a en effet développé la capacité d’envoyer des commandes aux appareils infectés afin de supprimer le malware PlugX. Une prouesse technique qui a permis aux autorités américaines de nettoyer plus de 4 200 ordinateurs infectés sur leur territoire.

Des cibles gouvernementales et privées

Si les victimes spécifiques de cette campagne de hacking n’ont pas été nommées, le FBI indique que Twill Typhoon a infiltré les systèmes de « nombreuses » organisations gouvernementales et privées, y compris aux États-Unis. Parmi les cibles d’envergure figurent des compagnies maritimes européennes, plusieurs gouvernements européens, des groupes de dissidents chinois et divers gouvernements dans la région indo-pacifique.

La Chine pointée du doigt

Dans sa déclaration, le Département de la Justice américain a accusé directement le gouvernement chinois d’avoir payé le groupe Twill Typhoon pour développer le malware PlugX. Une accusation que la Chine a longtemps niée, réfutant toute allégation de hacking de la part des États-Unis.

Les responsables de la sécurité nationale américaine ont précédemment décrit les capacités offensives de cyberattaque du gouvernement chinois comme une « menace qui définit une époque ».

Une lutte acharnée dans le cyberespace

Cette opération s’inscrit dans une longue liste d’actions menées par les autorités américaines ces dernières années pour contrer la menace croissante d’adversaires étrangers ciblant les appareils américains. En 2024, le FBI a mené plusieurs opérations impliquant la suppression de malwares et la prise de contrôle de botnets malveillants, dans le but de perturber des campagnes soutenues par la Chine et visant les infrastructures critiques américaines.

Une chose est sûre : la lutte acharnée entre les États-Unis et la Chine dans le cyberespace ne semble pas prête de s’apaiser. Et dans cette guerre de l’ombre, la vigilance et l’innovation technologique seront les meilleures armes pour protéger les données sensibles et préserver la sécurité nationale.

• Une opération sans précédent pour supprimer des malwares chinois
• Des millions d’ordinateurs infectés dans le monde
• Le rôle clé d’une société française de cybersécurité
• La Chine accusée de soutenir les hackers
• Une lutte acharnée dans le cyberespace