En mars 2017, un groupe de pirates informatiques chinois est arrivé à Vancouver avec un seul objectif: trouver des points faibles cachés dans les technologies les plus populaires au monde.
Le navigateur Chrome de Google, le système d’exploitation Windows de Microsoft et les iPhones d’Apple étaient tous dans la ligne de mire. Mais personne ne violait la loi. Ce ne sont là que quelques-unes des personnes participant à Pwn2Own, l’une des compétitions de piratage les plus prestigieuses au monde.
C’était le 10e anniversaire de Pwn2Own, un concours qui attire des hackers d’élite du monde entier avec l’attrait de gros prix en espèces s’ils parviennent à exploiter des vulnérabilités logicielles jusque-là inconnues, connues sous le nom de «jours zéro». Une fois qu’une faille est trouvée, les détails sont transmis aux entreprises impliquées, ce qui leur laisse le temps de la corriger. Le pirate informatique, quant à lui, repart avec une récompense financière et un droit de se vanter éternel.
Pendant des années, les hackers chinois ont été les forces les plus dominantes lors d’événements comme Pwn2Own, gagnant des millions de dollars en prix et s’établissant parmi l’élite. Mais en 2017, tout s’est arrêté.
L’un des élites chinoises a piraté un iPhone…. Presque du jour au lendemain, les services de renseignement chinois l’ont utilisé comme une arme contre un groupe ethnique minoritaire assiégé, frappant avant qu’Apple ne puisse résoudre le problème. C’était un acte effronté exécuté en plein jour.
Dans une déclaration inattendue, le milliardaire fondateur et PDG du géant chinois de la cybersécurité Qihoo 360 – l’une des entreprises technologiques les plus importantes de Chine – a publiquement critiqué Citoyens chinois partis à l’étranger pour participer à des compétitions de piratage. Dans une interview avec le site d’information chinois Sina, Zhou Hongyi a déclaré que bien performer dans de tels événements ne représentait qu’un succès «imaginaire». Zhou a averti qu’une fois que les pirates chinois ont montré leurs vulnérabilités lors de compétitions à l’étranger, ils ne pouvaient plus «être utilisés». Au lieu de cela, a-t-il soutenu, les pirates et leurs connaissances devraient «rester en Chine» afin de pouvoir reconnaître la véritable importance et la «valeur stratégique» des vulnérabilités logicielles.
Pékin a accepté. Bientôt, le gouvernement chinois banni chercheurs en cybersécurité participant à des concours de piratage à l’étranger. Quelques mois plus tard, un nouveau concours est apparu en Chine pour remplacer les concours internationaux. La Coupe Tianfu, comme on l’appelait, offrait des prix totalisant plus d’un million de dollars.
L’événement inaugural a eu lieu en novembre 2018. Le premier prix de 200 000 $ est allé au chercheur Qihoo 360 Qixun Zhao, qui a montré un remarquable chaîne d’exploits qui lui ont permis de prendre le contrôle facilement et de manière fiable, même des iPhones les plus récents et les plus à jour. À partir d’un point de départ dans le navigateur Web Safari, il a trouvé une faiblesse dans le noyau du système d’exploitation des iPhones, son noyau. Le résultat? Un attaquant distant pourrait prendre le contrôle de tout iPhone qui a visité une page Web contenant le code malveillant de Qixun. C’est le genre de piratage qui peut potentiellement être vendu pour des millions de dollars sur le marché libre pour donner aux criminels ou aux gouvernements la possibilité d’espionner un grand nombre de personnes. Qixun l’a nommé «Chaos».
Deux mois plus tard, en janvier 2019, Apple a publié une mise à jour corrigeant la faille. Il y avait peu de fanfare – juste un petit mot de remerciement à ceux qui l’ont découvert.
Mais en août de cette année-là, Google a publié un analyse extraordinaire dans une campagne de piratage informatique qui, selon lui, «exploitait les iPhones en masse». Les chercheurs ont disséqué cinq chaînes d’exploit distinctes qu’ils avaient repérées «dans la nature». Celles-ci comprenaient l’exploit qui a valu à Qixun le premier prix à Tianfu, qui, selon eux, avait également été découvert par un «attaquant» anonyme.
Les chercheurs de Google ont souligné des similitudes entre les attaques qu’ils ont capturées utilisées dans le monde réel et le Chaos. Ce que leur plongée profonde a omis, cependant, ce sont les identités des victimes et des assaillants: les musulmans ouïghours et le gouvernement chinois.
Une campagne d’oppression
Au cours des sept dernières années, la Chine a commis des violations des droits de l’homme contre le peuple ouïghour et d’autres groupes minoritaires dans la province occidentale du Xinjiang. Les aspects bien documentés de la campagne comprennent les camps de détention, la stérilisation obligatoire systématique, torture et viol organisés, le travail forcé et un effort de surveillance sans précédent. Les responsables de Pékin affirment que la Chine agit pour lutter contre «le terrorisme et l’extrémisme», mais les États-Unis, entre autres, a appelé les actions génocide. Les abus s’ajoutent à une haute technologie sans précédent campagne d’oppression qui domine la vie des Ouïghours, en s’appuyant en partie sur des campagnes de piratage ciblées.
Le piratage des Ouïghours par la Chine est si agressif qu’il l’est effectivement global, s’étendant bien au-delà des frontières du pays. Il cible les journalistes, les dissidents et quiconque soulève les soupçons de Pékin d’une loyauté insuffisante.
Peu de temps après que les chercheurs de Google aient noté les attaques, les médias rapports reliaient les points: les cibles de la campagne qui a utilisé l’exploit du Chaos étaient le peuple ouïghour, et les pirates étaient liés au gouvernement chinois. Apple a publié un blog rare Publier qui a confirmé que l’attaque avait eu lieu sur deux mois: c’est-à-dire la période commençant immédiatement après que Qixun ait remporté la Coupe Tianfu et s’étendant jusqu’à ce qu’Apple publie le correctif.
L’article Comment la Chine a transformé un iPhone primé contre les Ouïghours est apparu en premier sur zimo news.
