Après chaque cyber-attaque menée contre un Etat (ou ses représentants) ou contre une grande entreprise, la Chine est naturellement désignée par certains (d’autres diront par beaucoup) comme le présumé coupable. Les Chinois seraient donc les maîtres du cyberespace et les rois du cyber-espionnage industriel. La Chine : un coupable idéal ?
La Chine a pris assez tôt les devants sur les questions de “cyber-guerre” ou de lutte informatique offensive. Malgré tout, il est trop facile de les accuser de tous les maux sans preuves. Et oui, car dans le cyberespace, prouver l’origine et l’identité d’un attaquant relève du “presque impossible” si celui-ci est assez malin.
Dans les cas de ces supposées cyber-attaques chinoises (comme celles contre des comptes GMail ou celles contre RSA ou Lockheed Martin), l’élément de preuve le plus généralement présenté dans les articles et billets de blogs est l’adresse IP de l’attaquant ou l’adresse IP du serveur où seraient exfiltrées les données volées. Une adresse IP souvent localisée en Chine. Souvent aussi elle est localisée dans une province précise : celle de Shandong et sa capitale, Jinan.
Google probably chose to focus on the two IP addresses that resolved to Jinan, the capital of Shandong province, because its home to Lanxiang Vocational School, which was associated with the Google attacks of December 2009 – January 2010 and because it has a PLA regional command center. The problem with this argument is that Jinan is a high tech industrial zone with over 6 million people and more than a dozen universities.
Voilà la source du problème. Comme l’explique parfaitement Jeffrey Carr sur son blog, cette ville abriterait un commandant régional de la PLA, l’armée chinoise et aurait été associée à l’attaque Aurora contre Google de fin 2009.
Mais comme le montre Jeffrey Carr, acheter une adresse IP chinoise via un serveur chez un hébergeur chinois est très facile. Et la ville de Jinan est une technopole où cohabitent une douzaine d’universités, des entreprises de haute-technologie et 6 millions de personnes. Les informations publiées dans certains articles décrivant les attaques de spear-phishing contre des comptes GMail étaient également incomplètes. En effet, certains articles oublient de préciser que les e-mails piégés provenaient également d’IP nord-américaine, coréenne ou de Hong Kong.
What both Google and Siobhan Gorman who reported on the story for the Wall Street Journal failed to disclose was that other countries IP addresses were used as well including South Korea and the United States. Copies of the spoofed emails along with the originating IPs were disclosed back in February on the Contagio blog.
Accuser la Chine semble donc être la solution de facilité utilisée par beaucoup afin de masquer les limites de la désignation de l’identité et de l’origine d’un cyber-attaquant. Ce qui est indispensable quand on veut riposter.
A force de crier au loup…
Source : http://jeffreycarr.blogspot.com/2011/06/chinese-ip-address-fallacy-in-cyber.html