COVID-19 : Le cyberespionnage s’invite dans la course au remède

Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour consulter cette chronique en version PDF

Alors que les recherches d’un traitement et d’un vaccin contre le coronavirus battent leur plein à travers le monde, des États commencent à recourir au cyberespionnage pour obtenir des secrets médicaux et pharmaceutiques.

Trouver une solution, c’est bien. La trouver avant les autres, c’est mieux. Alors qu’une myriade de laboratoires à travers le monde s’échine actuellement à concevoir un traitement ou un vaccin contre la COVID-19, plusieurs États mobiliseraient désormais des hackers pour tenter d’espionner les recherches menées à l’étranger. C’est ce qu’affirmaient début mai le National Cyber Security Centre (NCSC) britannique et la Cybersecurity and Infrastructure Security Agency (CISA) américaine, dans une déclaration commune mettant en garde les organismes travaillant sur la question.

Selon les deux agences, des entreprises pharmaceutiques, des instituts de recherche (telle l’Université Oxford) et des agences sanitaires gouvernementales auraient récemment été l’objet de cyberespionnage étranger, dans le but de collecter des données sur l’état de leurs recherches. Ceci vient corroborer des constats similaires énoncés mi-avril par le FBI. Si la déclaration du NCSC et de la CISA n’incriminait pas de pays spécifiquement, elle évoquait des suspicions à l’encontre de la Chine, de l’Iran et de la Russie.

Les intéressés ont toutefois nié être impliqués, rétorquant être eux-mêmes la cible de telles cyberattaques. Pékin, sur le second point, n’a pas tort : quelques jours plus tôt, la firme de cybersécurité FireEye attribuait une vague de cyberintrusions ayant frappé la Chine à un groupe de hackers vietnamiens (le Advanced Persistent Threat 32, ou APT32). Parmi les entités ciblées figurait notamment le ministère de la Gestion d’urgence de la République populaire.

Alors que plusieurs universités canadiennes mènent actuellement des recherches en lien avec la COVID-19, le Canada figurerait également parmi les cibles potentielles. « Les auteurs malveillants disposant de moyens sophistiqués pourraient tenter de porter atteinte à la propriété intellectuelle des organismes qui prennent part aux activités de recherche et développement portant sur la COVID-19 », soulignait le Centre de la sécurité des télécommunications (CST) dans une note adressée fin mars aux institutions concernées. 

Pas nouveau, mais désormais crucial

Si le cyberespionnage n’est évidemment pas nouveau, l’utilisation de celui-ci à l’encontre de secrets pharmaceutiques ne l’est pas davantage : en 2019, un rapport de FireEye attribuait à deux groupes de pirates informatiques chinois (APT41 et APT10) plusieurs cyberintrusions contre des organismes de recherche sur le cancer américains et japonais. La même année, le géant pharmaceutique allemand Bayer était lui aussi victime d’une brèche informatique, imputée à un autre groupe de hackers chinois bien connus, Wicked Panda.

Le vol de propriété intellectuelle (y compris pharmaceutique) représente, en temps normal déjà, une colossale manne financière. En 2012, le directeur de la NSA, Keith Alexander, affirmait devant le Congrès américain que le cyberespionnage économique (représentant chaque année près de 500 milliards de dollars de pertes financières aux États-Unis) constituait « le plus grand transfert de richesse de l’histoire ». Les enjeux sont d’autant plus élevés désormais : le premier État qui mettra la main sur une solution contre la COVID-19 pourra potentiellement commercialiser celle-ci, mais aussi reprendre ses activités économiques plus rapidement (en traitant prioritairement sa population). À cet égard, on se souvient que l’administration Trump, à la mi-mars, avait tenté d’obtenir l’exclusivité sur un éventuel vaccin développé par une firme allemande.  

Les récentes cyberintrusions orchestrées par des États confirment donc que, dans l’actuelle course au remède contre le coronavirus, tous les coups sont permis. Une victoire en la matière représenterait aussi une démonstration de force scientifique sur la scène internationale et donc un coup d’éclat de soft power, comme le suggèrent déjà les campagnes de propagande russe et chinoise entourant l’assistance médicale fournie à certains pays. La Chine, d’ailleurs, a particulièrement gros à jouer en matière d’image : offrir au monde une solution à la pandémie contribuerait à faire oublier qu’elle en fut le probable point de départ.

Cybervolontaires et cybermercenaires

Bien que l’espionnage pharmaceutique ne soit pas le seul type de cyberactivité malveillante autour de la COVID-19, la réponse s’organise. Une organisation transnationale d’experts en informatique et cybersécurité s’est formée à la mi-mars afin d’aider bénévolement les organismes sanitaires à faire face aux pirates tentant de profiter de la pandémie. Cette entité, la Cyber Threat Intelligence League, regrouperait déjà quelque 1400 volontaires à travers près de 80 pays, selon son premier rapport publié fin mars. Ses activités semblent toutefois se concentrer davantage sur la cybercriminalité (les tentatives d’extorsion notamment) que sur les activités orchestrées par des États (en l’occurrence l’espionnage).

L’enjeu, d’ailleurs, est de distinguer les deux : se pourrait-il simplement que des groupes de hackers tentent de dérober des secrets pharmaceutiques pour les vendre au plus offrant ? Si l’hypothèse est envisageable, il s’avère que les Advanced Persistent Threats (APT) exploitent délibérément cette ambiguïté : bien souvent au service de gouvernements, les APT ont justement vocation à entretenir un déni plausible quant à l’implication de l’État en question.  

Dans un récent ouvrage clé sur ces « cyber-mercenaires », Tim Maurer (chercheur auprès du Carnegie Endowment for International Peace) détaillait toute la difficulté de distinguer le vrai du faux en la matière. Il mentionnait à cet égard le cas emblématique du gigantesque vol de données personnelles de fonctionnaires américains par des hackers chinois en 2015 : à la suite de pressions diplomatiques, Pékin finit par arrêter les hackers en affirmant qu’il s’agissait d’une initiative criminelle… quand bien même le cas revêtait d’évidents intérêts stratégiques (Maurer, 2018, p. 116-117).

Un enjeu de sécurité nationale ?

Alors que la course au vaccin ou au traitement contre la COVID-19 est appelée à durer de longs mois encore, le cyberespionnage lié à la maladie soulève de sérieuses questions : la recherche d’un remède en période de pandémie constitue-t-elle un enjeu de sécurité nationale ? Si oui, quels moyens est-il légitime d’employer pour en assurer l’intégrité ? On se souvient par exemple que le piratage de l’entreprise Sony Pictures en 2014 par la Corée du Nord avait poussé la Maison-Blanche à adopter d’importantes sanctions contre ce pays. En matière de cyberconflictualité, la frontière public-privé est très poreuse.

Les réponses officielles au problème du cyberespionnage économique ont jusqu’ici varié au gré des circonstances. Aux États-Unis, l’administration Obama avait favorisé l’approche diplomatique, en signant avec Pékin, en 2015, un accord censé mettre fin au vol de secrets industriels. En 2018, face à une recrudescence de ce phénomène, Washington a mis en place un nouveau mécanisme judiciaire, ayant depuis mené à plusieurs inculpations de hackers étrangers. Alors que la dernière cyberstratégie américaine prévoit la possibilité de « désarmer » certains acteurs malveillants (par exemple en attaquant leurs infrastructures informatiques), le doute persiste quant à savoir si cette doctrine s’étend au vol de propriété intellectuelle.

L’enjeu du cyberespionnage n’en dessine pas moins un péril diffus : la recherche d’une solution à la pandémie pourrait être, lentement mais surement, « sécuritisée » et générer à travers la communauté internationale des logiques de raison d’État contre-productives face à la crise. Tirer à la même corde ou tirer sur la fibre optique, pour s’en sortir ? Il faut choisir.

Alexis Rapin est chercheur en résidence à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand.

Pour consulter cette chronique en version PDF

19 mai 2020