Quand la Chine pirate le Tibet

 

Les smartphones Android ou Apple de plusieurs personnalités tibétaines ont été visés par des piratages transmis via des messages WhatsApp. Selon des spécialistes, il a suffi que les utilisateurs cliquent sur un simple lien contenu dans un message reçu sur l’application pour qu’un mouchard permanent soit installé sur leur mobile.

 

Il s’agit sans doute de l’attaque la plus sophistiquée jamais observée au Tibet, après des tentatives antérieures de subtiliser des conversations WhatsApp et Facebook ou encore la localisation des utilisateurs, grâce à des techniques inédites.

 

Les hackers, qui pourraient bien être affiliés au gouvernement chinois, ont été surnommés Poison Carp par le groupe de chercheurs Citizen Lab de l’Université de Toronto, qui se consacre aux activités de surveillance. Le collectif est parvenu à convaincre leurs cibles d’ouvrir des messages WhatsApp en prétendant travailler pour un journal ou une association caritative.

 

Les chercheurs canadiens ont établi des liens entre Poison Carp et le groupe qui avait déjà ciblé les appareils Android et iPhone de la minorité ouïghoure en Chine, comme l’avait révélé l’équipe Project Zero de Google. Le même logiciel malveillant a notamment été utilisé sur les iPhone lors des deux attaques, tandis que le site web utilisé pour diffuser un code malveillant sur Android était également le même dans les deux cas.

 

Une fois que l’utilisateur cliquait sur le lien de Poison Carp, le code malveillant tentait alors d’exploiter les faiblesses du navigateur Android ou du système d’exploitation iOS d’Apple. Ces vulnérabilités étaient bien connues, même si dans un cas particulier, les attaquants ont tenté d’exploiter un bug Google Chrome dont le correctif n’avait pas encore été diffusé aux utilisateurs concernés. Tous les autres utilisateurs d’un Android ou d’un iPhone à jour à ce moment auraient dû être protégés contre l’infection. En revanche, pour les personnalités tibétaines qui n’avaient pas fait les mises à jour et qui ont été piratées, leurs conversations WhatsApp et Facebook, leur emplacement, leurs contacts, leur historique d’appels et de messages, ainsi que leurs e-mails Gmail ont sans doute été envoyés aux hackers.

Parmi les personnes touchées par ces attaques entre novembre 2018 et mai 2019, on retrouve les services du Dalaï-lama, le gouvernement tibétain en exil ou encore des groupes tibétains de défense des droits humains.

 

Selon Citizen Lab, les attaques s’inscrivent dans une série de tentatives à l’encontre de l’administration centrale tibétaine. Les chercheurs ajoutent cependant qu’il s’agit du premier cas documenté de la sorte (via des téléphones mobiles) à l’encontre de groupes tibétains. Ils expliquent dans leur rapport, transféré à Forbes en avant-première : « Cela représente une amélioration considérable des méthodes d’ingénierie sociale et des procédés techniques par rapport à ce que nous observons généralement à l’encontre de la communauté tibétaine ».

 

Pour Lobsang Gyatso de TibCERT, une organisation qui vise à protéger les personnalités tibétaines de cyberattaques : « Il s’agit de l’attaque la plus technique que nous avons jamais connue, car elle fonctionne en un clic et jusqu’à maintenant cela n’avait jamais été utilisé pour des appareils mobiles ».

 

Apple a annoncé qu’iOS avait été corrigé afin que les attaques sur les Tibétains ne soient plus possibles avec la dernière version du système d’exploitation. Un porte-parole de la marque à la pomme a déclaré : « Nous encourageons toujours nos clients à télécharger la dernière version d’iOS, afin de bénéficier des améliorations de sécurité les plus récentes et les plus efficaces ».

 

Le groupe Google a également annoncé que les problèmes avaient été corrigés et qu’il avait contribué au rapport de Citizen Lab.

Les Tibétains font encore office de cible

 

Namgyal Dolkar Lhagyari fait partie des députés touchés par les attaques de Poison Carp. Elle est membre de la communauté tibétaine exilée en Inde et en mars de cette année, elle a reçu un message WhastApp d’une personne prétendant travailler pour Amnesty International à Hong Kong. L’expéditeur aurait affirmé vouloir recueillir des informations sur l’auto-immolation, une forme de protestation contre la persécution des Tibétains. Il lui aurait alors envoyé un lien trompeur. La députée ne se souvient pas si elle a véritablement cliqué sur le lien, mais elle l’a en tout cas transmis rapidement à TibCERT, qui a rapidement confirmé que le lien comportait un programme malveillant pour Android.

 

Bien que Namgyal Dolkar Lhagyari ait bloqué le numéro en question, elle a tout de même reçu un lien similaire quelques mois plus tard lui promettant des informations inédites concernant le Dalaï-lama. TibCERT a une nouvelle fois confirmé qu’il s’agissait d’une autre attaque visant à hacker le téléphone de la députée via WhatsApp.

 

Elle a annoncé à Forbes : « Recevoir des messages WhatsApp infectés était nouveau pour nous. Nous avons toujours pensé que la messagerie WhatsApp était plus sécurisée que les autres applications ».

 

Namgyal Dolkar Lhagyari soupçonne fortement la Chine d’être liée à cette affaire, du fait de son lourd passif de persécution des Tibétains : « Compte tenu du travail que nous faisons, qui consiste à dénoncer la Chine pour ses diverses atteintes aux droits de l’homme au Tibet, et puisque des virus similaires ont été retrouvés sur les mobiles de militants tibétains, il est clair qu’il s’agit d’une initiative du gouvernement communiste chinois ». L’ambassade de Chine à Londres n’a pas souhaité répondre à nos questions.

 

Une nouvelle attaque Android sur Facebook

 

Selon Bill Marczak, chercheur au Citizen Lab, les dernières attaques menées contre les communautés tibétaines comportaient également des logiciels espions pour Android. Au lieu d’essayer de pirater le cœur du système d’exploitation de Google, les logiciels espions tentaient plutôt de s’infiltrer dans les applications elles-mêmes, en particulier Facebook.

Le chercheur explique qu’une fois que l’utilisateur ouvre le lien malveillant depuis WhatsApp, le programme s’exécute également dans le navigateur intégré de l’application Facebook. Cela exposerait alors tout le contenu de l’application.

 

« Ces applications, comme Facebook, détiennent déjà de nombreuses autorisations pour accéder à l’appareil photo, au microphone, au GPS, aux SMS, aux contacts et au journal d’appels du téléphone », a-t-il déclaré, ajoutant également qu’elles « ont une grande surface d’attaque, car elles utilisent un navigateur complet ».

 

Source: Forbes France