Ce que l'on sait de la cyberattaque qui a visé plusieurs élus français, attribuée au groupe de pirates chinois APT31

L'affaire ressurgit en pleine visite d'Etat du président chinois Xi Jinping en France. Sept parlementaires français et un eurodéputé, la tête de liste des Républicains François-Xavier Bellamy, ont annoncé ces derniers jours avoir été ciblés par une campagne de piratage informatique commanditée par la Chine. Cette cyberattaque, menée en 2021, a été orchestrée par un groupe de hackeurs directement sous les ordres de Pékin, selon les renseignements américains qui ont révélé l'affaire en mars. Voici ce que l'on sait de cette attaque informatique.

Des hackeurs chinois ont envoyé des mails piégés

Selon un communiqué du Département de la justice américain publié le 25 mars, les faits remontent à 2021. Les élus ciblés par le piratage ont reçu des courriels prétendument issus de médias réputés ou de journalistes. Ces messages contenaient une ou plusieurs images piégées qui, dès l'ouverture de l'e-mail, ont envoyé à l'expéditeur de nombreuses informations sur l'appareil utilisé par la victime. Cette technique dite de "pixel attack" peut ensuite servir à affiner d'autres campagnes de hameçonnage pour les rendre plus efficaces, précisent plusieurs élus français visés à franceinfo.

Le Département de la justice américain a attribué cette attaque à des membres présumés du groupe APT31. Selon les autorités américaines, ce groupe de pirates (également surnommé "Zirconium" ou "Violet Typhoon" par Microsoft) appartient à un programme de cyberespionnage chinois dirigé par le département de la sécurité d'Etat du Hubei, localisé dans la ville de Wuhan, et qui en rapporte directement au ministère chinois de la Sécurité d'Etat.

Une centaine d'élus européens ont été visés

Le communiqué des autorités américaines précise que cette cyberattaque d'APT31 a visé "tous les membres européens de l'Alliance interparlementaire sur la Chine", un réseau international d'élus de différents bords politiques créé en 2020 pour agir de manière coordonnée sur différents sujets relatifs à la Chine (le Covid-19, la répression des Ouïghours, les manifestations à Hong Kong...). C'est par le biais de ce communiqué que l'ancien sénateur André Gattolin, co-fondateur de ce réseau d'élus, a appris l'existence de cette campagne de piratage et a commencé à enquêter pour trouver les noms des élus visés.

"Le renseignement américain n'a pas pu nous donner directement la liste de toutes les personnes visées, mais nous leur avons donné des listes de noms et ils nous ont dit si ces personnes avaient été ciblées ou non."

André Gattolin, ancien sénateur

à franceinfo

L'Alliance interparlementaire sur la Chine a ainsi déterminé que ces courriels ont été envoyés à "près de 1 000 adresses mail, dont 400 particulièrement visées", détaille le sénateur Olivier Cadic, qui précise que "116 parlementaires issus de 15 pays" étaient ciblés parmi ces adresses.

C'est par cette méthode que le réseau d'élus a identifié les huit élus français parmi les cibles de l'attaque : les députées Anne Genetet et Constance Le Grip, les sénateurs Olivier Cadic, Isabelle Florennes et Bernard Jomier, les anciens sénateurs André Gattolin et André Vallini, élus à l'époque de l'attaque informatique, et l'eurodéputé François-Xavier Bellamy. André Gattolin explique à franceinfo avoir identifié "cinq ou six mails" piégés envoyés sur une période allant "du 6 au 26 janvier".

"On ne sait pas si la tentative de piratage a été à son terme", précise François-Xavier Bellamy. Tous n'ont pas forcément ouvert le mail : Anne Genetet explique à franceinfo l'avoir ouvert par accident lorsqu'elle a cherché à vérifier si elle avait bien été visée mais ne pas l'avoir fait au moment de l'attaque. "Est-ce que le virus était toujours actif après trois ans ? Les services de l'Assemblée nationale n'ont pas trouvé de programme malveillant caractéristique d'APT31 dans l'ordinateur", précise la députée à franceinfo.

Plusieurs élus expliquent également ne pas avoir retrouvé les courriels piégés dans leur boîte mail – mais entre une simple suppression de l'e-mail, les changements de collaborateurs, de mandature ou même d'hémicycle, il est très facile d'en perdre la trace. "Il est possible que d'autres élus ou d'autres personnes plus ou moins proches aient été visées voire piratées", note André Gattolin, qui ajoute que l'Alliance interparlementaire sur la Chine continue d'échanger avec les renseignements américains.

Les élus ciblés déplorent le silence de l'Etat

Dans son communiqué du 25 mars, le Département de la justice américain a annoncé avoir mis en examen sept citoyens chinois pour leur participation présumée à plusieurs campagnes de piratage du groupe APT31. Parmi les élus français ciblés par l'attaque, quatre ont confirmé à franceinfo avoir déposé plainte contre X auprès du tribunal de Paris : André Gattolin, Anne Genetet, Bernard Jomier et François-Xavier Bellamy. Contacté par franceinfo, le parquet de Paris n'a pas répondu.

Tous les élus visés interrogés par franceinfo déplorent le silence de l'Etat et des entités chargées de lutter contre les ingérences étrangères. "Je n'ai été contacté ni par l'Anssi, ni par Viginum, ni par la DGSI, ni par la DGSE", déplorent par exemple Anne Genetet, André Gattolin et Olivier Cadic alors que les renseignements américains disent avoir transmis des informations sur ce piratage aux autorités françaises dès 2022, selon le fondateur du réseau d'élus.

La grande majorité des informations sur cette affaire a jusqu'ici été transmise par les renseignements américains. Et la France n'a pas officiellement réagi aux accusations de Washington et des élus. "Le mode opératoire d'APT31 fait l'objet d'un suivi particulier", "y compris judiciaire", a assuré Prisca Thevenot, la porte-parole du gouvernement, le 30 avril.

"Le gouvernement n'exclut pas d'attribuer publiquement ces cyberattaques."

Prisca Thevenot, porte-parole du gouvernement

citée par l'AFP

Olivier Cadic, vice-président de la commission des affaires étrangères, de la défense et des forces armées au Sénat, a annoncé sa volonté de lancer une mission d'information avec de premières auditions programmées en juin. "Ce qui m'importe, c'est de comprendre les motivations de la Chine avec cette attaque, et de déterminer si on est bien protégé en tant que parlementaire en France", précise le sénateur centriste, qui voit ce piratage comme "un acte de guerre contre les institutions" de la part de Pékin. Constance Le Grip a quant à elle estimé qu'il était "urgent de renforcer la sensibilisation des parlementaires que nous sommes face au risque de cyberattaques".