Jusqu’où vont les capacités de la Chine en matière de cyberattaques ?

Tech / Mobile / Chine / Cyberattaque
Par Christophe Romei publié le 31 juillet 2025 à 12h00.
Tech
Écrans d'ordinateur sombres et illuminés affichant un code complexe avec en arrière-plan une carte numérique de la Chine.

Image d'illustration. Écrans noirs illuminés code complexe carte chineADN

Derrière les cyberattaques attribuées à la Chine, un écosystème dense mêle services secrets, sociétés privées et hackers sous contrat. Un système complexe, redoutablement efficace… et encore mal compris.

Tl;dr

  • Large réseau d’acteurs étatiques et privés chinois.
  • Technologies brevetées pour l’intrusion et la collecte de données.
  • Attribution des cyberattaques souvent difficile à établir.

Un écosystème tentaculaire derrière les cyber-offensives chinoises

Au fil des années, le monde de la cybersécurité s’est habitué à croiser des acteurs venus de Chine, dont la coordination entre l’État, des sociétés privées sous contrat et des individus experts s’avère particulièrement complexe. L’ampleur du dispositif mis en place laisse parfois perplexe : au cœur de cet échiquier se trouvent non seulement des groupes tels que Hafnium (ou Silk Typhoon), réputés pour leur efficacité dans l’exploitation de failles 0-day, mais aussi une myriade d’entreprises allant du simple « parasite » aux partenaires privilégiés du gouvernement.

Le Ministère de la Sécurité d’État (MSS), mais aussi des antennes régionales comme le Bureau de la Sécurité d’État de Shanghai (SSSB), orchestrent ce système à plusieurs niveaux. Certaines sociétés, tel i-Soon, n’obtiennent que les contrats les moins lucratifs ; d’autres, comme Chengdu404, bénéficient d’une stabilité supérieure. Enfin, quelques figures demeurent directement pilotées par le gouvernement, à l’image de Xu Zewei ou Zhang Yu. Sans oublier l’existence de sociétés écrans – citons par exemple Wuhan Xiao Rui Zhi, créée par le Département de la Sécurité d’État du Hubei.

Brevets et outils offensifs : un arsenal discret mais redoutable

À y regarder de plus près, ce dispositif ne se limite pas à une organisation bien huilée. La sophistication réside aussi dans les technologies développées et brevetées par ces entreprises affiliées à des groupes tels que Hafnium. Plusieurs brevets déposés par la société Shanghai Firetech, par exemple, décrivent des logiciels permettant la récupération à distance de fichiers sur des ordinateurs Apple — une capacité peu documentée jusqu’ici.

Parmi les innovations identifiées, citons :

  • logiciels pour l’acquisition automatisée et rapide de preuves informatiques ;
  • systèmes ciblant spécifiquement routeurs ou téléphones mobiles ;
  • plateformes d’analyse dédiées aux objets connectés domestiques.

Ces outils ouvrent la voie à des opérations allant du renseignement technique (SIGINT) au renseignement humain (HUMINT). De récents brevets évoquent même le contrôle intelligent à distance sur réseaux domestiques.

L’attribution, une question toujours épineuse

Il faut cependant nuancer l’attribution précise de chaque opération. Les capacités réelles détenues par certaines sociétés dépassent fréquemment celles qui sont publiquement associées à leurs groupes respectifs – parfois parce qu’elles vendent leurs services ou outils à différents bureaux régionaux du MSS. La recherche montre que les désignations telles que « Hafnium » reflètent davantage des modes opératoires que des entités individuelles réelles : ainsi, il n’est pas rare qu’une même société soit active sous divers noms selon les missions.

En résumé, ce réseau imbriqué d’acteurs et de technologies fait planer une incertitude persistante sur la traçabilité exacte des attaques, rendant toute analyse partielle par définition. Une réalité qui oblige sans cesse chercheurs et analystes à revoir leurs méthodes pour espérer suivre le rythme imposé par ces puissances numériques émergentes.

En savoir plus