La Chine aurait organisé une compétition de hacking, dotée d’un premier prix à 200 000 dollars, afin de trouver une faille dans le smartphone d’Apple, pour pirater les iPhones des Ouïgours.
Une attaque visant des appareils Apple aurait été utilisée pour espionner la minorité musulmane de Chine – et les responsables américains affirment qu’elle aurait été développée lors de la plus grande compétition de piratage du pays.
En mars 2017, un groupe de pirates informatiques chinois est arrivé à Vancouver avec un seul objectif : trouver des points faibles cachés dans les technologies les plus populaires au monde.
Le navigateur Chrome de Google, le système d’exploitation Windows de Microsoft et les iPhones d’Apple étaient tous dans la ligne de mire. Mais personne ne violait la loi. Ce ne sont là que quelques-unes des personnes participant à Pwn2Own, l’une des compétitions de piratage les plus prestigieuses au monde.
C’était le 10e anniversaire de Pwn2Own, un concours qui attire des hackers d’élite du monde entier avec l’attrait de gros prix en espèces s’ils parviennent à exploiter des vulnérabilités logicielles jusque-là inconnues, connues sous le nom de «jours zéro». Une fois qu’une faille est détectée, les détails sont transmis aux entreprises concernées, ce qui leur laisse le temps de la corriger. Le pirate informatique, quant à lui, repart avec une récompense financière et un droit de se vanter éternel.
Pendant des années, les hackers chinois ont été les forces les plus dominantes lors d’événements comme Pwn2Own, gagnant des millions de dollars en prix et s’établissant parmi l’élite, mais en 2017, tout s’est arrêté.
Dans une déclaration inattendue, le milliardaire fondateur et PDG du géant chinois de la cybersécurité Qihoo 360 – l’une des entreprises technologiques les plus importantes de Chine – a publiquement critiqué les citoyens chinois partis à l’étranger pour participer à des concours de piratage. Dans une interview avec le site d’information chinois Sina, Zhou Hongyi a déclaré que bien performer dans de tels événements ne représentait qu’un succès «imaginaire». Zhou a averti qu’une fois que les pirates chinois ont montré leurs vulnérabilités lors de compétitions à l’étranger, ils ne pouvaient plus «être utilisés». Au lieu de cela, a-t-il soutenu, les pirates et leurs connaissances devraient «rester en Chine» afin de pouvoir reconnaître la véritable importance et la «valeur stratégique» des vulnérabilités logicielles.
Pékin a accepté. Bientôt, le gouvernement chinois a interdit aux chercheurs en cybersécurité de participer à des concours de piratage à l’étranger. Quelques mois plus tard, un nouveau concours est apparu en Chine pour remplacer les concours internationaux. La Coupe Tianfu, comme on l’appelait, offrait des prix totalisant plus d’un million de dollars.
L’événement inaugural a eu lieu en novembre 2018. Le premier prix de 200 000 $ est allé au chercheur Qihoo 360 Qixun Zhao, qui a montré une remarquable chaîne d’exploits qui lui a permis de prendre facilement et de manière fiable le contrôle des iPhones les plus récents et les plus récents . À partir d’un point de départ dans le navigateur Web Safari, il a trouvé une faiblesse dans le noyau du système d’exploitation des iPhones, son noyau. Le résultat? Un attaquant distant pourrait prendre le contrôle de tout iPhone qui a visité une page Web contenant le code malveillant de Qixun. C’est le genre de piratage qui peut potentiellement être vendu pour des millions de dollars sur le marché libre pour donner aux criminels ou aux gouvernements la possibilité d’espionner un grand nombre de personnes. Qixun l’a nommé «Chaos».
Deux mois plus tard, en janvier 2019, Apple a publié une mise à jour corrigeant la faille. Il y avait peu de fanfare – juste un petit mot de remerciement à ceux qui l’ont découvert.
Mais en août de cette année-là, Google a publié une analyse extraordinaire d’une campagne de piratage informatique qui, selon lui, «exploitait les iPhones en masse». Les chercheurs ont disséqué cinq chaînes d’exploit distinctes qu’ils avaient repérées «dans la nature». Celles-ci comprenaient l’exploit qui a valu à Qixun le premier prix à Tianfu, qui, selon eux, avait également été découvert par un hacker anonyme.
Les chercheurs de Google ont souligné des similitudes entre les attaques qu’ils ont capturées utilisées dans le monde réel et le Chaos. Ce que leur plongée profonde a omis, cependant, ce sont les identités des victimes et des assaillants: les musulmans ouïghours et le gouvernement chinois.
