GhostNet
Une enquête sur les ordinateurs compromis du Dalaï-Lama a révélé un réseau d’espionnage de 1 295 machines atteignant les ministères et ambassades de 103 pays.
En 2008, le bureau du Dalaï-Lama demande aux chercheurs du Citizen Lab de l’Université de Toronto d’examiner ses ordinateurs. Le gouvernement tibétain en exil soupçonne que ses communications sont lues. Il a raison, et l’ampleur de ce que les enquêteurs trouvent dépasse de loin une seule organisation.
Un réseau de 1 295 hôtes
Sur dix mois, l’équipe du Citizen Lab — travaillant avec l’Information Warfare Monitor — cartographie une infrastructure de commande et contrôle qu’elle nomme GhostNet. Elle relie environ 1 295 hôtes compromis dans 103 pays. Près d’un tiers des cibles relèvent de ce que les chercheurs classent comme à haute valeur : ministères des Affaires étrangères, ambassades, organisations internationales et médias. L’implant pouvait exfiltrer des documents et, notamment, activer silencieusement la webcam et le microphone d’un ordinateur compromis — transformant la machine en dispositif d’écoute dans le bureau d’un diplomate.
L’infrastructure présente de forts indices pointant vers une origine en Chine, mais les chercheurs prennent soin, dans leur rapport, de distinguer la preuve technique de l’attribution, refusant d’assigner définitivement l’opération à l’État chinois et notant la difficulté de le faire rigoureusement.
Ce que la chronique retient
GhostNet est le rapport qui a porté le cyber-espionnage systématique contre la société civile et les cibles diplomatiques au grand jour, sur une base de preuves. Il a aussi établi le modèle méthodologique du Citizen Lab — enquête technique patiente, langage d’attribution prudent, publication publique — qui définira plus tard la documentation des spywares commerciaux comme Pegasus une décennie après.