Opération Aurora
La Chine a plongé dans le dépôt de code source de Google pour atteindre les comptes de dissidents. Google a répondu en quittant le pays.
En janvier 2010, Google fait ce qu’aucune grande entreprise technologique occidentale n’avait fait avant elle. L’entreprise publie un billet de blog, signé par sa directrice juridique, révélant qu’elle a été la cible d’une intrusion sophistiquée venant de Chine, et qu’elle ne coopérerait plus avec la censure imposée par l’État sur Google.cn.
Ce que les attaquants cherchaient
L’intrusion finit par être baptisée Opération Aurora — un nom dérivé d’une chaîne trouvée dans les chemins de débogage du malware. Les enquêteurs la relient à une campagne ayant touché au moins une trentaine d’autres entreprises tech majeures, dont Adobe, Juniper, Rackspace et d’autres qui ne confirmeront pas publiquement.
Ce qui rend l’opération inquiétante, c’est sa cible à l’intérieur de Google. Les attaquants ne cherchaient pas des données grand public en masse. Ils s’intéressaient précisément aux informations des comptes de militants chinois des droits humains, et aux systèmes que Google utilisait pour répondre aux réquisitions des autorités américaines — une fenêtre sur les dissidents alors sous surveillance.
Un nouveau type d’attribution
Aurora a été l’une des premières fois qu’une grande entreprise américaine a publiquement nommé un gouvernement étranger comme attaquant. C’est aussi cette affaire qui a popularisé un terme de l’art qui n’a depuis cessé de s’étendre : menace persistante avancée.
Ce que la chronique retient
Aurora a redéfini la conversation sur la cyberdéfense d’entreprise. Les modèles de menace bâtis autour de criminels et d’employés rancuniers ont dû faire place à des acteurs étatiques patients, bien financés, et porteurs d’objectifs stratégiques. Toute organisation moderne de sécurité d’entreprise qui parle d’APT travaille, en un sens réel, à partir d’un cadre que la révélation de Google lui a tendu.