WASHINGTON – Au début de l’été dernier, les troupes chinoises et indiennes se sont affrontées dans une bataille frontalière surprise dans la vallée reculée de Galwan, se frappant à mort avec des pierres et des gourdins. Quatre mois plus tard et à plus de 1500 kilomètres de là à Mumbai, en Inde, les trains ont été fermés et la bourse a fermé en raison d’une panne d’électricité dans une ville de 20 millions d’habitants. Les hôpitaux ont dû passer aux générateurs d’urgence pour faire fonctionner les ventilateurs au milieu d’une épidémie de coronavirus qui était parmi les pires de l’Inde. Maintenant, une nouvelle étude donne du poids à l’idée que ces deux événements pourraient bien avoir été liés – dans le cadre d’une vaste cybercampagne chinoise contre le réseau électrique indien, programmée pour envoyer un message selon lequel si l’Inde insistait trop fort sur ses affirmations, les lumières pourraient disparaître. partout au pays. L’étude montre que, alors que les batailles faisaient rage dans l’Himalaya, faisant au moins deux douzaines de vies, des logiciels malveillants chinois se déversaient dans les systèmes de contrôle qui gèrent l’approvisionnement électrique à travers l’Inde, ainsi qu’une sous-station de transmission à haute tension et une centrale électrique au charbon.

Le flux de logiciels malveillants a été reconstitué par Recorded Future, une société de Somerville, dans le Massachusetts, qui étudie l’utilisation d’Internet par les acteurs étatiques. Il a constaté que la plupart des logiciels malveillants n’étaient jamais activés. Et comme Recorded Future ne pouvait pas pénétrer dans les systèmes électriques de l’Inde, il ne pouvait pas examiner les détails du code lui-même, qui était placé dans les systèmes de distribution d’énergie stratégiques à travers le pays. Bien qu’il ait notifié les autorités indiennes, jusqu’à présent, elles ne rapportent pas ce qu’elles ont trouvé. Stuart Solomon, directeur de l’exploitation de Recorded Future, a déclaré que le groupe parrainé par l’État chinois, que la société a nommé Red Echo, «a été vu comme utilisant systématiquement des techniques avancées de cyberintrusion pour prendre discrètement pied dans près d’une douzaine de nœuds critiques à travers la puissance indienne. infrastructure de production et de transport. » La découverte soulève la question de savoir si une panne qui a frappé le 13 octobre à Mumbai, l’un des centres d’affaires les plus fréquentés du pays, était censée être un message de Pékin sur ce qui pourrait se passer si l’Inde poussait trop vigoureusement ses revendications à la frontière. Rapports de nouvelles à l’époque Des responsables indiens ont déclaré que la cause était une cyberattaque d’origine chinoise contre un centre de gestion de la charge électrique à proximité. Les autorités ont ouvert une enquête officielle, qui doit faire l’objet d’un rapport dans les semaines à venir. Depuis lors, les responsables indiens sont restés muets sur le code chinois, sur la question de savoir s’il a déclenché la panne de courant de Mumbai et sur les preuves fournies par Recorded Future que de nombreux éléments du réseau électrique du pays étaient la cible d’un effort de piratage chinois sophistiqué. Il est possible que les Indiens recherchent toujours le code. Mais reconnaître son insertion, a noté un ancien diplomate indien, pourrait compliquer la diplomatie ces derniers jours entre le ministre chinois des Affaires étrangères, Wang Yi, et son homologue indien, Subrahmanyam Jaishankar, dans un effort pour apaiser les tensions frontalières.

Les enquêteurs qui ont rédigé l’étude Recorded Future, qui devrait être publiée lundi, ont déclaré que «le lien présumé entre la panne et la découverte du logiciel malveillant non spécifié» dans le système «reste sans fondement». Mais ils ont noté que «des preuves supplémentaires suggéraient le ciblage coordonné des centres de répartition de charge indiens», qui équilibrent les demandes d’électricité dans les régions du pays. Cette découverte est le dernier exemple de la façon dont le placement visible de logiciels malveillants dans le réseau électrique d’un adversaire ou dans une autre infrastructure critique est devenu la nouvelle forme d’agression et de dissuasion – un avertissement selon lequel si les choses sont poussées trop loin, des millions de personnes pourraient en souffrir. « Je pense que le signalement est fait » par la Chine pour indiquer « que nous pouvons et que nous avons la capacité de le faire en temps de crise », a déclaré le lieutenant-général à la retraite DS Hooda, un cyberexpert qui a supervisé les frontières de l’Inde avec le Pakistan et Chine. «C’est comme envoyer un avertissement à l’Inde que cette capacité existe avec nous.» L’Inde et la Chine conservent des arsenaux nucléaires de taille moyenne, qui sont traditionnellement considérés comme le moyen de dissuasion ultime. Mais aucune des deux parties ne croit que l’autre risquerait un échange nucléaire en réponse à des différends sanglants sur la ligne de contrôle réel, une démarcation de la frontière mal définie où des différends de longue date se sont transformés en conflits meurtriers par des gouvernements de plus en plus nationalistes. Les cyberattaques leur offrent une autre option – moins dévastatrice qu’une attaque nucléaire, mais capable de donner à un pays un avantage stratégique et psychologique. La Russie a été une pionnière dans l’utilisation de cette technique lorsqu’elle a coupé le courant deux fois en Ukraine il y a plusieurs années. Et les États-Unis se sont lancés dans une signalisation similaire. Après que le département de la Sécurité intérieure a annoncé publiquement que le réseau électrique américain était jonché de code inséré par des pirates informatiques russes, les États-Unis ont mis du code dans le réseau russe dans un avertissement adressé au président Vladimir V.Poutine. Maintenant, l’administration Biden promet que d’ici quelques semaines, elle répondra à une autre intrusion – elle ne l’appellera pas encore une attaque – de la Russie, une qui a pénétré au moins neuf agences gouvernementales et plus de 100 entreprises.

Jusqu’à présent, les preuves suggèrent que le piratage de SolarWinds, du nom de la société qui a créé un logiciel de gestion de réseau qui a été détourné pour insérer le code, visait principalement à voler des informations. Mais cela a également créé la capacité d’attaques beaucoup plus destructrices – et parmi les entreprises qui ont téléchargé le code russe, il y avait plusieurs utilitaires américains. Ils soutiennent que les incursions ont été gérées et qu’il n’y avait aucun risque pour leurs opérations. Jusqu’à ces dernières années, la Chine se concentrait sur le vol d’informations. Mais Pékin a été de plus en plus actif en plaçant du code dans les systèmes d’infrastructure, sachant que lorsqu’il est découvert, la peur d’une attaque peut être un outil aussi puissant qu’une attaque elle-même. Dans le cas indien, Recorded Future a envoyé ses conclusions à l’équipe indienne d’intervention en cas d’urgence informatique, ou CERT-In, une sorte d’agence d’enquête et d’alerte rapide que la plupart des pays maintiennent pour suivre les menaces pesant sur les infrastructures critiques. À deux reprises, le centre a accusé réception de l’information, mais n’a pas dit s’il avait également trouvé le code dans le réseau électrique. Les efforts répétés du New York Times pour solliciter les commentaires du centre et de plusieurs de ses responsables au cours des deux dernières semaines n’ont donné lieu à aucune réponse. Le gouvernement chinois, qui n’a pas répondu aux questions sur le code dans la grille indienne, pourrait faire valoir que l’Inde a déclenché la cyberagression. En Inde, un patchwork de pirates informatiques soutenus par l’État a été surpris en utilisant des e-mails de phishing sur le thème du coronavirus pour cibler des organisations chinoises à Wuhan en février dernier. Une société de sécurité chinoise, 360 Security Technology, a accusé des pirates indiens soutenus par l’État de cibler les hôpitaux et les organisations de recherche médicale avec des e-mails de phishing, dans le cadre d’une campagne d’espionnage. Quatre mois plus tard, alors que les tensions montaient entre les deux pays frontaliers, les pirates chinois ont déclenché un essaim de 40 300 tentatives de piratage sur la technologie et l’infrastructure bancaire de l’Inde en seulement cinq jours. Certaines des incursions étaient des attaques dites par déni de service qui ont mis ces systèmes hors ligne; d’autres étaient des attaques de phishing, selon la police de l’État indien du Maharashtra, domicile de Mumbai. En décembre, les experts en sécurité de la Cyber ​​Peace Foundation, une organisation à but non lucratif indienne qui suit les efforts de piratage, ont signalé une nouvelle vague d’attaques chinoises, au cours desquelles des pirates ont envoyé des e-mails de phishing aux Indiens liés aux vacances indiennes d’octobre et de novembre. Les chercheurs ont lié les attaques à des domaines enregistrés dans les provinces chinoises du Guangdong et du Henan, à une organisation appelée Fang Xiao Qing. L’objectif, selon la fondation, était d’obtenir une tête de pont dans les appareils des Indiens, éventuellement pour de futures attaques.