Deux rapports traitent des cyber-attaques et de l’espionnage de la diaspora tibétaine qui ont lieu depuis au moins 20 ans.
Institut d’action pour le Tibet
Le rapport du Tibet Action Institute analyse l’histoire et la méthodologie technique de ces attaques via des ordinateurs, des logiciels malveillants, mais aussi plus récemment via la téléphonie mobile, et présente des cas individuels de personnes touchées au fil des années. Il est frappant de constater que des vagues d’attaques ont été lancées à chaque fois autour de dates et d’heures « sensibles », comme par exemple avant et pendant les Jeux olympiques d’été de Pékin en 2008, pendant le pic des auto-immolations entre 2011 et 2014, et pendant le lockdown au plus fort de la pandémie.
Certaines des attaques ciblées sur des individus ont révélé une connaissance détaillée de ces derniers. Il semblerait que des recherches préalables sur les personnes concernées aient été effectuées dans les médias sociaux ou les rapports des médias publics, ce qui a également permis aux destinataires de savoir que les expéditeurs s’étaient donné beaucoup de mal pour les espionner.
En 2007, la directrice de campagne de Students for a Free Tibet (SFT) de l’époque a reçu plusieurs messages via Skype à son nom de code, lui demandant où elle se trouvait et quelles étaient ses activités. Les messages étaient rédigés d’une manière qui laissait penser que les expéditeurs étaient déjà connus d’elle et qu’ils connaissaient même la personne derrière son nom de code.
Pendant la série d’immolations, la directrice de l’Institut d’action pour le Tibet de l’époque a reçu des demandes détaillées, envoyées sous l’adresse d’un journaliste connu, soi-disant pour rédiger un article et une présentation de congrès sur les immolations. Les fichiers joints contenant des documents à examiner étaient infectés.
Pendant la pandémie, des messages ont été diffusés qui contenaient soi-disant, dans des documents joints, des conseils issus de la stratégie de confinement chinoise ou des conseils adressés à l’hôpital Delek de l’exil tibétain à Dharamsala.
Des attaques massives ont également été lancées contre des serveurs et des sites web d’ONG et d’organisations en exil, bloquant les serveurs, contenant des fichiers infectés ou même des liens, ces derniers étant censés nettoyer les systèmes informatiques infectés par des virus.
Équipe d’intervention d’urgence informatique du Tibet
En raison de ces attaques, l’équipe d’urgence informatique du Tibet (TibCERT) a été créée en 2018. Dans leur rapport, les auteurs ont recensé et répertorié un total de 63 attaques signalées, en commençant par les attaques contre la diaspora tibétaine à Dharamsala depuis 2009. Les courriels infectés étaient envoyés sous un nom d’expéditeur suggérant que le courriel avait été envoyé, par exemple, du bureau privé du Dalaï Lama. Plus tard, les serveurs ont été infectés par GhostNet, un logiciel malveillant qui a infecté des installations informatiques dans le monde entier et dont l’origine a pu être retracée en Chine.
Le plus souvent, les opérations d’espionnage ont visé des ONG tibétaines, des militants tibétains individuels ou le gouvernement tibétain en exil. Les attaques présentaient un certain nombre de caractéristiques communes : l’indication de l’expéditeur simulait un nom connu des destinataires, et le contenu et l’objet faisaient référence à un sujet pertinent pour les destinataires, un rapport récemment publié ou un événement d’actualité.
Rapport Tibet Action Institute : Cyberespionnage contre les Tibétains // Rapport TibCERT : Disruption numérique // Dr. Uwe Meya
Photo : TibCERT