Quand l’armée américaine chasse le « made in China »

Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Des fournisseurs du département de la Défense viennent d’être arrêtés aux États-Unis pour avoir tenté de vendre frauduleusement des produits fabriqués en Chine. Un épisode qui annonce une préoccupation stratégique croissante.

La manœuvre était aussi ingénieuse que lucrative : acheter des équipements électroniques bon marché fabriqués en Chine, les réétiqueter « made in USA », et les vendre au prix fort à l’armée américaine. Tel était en somme le modèle d’affaire d’Aventura Technologies, un fournisseur du secteur américain de la défense. Bien mal lui en a pris : sept de ses cadres ont été arrêtés début novembre par les autorités fédérales. En cause, non pas de la fraude commerciale, mais bien des craintes de cyberespionnage.

En effet, le matériel électronique en question incluait notamment des systèmes de vision nocturne et des caméras portatives destinées à équiper l’US Navy et l’Air Force. Du matériel frauduleux qui aurait pu, selon le procureur fédéral en charge du dossier, « permettre à des puissances étrangères hostiles d’accéder à des installations parmi les plus sensibles du gouvernement ». Contractant public depuis 2006, Aventura aurait vendu illégalement du matériel de fabrication chinoise aussi bien aux militaires qu’à des agences civiles, tel le département de l’Énergie.

Espionnage en temps réel ?

La crainte dont il était ici question – à demi-mots – soit que des « backdoors » (accès électroniques cachés) aient été discrètement implantés dans le matériel lors de sa fabrication, permettant ainsi de « contrôler » ces équipements à distance. Très concrètement, cela aurait pu impliquer que des personnes basées en Chine, par exemple, puissent accéder ni vu ni connu aux caméras vendues par Aventura, et observer ainsi en temps réel des activités militaires américaines.

Si le scénario ressemble à première vue à de la science-fiction, il n’en fait pas moins l’objet de précédents comparables…que les États-Unis connaissent bien. En novembre 2014, un bras de fer digital de plusieurs jours a opposé la NSA à des hackers russes tentant d’infiltrer les serveurs du département d’État. Comme le relate le journaliste d’enquête David Sanger dans son ouvrage The Perfect Weapon[1], les Américains ont finalement repoussé l’intrusion… après qu’ils aient réussi à accéder à la caméra de surveillance du bâtiment où opéraient les Russes, espionnant en temps réel leurs adversaires devant leurs écrans.

Bien que l’épisode en question n’implique pas de « backdoors » pré-implantés, il illustre néanmoins comment à l’avenir les enjeux de cyberespionnage décideront peut-être du sort d’une bataille. Un enjeu dont les États-Unis commencent tout juste à prendre la mesure : un audit du département de la Défense publié en juillet 2019 révélait que près de 33 millions de dollars d’équipements électroniques récemment acquis par le Pentagone présentaient un risque en termes de cybersécurité.

 « Supply chain attacks »

Or, si l’origine des caméras vendues par Aventura Technologies s’est révélée relativement facile à retracer, il n’en va pas de même de toutes les acquisitions de matériel militaire américain. Sans doute les plus technologisées du monde, les forces armées américaines s’appuient de manière croissante sur des systèmes d’armes très complexes contenant une multitude de petites composantes électroniques. Une dépendance représentant désormais un véritable casse-tête sécuritaire : produits dans un pays, modifiés dans un autre, assemblés à d’autres composants puis réexportés ailleurs, les éléments critiques (tels les puces électroniques) circulent dans une chaine d’approvisionnement de plus en plus complexe à surveiller et protéger.

La question de composantes contrefaites (présentées comme neuves bien que recyclées, par exemple) est désormais traitée comme un enjeu de sécurité nationale par le Pentagone. Alors qu’un seul circuit intégré « vicié » peut potentiellement nuire au fonctionnement d’un système d’arme tout entier, nombre d’experts craignent que l’opacité croissante de la chaine d’approvisionnement électronique américaine puisse à l’avenir être exploitée par des acteurs malveillants. En 2012, une enquête commanditée par le Sénat américain a notamment révélé la présence de composantes chinoises contrefaites dans des avions de transport C-130 ou des appareils de patrouille maritime Poseidon.

Une puce pré-implantée pour espionner ou saboter un avion à distance ? Si le scénario parait pour l’heure difficile à concevoir, ici aussi, un précédent comparable existe : en 2015, une filiale d’Amazon a découvert dans plusieurs de ses serveurs, fraichement acquis d’une firme chinoise, une puce piratée installée lors de la fabrication, permettant diverses manipulations à distance des machines. Près de 30 autres grandes compagnies américaines ont par la suite découvert qu’elles avaient elles aussi été victimes de la manœuvre, dont le genre a désormais un nom à part entière: « supply chain attack » (attaque par la chaine d’approvisionnement).

Défense nationale et secteur privé

Si elle n’est donc pas un cas isolé, l’affaire d’Aventura Technologies fait écho à un enjeu de cybersécurité plus large : l’essor de la Chine dans l’industrie des équipements électroniques de pointe, et les craintes que celle-ci exploite sa position compétitive sur le marché pour assouvir discrètement des objectifs stratégiques. Proposant un meilleur rapport qualité/prix, voire tout simplement le meilleur produit sur le marché, la Chine pourrait par exemple profiter de son attrait économique pour exporter des produits contenant des « backdoors ».

Un débat projeté au cœur de l’actualité récente par les controverses autour de Huawei, entreprise chinoise qui s’offre de bâtir les futures infrastructures 5G de différents pays. Un enjeu comportant différents risques de cyberespionnage, comme le faisait remarquer il y a peu notre confrère de Polytechnique et chercheur associé José Fernandez. Les suspicions, à l’égard de Huawei, reposent notamment sur la loi de 2017 sur le renseignement, qui enjoint les compagnies domestiques à « coopérer, soutenir ou assister les institutions nationales du renseignement ». Un devoir de collaboration dont la portée demeure pour l’heure ambiguë.

Pékin, de son côté, accuse les pays occidentaux de protectionnisme déguisé dans le dossier Huawei. Toutefois, une réalité demeure : un nombre d’acteurs de plus en plus restreint produit des technologies de plus en plus critiques pour les appareils de défense nationale. La sécurité de la chaine d’approvisionnement électronique a donc toutes les chances de devenir une priorité de sécurité nationale pour de nombreux États (pas uniquement occidentaux) dans un avenir proche.

[1] (2018, p. 185-186)

Alexis Rapin est chercheur à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand.

Version PDF à télécharger:

10 décembre 2019