Skip to content
Cyber Breaches
Recherche
EspionnageRésolu

Piratage par espionnage du Parlement finlandais

Une opération d'espionnage informatique parrainée par un État, attribuée au groupe chinois APT31, a compromis les systèmes informatiques internes du Parlement finlandais en 2020, touchant des comptes de messagerie appartenant à des parlementaires.

Victime
Eduskunta (Parlement de Finlande)
SecteurGouvernement
PaysFinlande
GroupeAPT31 (China-nexus, Supo attribution)
Attaquants nommésAPT31

Fin décembre 2020, le Parlement de Finlande (Eduskunta) a révélé que ses systèmes d'information internes avaient été compromis lors d'une intrusion sophistiquée. Le Service de renseignement et de sécurité finlandais a ensuite attribué l'opération à APT31, un groupe d'espionnage informatique lié à l'État chinois — ce qui en fait l'un des actes d'espionnage étranger attribués les plus marquants visant un parlement nordique.

Ce qui s'est passé

L'intrusion a eu lieu durant l'automne et l'hiver 2020. Les attaquants ont accédé à l'environnement informatique interne du Parlement et ont compromis plusieurs comptes de messagerie parlementaires, dont des comptes appartenant à des députés. Les autorités finlandaises n'ont pas qualifié l'attaque de destructrice ou à motivation financière, mais d'opération délibérée de collecte de renseignements visant à recueillir des communications politiques sensibles.

Le Bureau national d'enquête (NBI) a ouvert une enquête pénale fin 2020, qualifiant les infractions présumées d'espionnage aggravé, d'intrusion informatique aggravée et d'interception aggravée de messages — parmi les catégories les plus graves du droit pénal finlandais.

Attribution

Le 18 mars 2021, le Service de renseignement et de sécurité finlandais (Supo) a publiquement attribué l'opération à APT31, un groupe largement considéré comme opérant pour le compte du gouvernement chinois. APT31 (aussi suivi sous le nom de Zirconium) est connu pour cibler gouvernements, parlements et personnalités politiques en Europe et en Amérique du Nord afin d'obtenir des informations à valeur politique, économique et militaire.

L'attribution était notable par sa franchise : Supo a nommé publiquement le groupe précis, une démarche que les services de renseignement occidentaux ont historiquement abordée avec prudence. La décision de la Finlande reflétait une volonté européenne croissante de désigner nommément les opérations informatiques parrainées par des États.

Impact

  • Plusieurs comptes de messagerie de députés et de personnels parlementaires ont été compromis, exposant des communications politiques internes à un service de renseignement étranger.
  • Aucune rançon financière ni charge destructrice n'était impliquée ; le préjudice résidait dans la compromission de la confidentialité des communications législatives.
  • L'incident a déclenché un renforcement de la sécurité informatique du Parlement et, plus largement, de la posture de cyberdéfense du gouvernement finlandais.

Pourquoi c'est important

La compromission de l'Eduskunta est un cas d'école de cyberespionnage stratégique contre une institution démocratique. Elle a démontré que les parlements nationaux — et pas seulement les ministères de la Défense et des Affaires étrangères — sont des cibles prioritaires pour les acteurs étatiques cherchant à comprendre la prise de décision politique d'un pays. L'attribution claire et publique de la Finlande à APT31 a aussi créé un précédent au sein de l'UE pour la désignation des acteurs liés à l'État chinois, contribuant au cadre en évolution du bloc pour l'attribution collective et la réponse diplomatique au cyberespionnage.

Chronologie

  1. Les acteurs d'APT31 commencent à sonder et à compromettre l'infrastructure informatique interne du Parlement.

  2. Le Parlement annonce publiquement que ses systèmes d'information ont été la cible d'une cyberattaque et que plusieurs comptes de messagerie, dont ceux de députés, ont été compromis.

  3. Le Service de renseignement et de sécurité finlandais (Supo) attribue l'opération au groupe chinois APT31.

  4. Le Bureau national d'enquête annonce une enquête pénale pour espionnage aggravé, intrusion informatique aggravée et interception aggravée de messages.

  5. Les autorités finlandaises confirment la conclusion de l'enquête, réaffirmant l'attribution à APT31 et le mobile d'espionnage.

Sources

  1. supo.fihttps://supo.fi/en/-/supo-identified-the-cyber-espionage-operation-against-the-parliament-as-apt31
  2. poliisi.fihttps://poliisi.fi/en/-/police-investigate-involvement-of-apt31-group-in-the-hacking-of-parliament-s-information-systems
  3. therecord.mediahttps://therecord.media/finland-pins-parliament-hack-on-chinese-hacking-group-apt31
  4. thehackernews.comhttps://thehackernews.com/2024/03/finland-blames-chinese-hacking-group.html

Incidents liés

EspionnageRésolu

Cyberespionnage APT31 contre le ministère tchèque des Affaires étrangères

Le gouvernement tchèque a publiquement attribué à APT31, un groupe lié au ministère de la Sécurité d'État de Chine, une campagne de cyberespionnage de plusieurs années contre un réseau non classifié de son ministère des Affaires étrangères. L'intrusion, active depuis au moins 2022, visait une infrastructure critique nationale désignée.

Victim
Czech Ministry of Foreign Affairs
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)