Une opération de phishing de plusieurs années visant les secteurs aérospatial et de défense américains a révélé comment les attaquants ont réussi à manipuler les relations de confiance pour obtenir des logiciels sensibles, y compris auprès d’employés liés à la NASA.
Selon les conclusions du Bureau de l’Inspecteur général de la NASA, un ressortissant chinois a orchestré une campagne d’ingénierie sociale sophistiquée en se faisant passer pour des chercheurs et ingénieurs basés aux États-Unis. L’attaquant a utilisé des courriels soigneusement élaborés et de fausses identités pour convaincre les victimes qu’ils communiquaient avec des collègues légitimes.
Le programme a été mené de 2017 à 2021 et visait un large éventail d’organisations, dont la NASA, l’armée américaine, des agences fédérales, des universités et des entreprises privées. Les victimes ont été sollicitées pour accéder à des logiciels aérospatiaux propriétaires et au code source, souvent sous prétexte de collaboration ou d’échange académique.
Les enquêteurs ont constaté que dans plusieurs cas, des cibles se sont conformées sans le savoir, envoyant des données contrôlées ou restreintes sans savoir que le destinataire faisait partie d’une opération liée au renseignement étranger. Le logiciel volé serait utilisé dans la modélisation aérodynamique et le développement d’armes avancées, soulevant des préoccupations de sécurité nationale.
L’individu derrière la campagne a été identifié comme étant Song Wu, un ingénieur associé à une entreprise d’aviation et de défense publique chinoise. Les autorités américaines l’ont inculpé en 2024 de fraude électronique et de vol d’identité aggravé. Il reste en fuite et figure parmi les suspects recherchés.
L’opération reposait fortement sur l’ingénierie sociale plutôt que sur des exploits techniques. Les attaquants ont investi du temps dans la recherche de cibles, la construction de personas crédibles et le maintien d’une communication à long terme pour instaurer la confiance. Dans certains cas, des demandes répétées de logiciels et des méthodes de paiement ou de transfert irrégulières ont été utilisées, que les enquêteurs ont ensuite mises en avant comme des signes d’alerte.
Les responsables ont souligné que cette affaire démontre à quel point même des organisations hautement techniques restent vulnérables aux attaques centrées sur l’humain. En contournant les contrôles de sécurité traditionnels et en exploitant les relations professionnelles, la campagne a pu extraire des informations sensibles sans éveiller de soupçons immédiats.
L’incident reflète un schéma plus large de cyberespionnage, où les acteurs malveillants privilégient le vol de titres, l’usurpation d’identité et la manipulation de confiance plutôt que la compromission directe du système. Les experts en sécurité continuent de souligner l’importance de la sensibilisation des employés et de procédures strictes de gestion des technologies contrôlées à l’exportation afin de réduire l’exposition à des attaques similaires.