Espionnage via Google Sheets : le démantèlement du réseau chinois UNC2814

53 organisations touchées dans 42 pays. Et un détail qui fait froid dans le dos: les pirates se planquaient derrière… Google Sheets. Pas un serveur louche dans un coin d’Internet, non. Un outil que tu utilises peut-être pour suivre tes dépenses ou partager un planning.

Google dit avoir démantelé une campagne d’espionnage attribuée à UNC2814, un groupe lié à la Chine, actif depuis 2017. Cibles prioritaires: opérateurs télécoms et organismes gouvernementaux. Le genre de réseaux où tu peux surveiller des communications, collecter des données sensibles, et rester discret longtemps. La riposte a été menée par le Google Threat Intelligence Group et Mandiant, avec une opération de disruption à grande échelle.

UNC2814, un groupe actif depuis 2017

UNC2814, aussi connu sous le nom Gallium, traîne dans les radars des chercheurs depuis au moins 2017. Ce n’est pas le petit groupe opportuniste qui cherche à vider des comptes. Là, on parle d’espionnage ciblé, patient, avec des priorités très nettes: des opérateurs télécoms étrangers et des entités gouvernementales. Leur logique, c’est l’accès durable, pas le coup d’éclat.

Google parle d’au moins 53 organisations compromises, réparties dans 42 pays, sur plusieurs continents. Ce chiffre, il est important parce qu’il donne l’échelle minimale, pas maximale. Dans ce type d’affaires, tu ne vois que ce que tu arrives à attribuer proprement. Et quand Google décrit une ampleur considérable, c’est rarement pour faire joli dans un communiqué.

Les télécoms, c’est une cible en or. Même sans lire le contenu exact des échanges, les métadonnées te racontent déjà une histoire: qui appelle qui, quand, depuis où, à quel rythme. Ajoute à ça des accès dans des environnements d’État, et tu obtiens une fenêtre sur des communications sensibles. Le truc c’est que ce genre d’accès peut aussi servir à préparer d’autres opérations, plus tard, au moment qui arrange l’attaquant.

Google insiste sur un point: pas de recoupement avec Salt Typhoon, un autre nom lié à des opérations chinoises, présenté comme distinct. Ça peut sembler technique, mais ça compte. Ça veut dire que tu n’as pas une seule campagne monolithique, tu as plusieurs équipes, plusieurs méthodes, plusieurs listes de victimes. Résultat, pour les défenseurs, c’est un puzzle permanent, pas une enquête qui se termine une fois le méchant identifié.

Google Sheets détourné pour camoufler le pilotage

Le cur du dossier, c’est l’abus d’un service cloud légitime. Les attaquants ont utilisé les fonctionnalités de Google Sheets pour masquer des communications de commande et contrôle. En clair: au lieu de faire transiter des ordres vers une machine infectée via une infrastructure suspecte, ils se fondent dans un trafic qui ressemble à du banal usage bureautique. Pour les équipes sécurité, c’est le cauchemar, parce que bloquer Sheets en bloc n’est pas une option réaliste.

Google a aussi évoqué un backdoor identifié pendant l’enquête, nommé Gridtide. Un implant de plus dans la panoplie, conçu pour maintenir l’accès et exécuter des actions à distance. Le détail important, ce n’est pas le nom, c’est la logique: une fois la porte entrouverte, tu installes de quoi revenir, persister, observer. Et tu fais tout pour que ça ressemble à du trafic normal, du cloud normal, des outils normaux.

Ce qui rend la technique vicieuse, c’est la confusion volontaire entre activité légitime et activité malveillante. Un tableur dans le cloud, c’est utilisé partout: administrations, entreprises, sous-traitants, associations. Du coup, dans les logs, tu vois passer des requêtes vers des services Google, et tu dois trier l’aiguille dans la botte de foin. Les outils réseau classiques, eux, voient surtout du connu et du chiffré. Pas très bavard.

Et Google prévient que la méthode n’est pas limitée à Sheets. Si tu peux détourner une plateforme de tableur, tu peux tenter la même chose avec d’autres services cloud comparables. C’est ça le message implicite: la surface d’attaque, aujourd’hui, ce n’est pas seulement ton serveur. C’est aussi tout l’empilement de services SaaS autorisés dans l’entreprise, et la difficulté à distinguer un usage normal d’un usage instrumentalisé.

Pourquoi les télécoms et ministères sont visés

Quand une campagne cible des opérateurs télécoms et des organismes gouvernementaux, ce n’est pas pour récupérer des photos de vacances. Les télécoms sont au centre des communications nationales: infrastructures, interconnexions, supervision, parfois des services critiques. Un accès même partiel peut donner de la visibilité sur des échanges, des identifiants, des schémas de circulation. Et dans le monde du renseignement, la visibilité vaut déjà très cher.

Côté administrations et agences publiques, l’intérêt est évident: informations politiques, diplomatiques, réglementaires, parfois militaires selon les périmètres. Même sans toucher aux documents les plus classifiés, tu peux aspirer des données sensibles, cartographier les relations, comprendre les priorités et les fragilités. Le plus inquiétant, c’est la durée: ce type de groupe cherche à rester sous le radar, à surveiller, à intercepter, à collecter sans déclencher d’alarme.

Les sources décrivent une campagne sur plusieurs continents, avec des cibles en Afrique, en Asie, dans les Amériques. Ça colle avec un constat plus large: les opérations d’espionnage se calent sur les zones d’intérêt stratégique, les partenariats, les marchés télécoms, les négociations. Tu peux aussi viser des pays où les moyens de détection sont moins homogènes, ou où les fournisseurs et sous-traitants multiplient les portes d’entrée.

Dans un papier du ministère des Armées, la stratégie cyber chinoise est décrite comme valorisant la souveraineté informatique et des actions offensives de basse intensité, avec une expertise forte dans l’espionnage. Dit autrement: tu n’as pas forcément un big bang visible, tu as une pression constante, discrète, qui affaiblit la confiance et augmente la vulnérabilité. Et quand tu ajoutes des services cloud mondiaux dans l’équation, la frontière entre civil et stratégique devient franchement floue.

La riposte de Google GTIG et Mandiant

Google n’a pas juste publié un rapport et souhaité bonne chance aux victimes. La riposte a été menée par le Google Threat Intelligence Group, épaulé par Mandiant, sa filiale cybersécurité. Leur objectif: perturber l’opération, couper les canaux, désactiver l’infrastructure. Dans ce dossier, Google explique avoir fermé tous les projets Google Cloud contrôlés par les attaquants, ce qui vise directement la persistance.

Ce type de disruption est devenu une arme à part entière pour les grands fournisseurs. Quand tu héberges une partie d’Internet, tu peux agir à un niveau que beaucoup d’États ou d’entreprises n’atteignent pas: neutraliser des comptes, couper des ressources, bloquer des artefacts, corréler des signaux à grande échelle. Sur le papier, c’est puissant. Dans la vraie vie, c’est aussi délicat, parce que tu dois éviter de casser des usages légitimes.

Un expert que j’ai déjà entendu sur ce genre de crise, appelons-le Marc, résume ça simplement: Le cloud, c’est un accélérateur pour tout le monde. Pour les défenseurs, ça donne de la visibilité et des leviers. Pour les attaquants, ça offre des cachettes parfaites au milieu du trafic normal. Du coup, la bataille se joue sur la capacité à identifier des patterns, pas sur le blocage brutal.

Google dit aussi s’attendre à ce que le groupe tente de reconstruire son empreinte mondiale. Logique. Quand tu coupes une infrastructure, tu ne changes pas l’intention. Et tant que le point d’entrée initial reste flou, tu gardes une zone d’ombre: compromission d’un serveur web, d’un équipement en bordure de réseau, d’un appareil exposé… UNC2814 a déjà utilisé ce type de portes. Donc la disruption, c’est une étape, pas une garantie de tranquillité.

Le revers: extensions piégées et hygiène numérique

Le dossier UNC2814 parle de tableurs cloud, mais il rappelle un autre angle mort: les outils normaux qu’on installe sans réfléchir. Un exemple récent documenté dans l’écosystème des opérations chinoises: 18 extensions malveillantes repérées sur Chrome, Edge et Firefox, liées à une campagne d’espionnage distincte, avec plus de deux millions de victimes. Le point commun, c’est l’abus de confiance: ça marche, c’est utile, donc tu baisses la garde.

Ces extensions n’étaient pas des caricatures. Elles rendaient des services concrets: téléchargement de vidéos, minuteurs de réunion, admission automatique à des appels. Résultat, elles se fondaient dans le décor, et la détection devenait un sport de combat. Et derrière, tu peux construire des bases de données d’identifiants, de listes de participants, de contexte de réunions. De quoi alimenter des usurpations d’identité crédibles, surtout dans un monde obsédé par la visio.

La nuance qui dérange, c’est que la sécurité parfaite n’existe pas quand tu dois travailler vite. Les entreprises veulent des outils, les équipes veulent automatiser, les utilisateurs veulent que ça marche. Et les attaquants, eux, jouent sur cette friction. Interdire toutes les extensions? Bonne chance. Bloquer tous les services cloud? Impossible. Donc tu reviens aux fondamentaux: inventaire, contrôle des droits, revue des accès, surveillance des comportements anormaux.

Concrètement, ça veut dire quoi pour toi ou pour ta boîte? Installer une extension seulement si tu sais qui la publie, lire les avis, vérifier les permissions demandées, et virer ce qui ne sert plus. Côté organisations, ça passe par des politiques de navigateur, des listes blanches, et des alertes sur des connexions inhabituelles. Et quand un fournisseur comme Google dit avoir vu 53 victimes confirmées dans 42 pays, tu peux te dire que la question n’est pas si, mais quand tu te feras tester.