Deux des sources ont estimé que les piratages visaient, au moins en partie, à obtenir des informations sur la dette du pays d'Afrique de l'Est envers Pékin : Le Kenya est un maillon stratégique de l'initiative Belt and Road - le plan du président Xi Jinping pour un réseau mondial d'infrastructures.
"D'autres compromis sont possibles car il est nécessaire de comprendre les stratégies de remboursement à venir", peut-on lire dans un rapport de recherche de juillet 2021 rédigé par un entrepreneur du secteur de la défense pour des clients privés.
Le ministère chinois des affaires étrangères a déclaré qu'il n'était "pas au courant" d'un tel piratage, tandis que l'ambassade de Chine en Grande-Bretagne a qualifié ces accusations de "sans fondement", ajoutant que Pékin s'opposait et combattait "les cyberattaques et le vol sous toutes leurs formes".
L'influence de la Chine en Afrique s'est rapidement accrue au cours des deux dernières décennies. Mais, à l'instar de plusieurs nations africaines, les finances du Kenya sont mises à rude épreuve par le coût croissant du service de la dette extérieure, dont une grande partie est due à la Chine.
La campagne de piratage démontre la volonté de la Chine de tirer parti de ses capacités d'espionnage pour surveiller et protéger ses intérêts économiques et stratégiques à l'étranger, ont déclaré deux des sources.
Selon un analyste des services de renseignement de la région, ces piratages constituent une campagne de trois ans qui a ciblé huit ministères et services gouvernementaux du Kenya, y compris le bureau présidentiel. L'analyste a également partagé avec Reuters des documents de recherche comprenant la chronologie des attaques, les cibles, et a fourni certaines données techniques relatives à la compromission d'un serveur utilisé exclusivement par la principale agence d'espionnage du Kenya.
Un expert kenyan en cybersécurité a décrit des activités de piratage similaires contre les ministères des affaires étrangères et des finances. Les trois sources ont demandé à ne pas être nommées en raison de la nature sensible de leur travail.
"Votre allégation de tentatives de piratage par des entités du gouvernement chinois n'est pas unique", a déclaré le bureau présidentiel du Kenya, ajoutant que le gouvernement avait été la cible de "fréquentes tentatives d'infiltration" de la part de pirates chinois, américains et européens.
"En ce qui nous concerne, aucune de ces tentatives n'a été couronnée de succès.
Il n'a pas fourni d'autres détails et n'a pas répondu aux questions de suivi.
Un porte-parole de l'ambassade de Chine en Grande-Bretagne a déclaré que la Chine s'opposait aux "manœuvres irresponsables qui utilisent des sujets tels que la cybersécurité pour semer la discorde dans les relations entre la Chine et d'autres pays en développement".
"La Chine attache une grande importance à la question de la dette africaine et travaille intensément pour aider l'Afrique à y faire face", a ajouté le porte-parole.
LES DÉFAUTS
Entre 2000 et 2020, la Chine a engagé près de 160 milliards de dollars de prêts aux pays africains, selon une base de données complète sur les prêts chinois hébergée par l'université de Boston, dont une grande partie pour des projets d'infrastructure à grande échelle.
Le Kenya a utilisé plus de 9 milliards de dollars de prêts chinois pour financer une campagne agressive de construction ou de modernisation de chemins de fer, de ports et d'autoroutes.
Pékin est devenu le premier créancier bilatéral du pays et s'est solidement implanté sur le plus important marché de consommation d'Afrique de l'Est et sur une plate-forme logistique vitale sur la côte africaine de l'océan Indien.
Fin 2019, cependant, lorsque l'expert kényan en cybersécurité a déclaré à Reuters qu'il avait été sollicité par les autorités kényanes pour évaluer le piratage d'un réseau gouvernemental, les prêts chinois se tarissaient. Et les difficultés financières du Kenya se faisaient sentir.
La brèche examinée par l'expert kényan en cybersécurité et attribuée à la Chine a commencé par une attaque de "spearphishing" à la fin de la même année, lorsqu'un employé du gouvernement kényan a téléchargé à son insu un document infecté, permettant aux pirates d'infiltrer le réseau et d'accéder à d'autres agences.
"De nombreux documents du ministère des affaires étrangères et du ministère des finances ont été volés. Les attaques semblent s'être concentrées sur la situation de la dette", a déclaré l'expert kenyan en cybersécurité.
Une autre source - l'analyste du renseignement travaillant dans la région - a déclaré que les pirates chinois ont mené une campagne de grande envergure contre le Kenya qui a commencé à la fin de 2019 et s'est poursuivie au moins jusqu'en 2022.
Selon les documents fournis par l'analyste, les cyberespions chinois ont soumis le bureau du président du Kenya, ses ministères de la défense, de l'information, de la santé, des terres et de l'intérieur, son centre de lutte contre le terrorisme et d'autres institutions à une activité de piratage persistante et prolongée.
Les ministères concernés n'ont pas répondu aux demandes de commentaires, ont refusé d'être interviewés ou n'étaient pas joignables.
En 2021, les retombées économiques mondiales de la pandémie de COVID-19 avaient déjà contribué à pousser un grand emprunteur chinois - la Zambie - à ne pas honorer sa dette extérieure. Le Kenya a réussi à décrocher un moratoire temporaire sur le remboursement de sa dette auprès de la Chine.
Début juillet 2021, les rapports de recherche sur la cybersécurité partagés par l'analyste du renseignement de la région expliquent comment les pirates ont secrètement accédé à un serveur de courrier électronique utilisé par le Service national de renseignement du Kenya (NIS).
Reuters a pu confirmer que l'adresse IP de la victime appartenait au NIS. L'incident a également été couvert par un rapport de l'entreprise privée de défense examiné par Reuters.
Reuters n'a pas pu déterminer quelles informations ont été dérobées lors des piratages ni établir de manière concluante le motif des attaques. Mais le rapport de l'entreprise de défense indique que l'intrusion dans le NIS visait peut-être à obtenir des informations sur la manière dont le Kenya prévoyait de gérer le remboursement de sa dette.
"Le Kenya ressent actuellement la pression de ces dettes [...] car de nombreux projets financés par des prêts chinois ne génèrent pas encore suffisamment de revenus pour s'autofinancer", indique le rapport.
Un examen par Reuters des journaux Internet décrivant les activités d'espionnage numérique chinoises a montré qu'un serveur contrôlé par les pirates chinois a également accédé à un service de messagerie web partagé du gouvernement kenyan plus récemment, de décembre 2022 à février de cette année.
Les autorités chinoises ont refusé de commenter cette récente intrusion, et les autorités kenyanes n'ont pas répondu à une question à ce sujet.
DIPLOMATIE DE LA PORTE DÉROBÉE
L'entreprise de défense, qui a fait état d'outils et de techniques identiques utilisés dans d'autres campagnes de piratage, a identifié une équipe de pirates informatiques liée à l'État chinois comme étant à l'origine de l'attaque contre l'agence de renseignement kényane.
Ce groupe est connu sous le nom de "BackdoorDiplomacy" dans le milieu de la recherche en cybersécurité, en raison de ses tentatives répétées de favoriser les objectifs de la stratégie diplomatique chinoise.
Selon la société de cybersécurité ESET, basée en Slovaquie, BackdoorDiplomacy utilise des logiciels malveillants contre ses victimes pour accéder à leurs réseaux, ce qui permet de suivre leurs activités.
Palo Alto Networks, une société américaine de cybersécurité qui suit les activités de BackdoorDiplomacy, a confirmé que l'adresse IP des pirates du NIS, fournie par Reuters, appartenait au groupe, ajoutant que son analyse préalable montrait que le groupe était parrainé par l'État chinois.
Les chercheurs en cybersécurité ont recensé des piratages de BackdoorDiplomacy visant des gouvernements et des institutions dans un certain nombre de pays d'Asie et d'Europe.
Les incursions au Moyen-Orient et en Afrique semblent moins fréquentes, ce qui rend l'orientation et l'ampleur des activités de piratage de BackdoorDiplomacy au Kenya particulièrement remarquables, selon le rapport de l'entreprise de défense.
"Cet angle d'attaque est clairement une priorité pour le groupe.
L'ambassade de Chine en Grande-Bretagne a rejeté toute implication dans les piratages au Kenya et n'a pas répondu directement aux questions concernant la relation du gouvernement avec BackdoorDiplomacy.
"La Chine est l'une des principales victimes de vols et d'attaques informatiques et un ardent défenseur de la cybersécurité", a déclaré un porte-parole. (Reportage d'Aaron Ross à Nairobi, de James Pearson à Londres et de Christopher Bing à Washington ; reportage complémentaire d'Eduardo Baptista à Pékin ; rédaction de Chris Sanders et Joe Bavier)
