L'Italie a sorti la Belt and Road Initiative en 2023. Elle livre en 2026 un ressortissant chinois aux États-Unis pour cyber-espionnage. Xu Zewei lui-même affirme être victime d'une erreur d'identité, ses données personnelles étant restées chez son ancien employeur depuis 2018. Ces trois faits coexistent. Ils dessinent une mécanique judiciaire transatlantique nouvelle, peu commentée comme telle.
Le 25 avril 2026, selon l'avocat italien du suspect cité par Euronews, la police italienne a remis Xu Zewei, 33 ans, aux autorités américaines. Il a comparu le 27 avril devant le tribunal fédéral de Houston, sous une inculpation à neuf chefs incluant fraude électronique, vol d'identité aggravé et accès non autorisé à des systèmes informatiques protégés, selon le communiqué du Department of Justice. Le seuil critique tient en un chiffre : 12 700 organisations américaines compromises par la campagne HAFNIUM dont Xu est accusé d'avoir été l'un des opérateurs contractuels.
Une infrastructure judiciaire activée après vingt-deux mois de procédure
Le mandat d'arrêt américain a été émis en novembre 2023, selon Euronews. Xu Zewei, ingénieur résidant à Shanghai, a été interpellé à l'aéroport de Milan-Malpensa le 3 juillet 2025, alors qu'il s'apprêtait à passer un séjour en Lombardie avec son épouse, leur fille de sept mois étant restée en Chine.
La procédure italienne s'est déroulée en trois étapes documentées par l'agence ANSA. La Cour d'appel de Milan a rendu une décision favorable à l'extradition le 27 janvier 2026, déclarant remplies les conditions d'accueil de la demande américaine. La Cour de cassation a rejeté le pourvoi de la défense le 16 avril 2026. Le ministère italien de la Justice a donné son feu vert dans les jours suivants. Le suspect, transféré entre-temps de la prison de Busto Arsizio à celle de Pavie, a été remis aux autorités américaines le 25 avril 2026.
L'inculpation américaine, descellée par le DOJ en juillet 2025, vise deux séquences distinctes. Première séquence, début 2020 : ciblage d'universités et de chercheurs américains travaillant sur les vaccins, traitements et tests COVID-19. Seconde séquence, à partir de fin 2020 puis durant le premier semestre 2021 : exploitation des vulnérabilités zero-day de Microsoft Exchange Server, dans le cadre de la campagne HAFNIUM. Les deux séquences sont attribuées par le DOJ à une même chaîne de commandement, le Shanghai State Security Bureau (SSSB), branche locale du Ministère de la Sécurité d'État chinois (MSS).
Xu n'aurait pas opéré seul. Il est co-inculpé avec Zhang Yu, 44 ans, ressortissant chinois, qui demeure en fuite. Selon l'acte d'accusation, les deux hommes auraient été employés par Shanghai Powerock Network, qualifiée par le DOJ d'« enabling company », formulation technique qui désigne une société-écran exécutant des opérations cyber pour le compte des services de renseignement.
La mécanique des contractors, pierre angulaire de la doctrine MSS
C'est ici que l'affaire dépasse le cadre individuel. Le directeur adjoint de la Cyber Division du FBI, Brett Leatherman, a déclaré que Xu fait partie d'un réseau de contractors que le gouvernement chinois utilise pour masquer son rôle dans les opérations cyber. Cette doctrine d'externalisation, théorisée par les analystes occidentaux depuis le milieu des années 2010, repose sur une architecture précise : des entreprises civiles privées exécutent les intrusions sous direction d'officiers du MSS, ce qui permet à Pékin de maintenir un déni plausible à chaque étape.
La société Shanghai Powerock Network n'est pas un cas isolé. Le DOJ a documenté cette architecture dans plusieurs actes d'accusation depuis 2018, et l'inculpation Xu souligne explicitement l'usage par le MSS de contractors pour masquer son rôle dans les opérations cyber. L'extradition de Xu marque un saut qualitatif : pour la première fois, un opérateur identifié de cette chaîne externalisée se retrouve physiquement devant un tribunal américain depuis l'Europe.
La campagne HAFNIUM elle-même a été attribuée formellement à la Chine le 19 juillet 2021, dans une déclaration conjointe inédite. Selon le NCSC britannique, le Royaume-Uni a rejoint 38 partenaires, dont les Five Eyes, l'OTAN, l'UE et le Japon, pour attribuer HAFNIUM, APT31 et APT40 à l'État chinois. La déclaration n'avait été assortie d'aucune sanction. Quatre ans et demi plus tard, l'arrestation puis l'extradition de Xu fournissent enfin un vecteur d'application concret.
Un précédent rare, deux cas en sept ans
Il faut mesurer la rareté de l'événement. Avant Xu Zewei, un seul ressortissant chinois identifié comme acteur du renseignement avait été extradé d'Europe vers les États-Unis : Yanjun Xu, officier de la Sixième Division du Bureau du Jiangsu du MSS, arrêté en Belgique en 2018 et remis aux autorités américaines après plusieurs mois de procédure. Il a été condamné à 20 ans de prison par un tribunal fédéral de Cincinnati en novembre 2022 pour conspiration en vue d'espionnage économique et tentative de vol de secrets industriels, dans une affaire visant General Electric Aviation. Le DOJ avait alors souligné qu'il s'agissait du premier officier de renseignement chinois jamais extradé vers les États-Unis pour y être jugé.
Sept ans séparent ces deux extraditions européennes. La fréquence reste anecdotique au regard du volume documenté d'opérations attribuées à la Chine. Le CSIS recense 104 cas de cyber-espionnage chinois rapportés sur les dix dernières années dans son inventaire public. Le ratio extraditions effectives sur opérations attribuées reste inférieur à 2 %.
Cette rareté s'explique. Les ressortissants chinois soupçonnés d'opérations cyber circulent peu dans les pays disposant d'un traité d'extradition opérationnel avec Washington. Lorsqu'ils circulent, les autorités chinoises peuvent mobiliser d'importants leviers diplomatiques pour bloquer la procédure. Le cas Xu démontre que ces leviers ont leur limite, particulièrement dans le contexte italien post-BRI.
Le contexte italien, qualification politique refusée
L'Italie occupe ici une position singulière. Rome avait été, en 2019, le seul pays du G7 à signer un mémorandum d'adhésion à la Belt and Road Initiative chinoise. Quatre ans plus tard, le gouvernement Meloni a notifié sa sortie du dispositif, effective fin 2023.
Le contexte diplomatique n'a toutefois pas pesé sur la qualification juridique de l'affaire. La Cour d'appel de Milan a explicitement refusé, dès janvier 2026, de reconnaître au cyber-espionnage reproché à Xu une nature politique. Selon le quotidien italien Open citant la décision de la Cour, la conduite contestée n'a pas de portée certainement politique, l'attaque des serveurs des universités américaines apparaissant inspirée davantage par des logiques économiques concurrentielles entre puissances globales et par la finalité de capter des informations d'intérêt industriel et scientifique majeur. Cette qualification est essentielle : elle écarte la principale base de refus d'une extradition en droit italien.
La Cour de cassation a confirmé cette lecture le 16 avril 2026. La défense, portée par les avocats Enrico Giarda et Simona Candido, avait pourtant plaidé que les États-Unis reprochaient à Xu un « délit politique » dans un contexte d'espionnage international entre Chine et États-Unis. La haute juridiction italienne a écarté cette analyse. Le ministère de la Justice a ensuite signé.
La police postale italienne, citée par le DOJ comme partenaire critique de l'opération, entretient une coopération opérationnelle de longue date avec le FBI sur les dossiers cyber. Rome ne fait pas un cadeau à Washington. Rome applique un traité.
La conséquence stratégique reste la même. Les capitales européennes qui hésitaient à activer leurs traités sur des dossiers chinois disposent désormais d'un précédent national, italien, fraîchement validé par leur Cour d'appel, leur Cour de cassation et leur exécutif. La barrière politique a baissé d'un cran.
Time-to-impact : la fenêtre courte avant la prochaine arrestation
Le mandat américain remonte à novembre 2023. L'inculpation Xu a été descellée en juillet 2025. L'arrestation est intervenue le mois même. L'extradition a été obtenue en vingt-deux mois. Pour une procédure transcontinentale impliquant un ressortissant chinois, c'est un délai serré. Pour comparaison, l'affaire Yanjun Xu avait nécessité environ huit mois entre l'arrestation belge et la remise aux autorités américaines en 2018, dans un dossier à enjeu industriel direct (GE Aviation) qui avait reçu une priorité politique élevée.
Le DOJ n'a pas attendu le verdict pour communiquer. L'objectif est explicite : créer un effet d'annonce dissuasif sur les contractors encore en activité. Brett Leatherman a déclaré que ceux qui font la même chose que Xu encourent le même risque. Le message s'adresse à Zhang Yu, toujours en fuite, mais aussi à la nébuleuse des opérateurs cyber civils sous contrat MSS, dont les déplacements internationaux deviennent désormais une variable de risque opérationnel.
Selon l'agence ANSA, la peine maximale encourue par Xu Zewei aux États-Unis est de 20 ans, équivalente à celle prononcée contre Yanjun Xu en 2022. Le parallèle est lourd de sens dissuasif.
Connexions transversales : Hafnium, supply chain logicielle, recherche médicale
Trois rapports de force convergent dans cette affaire.
Premier rapport, la chaîne logicielle. La campagne HAFNIUM a exploité quatre vulnérabilités zero-day de Microsoft Exchange Server, identifiées sous les références CVE-2021-26855, 26857, 26858 et 27065. Selon CSO Online, plus de 30 000 organisations américaines avaient été touchées dans les premières semaines de mars 2021, et l'estimation globale des serveurs compromis dépassait 250 000 au 9 mars 2021. La concentration de l'écosystème mail occidental sur quelques fournisseurs crée un point de fragilité que toute opération étatique sait exploiter à grande échelle.
Deuxième rapport, la recherche médicale stratégique. Le ciblage d'immunologues, virologues et universités travaillant sur les vaccins COVID-19 illustre une doctrine d'extraction de propriété intellectuelle dans les domaines où la course technologique a une valeur géopolitique directe. La donnée volée alimente potentiellement les capacités de production chinoises sans le coût de la R&D originale.
Troisième rapport, la coopération judiciaire transatlantique. L'affaire valide l'efficacité opérationnelle du couple FBI–polices européennes spécialisées sur le cyber. Cette coopération, longtemps présentée comme déclarative, produit ici un résultat physique et médiatisé.
Angles morts
Biais de linéarité. Une extradition n'établit pas une condamnation. Xu sera jugé à Houston, et le procès n'a pas commencé. Si l'accusation échoue à prouver son rôle opérationnel précis dans HAFNIUM, l'effet dissuasif s'effondre rétroactivement. La trajectoire judiciaire reste incertaine sur 18 à 24 mois.
Cohésion du bloc européen. Rien n'indique que d'autres pays européens suivront la trajectoire italienne. La France, l'Allemagne et l'Espagne ont des pratiques d'extradition différentes, et leurs relations commerciales bilatérales avec la Chine pèsent sur les arbitrages exécutifs. Le précédent italien existe ; sa réplication n'est pas garantie.
Points de contestation factuels. La défense de Xu repose sur deux arguments précis. Son avocat italien Enrico Giarda a qualifié les accusations de fumeuses dès les premières audiences. Xu lui-même, devant les juridictions italiennes, a déclaré avoir laissé l'ensemble de ses données personnelles, son adresse mail et ses contacts à l'entreprise pour laquelle il travaillait quand il l'a quittée en 2018, et qu'une autre personne a peut-être utilisé son ordinateur et ses identifiants dans les années suivantes. Cette défense reste à instruire au fond, mais elle ouvre une zone de débat technique sur l'attribution. L'identification d'un opérateur cyber via des artefacts numériques peut être contestée si l'accès à ces artefacts n'est pas exclusif. Notons que les procureurs de Milan ont tenté de l'interroger durant sa détention italienne ; il a refusé de répondre, selon Euronews.
Limites méthodologiques. Les chiffres d'attribution HAFNIUM combinent plusieurs sources avec des méthodologies de comptage différentes. Le chiffre de 12 700 organisations américaines compromises provient d'une déclaration FBI, non d'un audit indépendant. Les estimations de 30 000 organisations US et 250 000 serveurs reflètent l'exploitation des vulnérabilités, pas nécessairement par le seul groupe HAFNIUM, plusieurs autres APT ayant utilisé les mêmes failles dès la divulgation publique de mars 2021.
Scénario alternatif crédible. Le procès pourrait révéler que Xu n'était qu'un exécutant subalterne d'un dispositif beaucoup plus large, ce qui réduirait sa valeur dissuasive et déplacerait le débat sur l'identification des donneurs d'ordre, qui restent en Chine et hors de portée judiciaire occidentale. À l'inverse, la coopération judiciaire de Xu, s'il choisissait de témoigner contre la chaîne MSS, pourrait fournir aux services américains une cartographie inédite du réseau Powerock et des sociétés similaires. Les deux scénarios sont compatibles avec les éléments publiquement disponibles à fin avril 2026.
Conséquences stratégiques
Le seuil franchi tient en un déplacement de la fenêtre de risque pour les contractors cyber chinois. Tant que les sociétés enabling opéraient depuis le territoire chinois, la judiciarisation occidentale relevait du symbolique. L'extradition Xu démontre qu'un déplacement personnel hors du sanctuaire national crée une exposition juridique réelle, activable en moins de deux ans. Les services chinois devront renforcer leurs consignes de mobilité internationale pour les opérateurs sensibles, ce qui rigidifie leur dispositif et augmente leurs coûts opérationnels indirects.
Pour les capitales européennes, le précédent italien constitue un précédent de principe au sens fort : il établit qu'un État membre de l'UE peut, sur des bases strictement juridiques validées jusqu'en cassation, livrer aux États-Unis un ressortissant chinois inculpé pour cyber-espionnage en refusant la qualification politique du dossier. La Chine a réagi par communiqué du ministère des Affaires étrangères, sans annoncer de mesure commerciale ou diplomatique précise contre Rome.
Trois dates cadrent la trajectoire. 2018, première extradition d'un officier MSS depuis l'Europe. 2025, arrestation milanaise du premier contractor identifié. 2026, premier transfert à Houston d'un opérateur de la chaîne externalisée. La suite se mesurera au rythme des prochaines arrestations.
Cédric Pellicer Médecin légiste géopolitique, Les Vraies Infos.