Depuis l'annonce de la cyberattaque contre Google, plusieurs entreprises privées de sécurité informatique avaient incriminé des dissidents chinois, mais leur argumentation ne reposait que sur des preuves circonstancielles.

C'est l'analyse du programme ayant servi lors de la cyberattaque qui a révélé les indices. M. Stewart se décrit lui-même comme un «ingénieur inversé», puisqu'il désassemble le code des logiciels malveillants pour mieux comprendre la nature des attaques menées sur le Net.

M. Stewart aurait découvert l'existence d'un module au sein du programme principal, basé sur un algorithme inhabituel dont l'auteur chinois avait publié les détails techniques que sur des sites Web strictement écrits en langue chinoise.

Les spécialistes en sécurité informatique qui se sont intéressés à l'affaire s'accordent pour dire que c'est un cheval de Troie nommé Hydraq qui a affecté Google. Découvert pour la première fois dès le début de l'année, ce logiciel malveillant est destiné à infecter les ordinateurs roulant sous l'un des systèmes d'exploitation de Microsoft.

Attaqué vers la mi-décembre, Google a décidé de suspendre en entreprise, l'accès Internet à plusieurs de ses 700 employés en Chine pendant la durée de l'enquête. L'objectif est de déterminer si certains employés étaient des complices de la cyberattaque.

Relativisant l'importance de sa découverte, M. Stewart indique néanmoins qu'il y a toujours une possibilité que l'algorithme ait été placé dans le code malicieux de façon intentionnelle par un autre gouvernement dans le but d'incriminer les Chinois, même si cela s'avère peu probable.