Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms

Démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées

Des attaquants chinois ont infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et même des politiciens comme Trump et Harris. Le FBI a détecté cette attaque par Salt Typhoon il y a plusieurs mois, mais n'a toujours pas réussi à faire sortir les attaquants des systèmes. Aujourd'hui, l'agence américaine de cyberdéfense (CISA) appelle tout le monde à utiliser le chiffrement de bout en bout. Un argument de plus pour indiquer que les portes dérobées dans les systèmes chiffrés ne doivent jamais être autorisées.

Un accès sans précédent aux communications américaines

Les États-Unis sont aux prises avec ce qui est décrit comme le pire piratage de télécommunications de l’histoire du pays, attribué à des attaquants chinois parrainés par l’État, Salt Typhoon.

Salt Typhoon a réussi à pénétrer au cœur des infrastructures télécoms américaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accès direct à des millions d’appels, de messages, et d’e-mails. Cette intrusion permet une surveillance à grande échelle de citoyens, d’entreprises et de responsables gouvernementaux. En exploitant des vulnérabilités dans des systèmes d’encryptage prétendument sécurisés, les hackers ont démontré que les failles intentionnelles – souvent imposées pour des raisons de surveillance étatique – peuvent se retourner contre leurs propres instigateurs. En raison de l’ampleur de la brèche, il a été extrêmement difficile d’éradiquer les attaquants des systèmes compromis.

Les autorités américaines et les experts en cybersécurité sont alarmés par l’ampleur de l’attaque. L’infiltration de Salt Typhoon dépasse de loin les capacités des cyberattaques traditionnelles, ciblant des points névralgiques rarement exposés à des menaces externes.

Selon les experts en cybersécurité, les attaquants ont déployé des outils sophistiqués, notamment un rootkit du noyau Windows appelé Demodex, pour obtenir et conserver l’accès à ces réseaux. Leur infiltration leur a permis non seulement d’écouter les conversations, mais aussi d’extraire le trafic Internet général et d’autres données sensibles. « Étant donné l’état de la détection, il nous est impossible de prédire quand nous parviendrons à chasser complètement les attaquants de ces réseaux », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA, lors d’une conférence de presse.

Dans un avertissement publié cette semaine, les autorités américaines ont admis qu’elles n’avaient pas été en mesure d’expulser complètement les pirates informatiques parrainés par l’État chinois des réseaux des principaux fournisseurs de services de télécommunications et d’internet. Alors que la brèche continue de compromettre des communications sensibles, les autorités ont exhorté les utilisateurs concernés à passer à des services de messagerie et d’appels vocaux cryptés.


L’obsolescence des infrastructures des réseaux de télécommunications des USA est citée comme l’une des causes de ce piratage

Des rapports font état de ce que certaines sections des réseaux de télécommunications américains datent des années 1970 à 1980 – période à laquelle les lignes terrestres dominaient le réseau. Les observateurs suggèrent de changer lesdites parties de réseau – un processus dans lequel les entreprises de la filière des télécommunications ont été lentes à investir.

Comme indiqué par la NSA, les attaquants chinois ont ciblé des services exposés et vulnérables, des appareils non patchés et des environnements généralement insuffisamment sécurisés. L'avis commun, publié en partenariat avec le FBI, la NSA et des partenaires internationaux, comprend des conseils sur le renforcement des appareils et de la sécurité du réseau afin de réduire la surface d'attaque exploitée par ces acteurs de la menace. Il comprend également des mesures défensives visant à améliorer la visibilité des administrateurs de systèmes et des ingénieurs qui gèrent l'infrastructure de communication, afin d'obtenir une vision plus détaillée du trafic réseau, du flux de données et des activités des utilisateurs.

L’avis cite entre autres la mise à jour des appareils non utilisés, la désactivation des protocoles non chiffrés, l’utilisation de mots de passe forts. Il est également conseillé aux administrateurs réseau de configurer leurs systèmes de manière à enregistrer tous les changements de configuration et toutes les connexions de gestion, et de lancer des alertes en cas de changements inattendus, afin d'améliorer la visibilité des dispositifs périphériques au niveau des périmètres du réseau

« Les entreprises privées de télécommunications qui choisissent de ne pas investir dans les infrastructures posent un problème de sécurité nationale », s'insurge Kyle Chan, un chercheur postdoctoral à Princeton. « La cyberinfiltration chinoise Salt Typhoon a choqué non seulement par sa sophistication, mais aussi parce qu'elle a révélé des problèmes plus profonds dans l'infrastructure vieillissante des États-Unis »....