Des attaquants chinois ont infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et même des politiciens comme Trump et Harris. Le FBI a détecté cette attaque par Salt Typhoon il y a plusieurs mois, mais n'a toujours pas réussi à faire sortir les attaquants des systèmes. Aujourd'hui, l'agence américaine de cyberdéfense (CISA) appelle tout le monde à utiliser le chiffrement de bout en bout. Un argument de plus pour indiquer que les portes dérobées dans les systèmes chiffrés ne doivent jamais être autorisées.Un accès sans précédent aux communications américaines
Les États-Unis sont aux prises avec ce qui est décrit comme le pire piratage de télécommunications de l’histoire du pays, attribué à des attaquants chinois parrainés par l’État, Salt Typhoon.
Salt Typhoon a réussi à pénétrer au cœur des infrastructures télécoms américaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accès direct à des millions d’appels, de messages, et d’e-mails. Cette intrusion permet une surveillance à grande échelle de citoyens, d’entreprises et de responsables gouvernementaux. En exploitant des vulnérabilités dans des systèmes d’encryptage prétendument sécurisés, les hackers ont démontré que les failles intentionnelles – souvent imposées pour des raisons de surveillance étatique – peuvent se retourner contre leurs propres instigateurs. En raison de l’ampleur de la brèche, il a été extrêmement difficile d’éradiquer les attaquants des systèmes compromis.
Les autorités américaines et les experts en cybersécurité sont alarmés par l’ampleur de l’attaque. L’infiltration de Salt Typhoon dépasse de loin les capacités des cyberattaques traditionnelles, ciblant des points névralgiques rarement exposés à des menaces externes.
Selon les experts en cybersécurité, les attaquants ont déployé des outils sophistiqués, notamment un rootkit du noyau Windows appelé Demodex, pour obtenir et conserver l’accès à ces réseaux. Leur infiltration leur a permis non seulement d’écouter les conversations, mais aussi d’extraire le trafic Internet général et d’autres données sensibles. « Étant donné l’état de la détection, il nous est impossible de prédire quand nous parviendrons à chasser complètement les attaquants de ces réseaux », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA, lors d’une conférence de presse.
Dans un avertissement publié cette semaine, les autorités américaines ont admis qu’elles n’avaient pas été en mesure d’expulser complètement les pirates informatiques parrainés par l’État chinois des réseaux des principaux fournisseurs de services de télécommunications et d’internet. Alors que la brèche continue de compromettre des communications sensibles, les autorités ont exhorté les utilisateurs concernés à passer à des services de messagerie et d’appels vocaux cryptés.
L’obsolescence des infrastructures des réseaux de télécommunications des USA est citée comme l’une des causes de ce piratage
Des rapports font état de ce que certaines sections des réseaux de télécommunications américains datent des années 1970 à 1980 – période à laquelle les lignes terrestres dominaient le réseau. Les observateurs suggèrent de changer lesdites parties de réseau – un processus dans lequel les entreprises de la filière des télécommunications ont été lentes à investir.
Comme indiqué par la NSA, les attaquants chinois ont ciblé des services exposés et vulnérables, des appareils non patchés et des environnements généralement insuffisamment sécurisés. L'avis commun, publié en partenariat avec le FBI, la NSA et des partenaires internationaux, comprend des conseils sur le renforcement des appareils et de la sécurité du réseau afin de réduire la surface d'attaque exploitée par ces acteurs de la menace. Il comprend également des mesures défensives visant à améliorer la visibilité des administrateurs de systèmes et des ingénieurs qui gèrent l'infrastructure de communication, afin d'obtenir une vision plus détaillée du trafic réseau, du flux de données et des activités des utilisateurs.
L’avis cite entre autres la mise à jour des appareils non utilisés, la désactivation des protocoles non chiffrés, l’utilisation de mots de passe forts. Il est également conseillé aux administrateurs réseau de configurer leurs systèmes de manière à enregistrer tous les changements de configuration et toutes les connexions de gestion, et de lancer des alertes en cas de changements inattendus, afin d'améliorer la visibilité des dispositifs périphériques au niveau des périmètres du réseau
« Les entreprises privées de télécommunications qui choisissent de ne pas investir dans les infrastructures posent un problème de sécurité nationale », s'insurge Kyle Chan, un chercheur postdoctoral à Princeton. « La cyberinfiltration chinoise Salt Typhoon a choqué non seulement par sa sophistication, mais aussi parce qu'elle a révélé des problèmes plus profonds dans l'infrastructure vieillissante des États-Unis ».
« Une faille catastrophique »Private telecom companies choosing not to invest in infrastructure is a national security problem.
— Kyle Chan (@kyleichan) November 23, 2024
China’s Salt Typhoon cyber infiltration was shocking not just because of its sophistication but also because it revealed deeper problems with America’s aging infrastructure. pic.twitter.com/1knjqJs7yz
Mark Warner, président démocrate de la commission sénatoriale du renseignement, a décrit l’attaque comme « le plus grand piratage de télécommunications de l’histoire des États-Unis, et de loin ».
S’adressant au Washington Post, Warner a souligné que cette intrusion éclipse les cyberattaques précédentes, comme celles de Colonial Pipeline ou de SolarWinds. Il a fait remarquer que pour éliminer les attaquants, il faudrait remplacer des milliers, voire des dizaines de milliers, d’appareils obsolètes tels que des commutateurs et des routeurs, ce qui représente un énorme défi logistique et financier. C’est pourquoi les attaquants chinois sont toujours en mesure de surveiller les communications.
L’attaque, attribuée aux groupes connus sous les noms de “Salt Typhoon”, “GhostEmperor” ou “FamousSparrow”, a été détectée il y a plus d’un mois, mais on pense qu’elle a commencé il y a plus d’un an. Son objectif principal semble être la collecte de renseignements.
Des cibles à fort enjeu
Les attaquants ont réussi à intercepter des conversations téléphoniques en temps réel, y compris celles de personnes très en vue telles que Donald Trump, J.D. Vance et des membres du personnel de l’actuelle vice-présidente Kamala Harris. Bien qu’il n’y ait pas de preuve directe reliant la faille à l’élection présidentielle américaine de 2024, les implications sont graves. Warner a révélé que le FBI a jusqu’à présent identifié moins de 150 personnes comme victimes, mais que ces personnes ont été en contact avec « des millions », ce qui laisse supposer que l’ampleur de la violation pourrait s’accroître considérablement.
En outre, les attaquants ont accédé à des systèmes utilisés par les services de police américains à des fins de surveillance. Cela signifie qu’ils pourraient potentiellement apprendre qui fait l’objet d’une enquête, bien qu’aucune preuve n’ait encore été apportée qu’ils ont accédé aux données de surveillance enregistrées.
Le risque des backdoors dans l’encryptage
Cette attaque relance un débat fondamental sur l’utilisation des backdoors, ces accès intentionnels insérés dans les systèmes de sécurité pour permettre aux gouvernements de surveiller des activités suspectes. Les critiques de ces pratiques affirment depuis longtemps qu’elles ouvrent la porte à des abus et à des violations massives de la vie privée. Salt Typhoon semble avoir prouvé ce point de manière spectaculaire, en utilisant ces mêmes failles pour accéder aux réseaux critiques.
« Ce type d’attaque montre que les backdoors, loin de renforcer la sécurité, créent des vulnérabilités exploitables par les adversaires les plus sophistiqués », déclare un analyste en cybersécurité.
Implications géopolitiques et technologiques
L’incident survient dans un contexte de tensions croissantes entre les États-Unis et la Chine, où la cybersécurité est devenue une nouvelle arène de compétition stratégique. Les experts estiment que l’accès obtenu par Salt Typhoon pourrait avoir permis la collecte massive de renseignements économiques et politiques, menaçant ainsi la souveraineté nationale des États-Unis.
Cet épisode souligne également les défis auxquels les entreprises technologiques sont confrontées. Si la pression des gouvernements pour intégrer des mécanismes de surveillance se poursuit, cela risque d’exacerber les failles systémiques dans les infrastructures critiques.
Les États-Unis renforcent leur lutte contre les menaces chinoises en cybersécurité
En 2020, les autorités américaines ont affirmé disposer de preuves que Huawei utilisait son matériel pour espionner les réseaux de télécommunications à travers le monde, partageant ces informations avec le Royaume-Uni et l’Allemagne.
Un rapport récent du Wall Street Journal a révélé que des responsables américains, autrefois discrets sur les preuves contre Huawei, accusent désormais la firme d’installer des portes dérobées dans les réseaux qu’elle équipe. « Nous avons des preuves que Huawei peut accéder secrètement à des informations sensibles et personnelles via les systèmes qu’elle vend et entretient », a déclaré Robert O’Brien, conseiller à la sécurité nationale.
En théorie, les fabricants d’équipements télécoms sont censés inclure des dispositifs permettant aux autorités d’accéder aux réseaux à des fins légales, tout en empêchant le fabricant lui-même d’en avoir un accès direct sans l’accord des opérateurs. Toutefois, Washington accuse Huawei d’avoir violé ces règles en vigueur dans de nombreux pays.
En 2023, des chercheurs de Trend Micro ont découvert que des hackers chinois exploitaient une porte dérobée sous Linux pour espionner des gouvernements étrangers. Le groupe, Earth Lusca, aurait ciblé des organisations gouvernementales et des entreprises technologiques en Asie, dans les Balkans et ailleurs. Selon Trend Micro, cette porte dérobée serait une variante d’un logiciel malveillant nommé Trochilus, initialement conçu pour Windows.
Trochilus, conçu pour fonctionner en mémoire sans laisser de traces sur les disques, compliquait sa détection. Il aurait été développé par APT10, un groupe de hackers lié au gouvernement chinois, et utilisé dans des campagnes avec un autre malware appelé RedLeaves. Les préoccupations concernant l’espionnage chinois s’étendent également aux réseaux sociaux, avec TikTok souvent cité comme un outil potentiel. Un sondage Reuters/Ipsos montre que la moitié des adultes américains soutiennent une interdiction nationale de l’application, qu’ils soupçonnent d’être exploitée par Pékin pour surveiller les utilisateurs et diffuser de la propagande.
Face à ces préoccupations, le président Biden a promulgué en avril 2024 la loi Protecting Americans’ Data From Foreign Adversaries Act, obligeant ByteDance à céder TikTok sous neuf mois ou risquer une interdiction complète aux États-Unis. TikTok a pourtant nié tout partage de données avec le gouvernement chinois, son PDG ayant affirmé devant le Congrès que l’entreprise ne répond pas aux demandes de censure de Pékin.
Vers une prise de conscience mondiale ?
L’attaque Salt Typhoon pourrait marquer un tournant dans la manière dont les États et les entreprises envisagent la cybersécurité. Il devient urgent de repenser les stratégies de protection, en privilégiant des systèmes de chiffrement sans compromis et en renforçant la résilience des réseaux critiques.
Pour les citoyens, cette affaire met en lumière une vérité inconfortable : aucune communication numérique n’est totalement sécurisée dans un monde où les intérêts stratégiques et les failles technologiques cohabitent dangereusement. Le défi est désormais de trouver un équilibre entre sécurité nationale, innovation technologique et respect des libertés individuelles.
Le pire piratage informatique de l'histoire des États-Unis rappelle à tous une leçon cruciale : dans la course à la cybersécurité, les failles ne pardonnent pas.
Source : CISA
Et vous ?
Les backdoors sont-elles compatibles avec une cybersécurité solide ou sont-elles un risque systématique inévitable ? Est-il encore pertinent pour les gouvernements d’exiger des failles intentionnelles dans l’encryptage, sachant qu’elles peuvent être exploitées par des hackers ? Les entreprises technologiques devraient-elles avoir le droit de refuser de créer des backdoors, même sous la pression des gouvernements ? 
