Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms

Démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées

Des attaquants chinois ont infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et même des politiciens comme Trump et Harris. Le FBI a détecté cette attaque par Salt Typhoon il y a plusieurs mois, mais n'a toujours pas réussi à faire sortir les attaquants des systèmes. Aujourd'hui, l'agence américaine de cyberdéfense (CISA) appelle tout le monde à utiliser le chiffrement de bout en bout. Un argument de plus pour indiquer que les portes dérobées dans les systèmes chiffrés ne doivent jamais être autorisées.

Un accès sans précédent aux communications américaines

Les États-Unis sont aux prises avec ce qui est décrit comme le pire piratage de télécommunications de l’histoire du pays, attribué à des attaquants chinois parrainés par l’État, Salt Typhoon.

Salt Typhoon a réussi à pénétrer au cœur des infrastructures télécoms américaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accès direct à des millions d’appels, de messages, et d’e-mails. Cette intrusion permet une surveillance à grande échelle de citoyens, d’entreprises et de responsables gouvernementaux. En exploitant des vulnérabilités dans des systèmes d’encryptage prétendument sécurisés, les hackers ont démontré que les failles intentionnelles – souvent imposées pour des raisons de surveillance étatique – peuvent se retourner contre leurs propres instigateurs. En raison de l’ampleur de la brèche, il a été extrêmement difficile d’éradiquer les attaquants des systèmes compromis.

Les autorités américaines et les experts en cybersécurité sont alarmés par l’ampleur de l’attaque. L’infiltration de Salt Typhoon dépasse de loin les capacités des cyberattaques traditionnelles, ciblant des points névralgiques rarement exposés à des menaces externes.

Selon les experts en cybersécurité, les attaquants ont déployé des outils sophistiqués, notamment un rootkit du noyau Windows appelé Demodex, pour obtenir et conserver l’accès à ces réseaux. Leur infiltration leur a permis non seulement d’écouter les conversations, mais aussi d’extraire le trafic Internet général et d’autres données sensibles. « Étant donné l’état de la détection, il nous est impossible de prédire quand nous parviendrons à chasser complètement les attaquants de ces réseaux », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA, lors d’une conférence de presse.

Dans un avertissement publié cette semaine, les autorités américaines ont admis qu’elles n’avaient pas été en mesure d’expulser complètement les pirates informatiques parrainés par l’État chinois des réseaux des principaux fournisseurs de services de télécommunications et d’internet. Alors que la brèche continue de compromettre des communications sensibles, les autorités ont exhorté les utilisateurs concernés à passer à des services de messagerie et d’appels vocaux cryptés.


L’obsolescence des infrastructures des réseaux de télécommunications des USA est citée comme l’une des causes de ce piratage

Des rapports font état de ce que certaines sections des réseaux de télécommunications américains datent des années 1970 à 1980 – période à laquelle les lignes terrestres dominaient le réseau. Les observateurs suggèrent de changer lesdites parties de réseau – un processus dans lequel les entreprises de la filière des télécommunications ont été lentes à investir.

Comme indiqué par la NSA, les attaquants chinois ont ciblé des services exposés et vulnérables, des appareils non patchés et des environnements généralement insuffisamment sécurisés. L'avis commun, publié en partenariat avec le FBI, la NSA et des partenaires internationaux, comprend des conseils sur le renforcement des appareils et de la sécurité du réseau afin de réduire la surface d'attaque exploitée par ces acteurs de la menace. Il comprend également des mesures défensives visant à améliorer la visibilité des administrateurs de systèmes et des ingénieurs qui gèrent l'infrastructure de communication, afin d'obtenir une vision plus détaillée du trafic réseau, du flux de données et des activités des utilisateurs.

L’avis cite entre autres la mise à jour des appareils non utilisés, la désactivation des protocoles non chiffrés, l’utilisation de mots de passe forts. Il est également conseillé aux administrateurs réseau de configurer leurs systèmes de manière à enregistrer tous les changements de configuration et toutes les connexions de gestion, et de lancer des alertes en cas de changements inattendus, afin d'améliorer la visibilité des dispositifs périphériques au niveau des périmètres du réseau

« Les entreprises privées de télécommunications qui choisissent de ne pas investir dans les infrastructures posent un problème de sécurité nationale », s'insurge Kyle Chan, un chercheur postdoctoral à Princeton. « La cyberinfiltration chinoise Salt Typhoon a choqué non seulement par sa sophistication, mais aussi parce qu'elle a révélé des problèmes plus profonds dans l'infrastructure vieillissante des États-Unis ».

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Private telecom companies choosing not to invest in infrastructure is a national security problem.<br><br>China’s Salt Typhoon cyber infiltration was shocking not just because of its sophistication but also because it revealed deeper problems with America’s aging infrastructure. <a href="https://t.co/1knjqJs7yz">pic.twitter.com/1knjqJs7yz</a></p>— Kyle Chan (@kyleichan) <a href="https://twitter.com/kyleichan/status/1860320816107278405?ref_src=twsrc%5Etfw">November 23, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

« Une faille catastrophique »

Mark Warner, président démocrate de la commission sénatoriale du renseignement, a décrit l’attaque comme « le plus grand piratage de télécommunications de l’histoire des États-Unis, et de loin ».

S’adressant au Washington Post, Warner a souligné que cette intrusion éclipse les cyberattaques précédentes, comme celles de Colonial Pipeline ou de SolarWinds. Il a fait remarquer que pour éliminer les attaquants, il faudrait remplacer des milliers, voire des dizaines de milliers, d’appareils obsolètes tels que des commutateurs et des routeurs, ce qui représente un énorme défi logistique et financier. C’est pourquoi les attaquants chinois sont toujours en mesure de surveiller les communications.

L’attaque, attribuée aux groupes connus sous les noms de “Salt Typhoon”, “GhostEmperor” ou “FamousSparrow”, a été détectée il y a plus d’un mois, mais on pense qu’elle a commencé il y a plus d’un an. Son objectif principal semble être la collecte de renseignements.

Des cibles à fort enjeu

Les attaquants ont réussi à intercepter des conversations téléphoniques en temps réel, y compris celles de personnes très en vue telles que Donald Trump, J.D. Vance et des membres du personnel de l’actuelle vice-présidente Kamala Harris. Bien qu’il n’y ait pas de preuve directe reliant la faille à l’élection présidentielle américaine de 2024, les implications sont graves. Warner a révélé que le FBI a jusqu’à présent identifié moins de 150 personnes comme victimes, mais que ces personnes ont été en contact avec « des millions », ce qui laisse supposer que l’ampleur de la violation pourrait s’accroître considérablement.

En outre, les attaquants ont accédé à des systèmes utilisés par les services de police américains à des fins de surveillance. Cela signifie qu’ils pourraient potentiellement apprendre qui fait l’objet d’une enquête, bien qu’aucune preuve n’ait encore été apportée qu’ils ont accédé aux données de surveillance enregistrées.

Le risque des backdoors dans l’encryptage

Cette attaque relance un débat fondamental sur l’utilisation des backdoors, ces accès intentionnels insérés dans les systèmes de sécurité pour permettre aux gouvernements de surveiller des activités suspectes. Les critiques de ces pratiques affirment depuis longtemps qu’elles ouvrent la porte à des abus et à des violations massives de la vie privée. Salt Typhoon semble avoir prouvé ce point de manière spectaculaire, en utilisant ces mêmes failles pour accéder aux réseaux critiques.

« Ce type d’attaque montre que les backdoors, loin de renforcer la sécurité, créent des vulnérabilités exploitables par les adversaires les plus sophistiqués », déclare un analyste en cybersécurité.

Implications géopolitiques et technologiques

L’incident survient dans un contexte de tensions croissantes entre les États-Unis et la Chine, où la cybersécurité est devenue une nouvelle arène de compétition stratégique. Les experts estiment que l’accès obtenu par Salt Typhoon pourrait avoir permis la collecte massive de renseignements économiques et politiques, menaçant ainsi la souveraineté nationale des États-Unis.

Cet épisode souligne également les défis auxquels les entreprises technologiques sont confrontées. Si la pression des gouvernements pour intégrer des mécanismes de surveillance se poursuit, cela risque d’exacerber les failles systémiques dans les infrastructures critiques.


Les États-Unis renforcent leur lutte contre les menaces chinoises en cybersécurité

En 2020, les autorités américaines ont affirmé disposer de preuves que Huawei utilisait son matériel pour espionner les réseaux de télécommunications à travers le monde, partageant ces informations avec le Royaume-Uni et l...