Il a été confirmé qu'une neuvième entreprise de télécommunications américaine a été piratée dans le cadre d'une vaste campagne d'espionnage chinoise qui a permis à des fonctionnaires de Pékin d'avoir accès à des textes et conversations téléphoniques privés d'un nombre indéterminé d'Américains, a déclaré vendredi un haut responsable de la Maison Blanche. Des responsables de l'administration Biden ont déclaré ce mois-ci qu'au moins huit entreprises de télécommunications, ainsi que des dizaines de pays, avaient été touchés par la campagne de piratage chinoise connue sous le nom de Salt Typhoon.Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies cybernétiques et émergentes, a toutefois déclaré vendredi à la presse qu'une neuvième victime avait été identifiée après que l'administration a donné des conseils aux entreprises sur la manière de traquer les coupables chinois dans leurs réseaux.
La mise à jour de Neuberger est le dernier développement en date d'une vaste opération de piratage informatique qui a alarmé les responsables de la sécurité nationale, exposé les vulnérabilités du secteur privé en matière de cybersécurité et mis à nu la sophistication de la Chine en matière de piratage informatique.
Les pirates ont compromis les réseaux d'entreprises de télécommunications pour obtenir des enregistrements d'appels de clients et accéder aux communications privées d'un « nombre limité d'individus ». Bien que le FBI n'ait pas identifié publiquement les victimes, les autorités pensent que de hauts fonctionnaires du gouvernement américain et des personnalités politiques de premier plan figurent parmi les personnes dont les communications ont été consultées.
Lacunes en matière de sécurité
Lors d'une conférence de presse organisée vendredi, elle a déclaré que les enquêtes en cours avaient mis au jour des failles fondamentales dans les pratiques de sécurité qui avaient permis les piratages précédents. Dans un cas, par exemple, les pirates ont obtenu les informations d'identification d'un seul compte administrateur qui avait accès à plus de 10 000 routeurs, a-t-elle déclaré.
« La réalité est que, d'après ce que nous voyons concernant le niveau de cybersécurité mis en œuvre dans le secteur des télécommunications, ces réseaux ne sont pas aussi défendables qu'ils devraient l'être pour se défendre contre un acteur cybernétique offensif bien pourvu en ressources et capable comme la Chine », a déclaré Neuberger.
Selon elle, la Maison Blanche ne peut pas encore affirmer avec certitude que les réseaux concernés ont éliminé les pirates de leurs systèmes.
Neuberger a indiqué que les autorités n'avaient pas encore une idée précise du nombre d'Américains touchés par Salt Typhoon, en partie parce que les Chinois ont été prudents dans leurs techniques, mais qu'un « grand nombre » se trouvaient dans la région de Washington-Virginie. Les autorités pensent que l'objectif des pirates était d'identifier les propriétaires des téléphones et, s'il s'agissait de « cibles d'intérêt pour le gouvernement », d'espionner leurs messages et leurs appels téléphoniques.
« Les pirates avaient pour objectif d'identifier les propriétaires de ces téléphones et de déterminer s'il s'agissait de cibles gouvernementales susceptibles de faire l'objet d'espionnage et de collecte de renseignements sur les communications », a-t-elle déclaré.
Le FBI a déclaré que la plupart des personnes ciblées par les pirates étaient « principalement impliquées dans des activités gouvernementales ou politiques ».
Neuberger a déclaré que cet épisode mettait en évidence la nécessité d'imposer des pratiques de cybersécurité dans le secteur des télécommunications, un sujet que la Commission fédérale des communications doit aborder lors d'une réunion qui se tiendra le mois prochain. « Nous savons que les pratiques volontaires en matière de cybersécurité ne suffisent pas à nous protéger contre le piratage de nos infrastructures critiques par la Chine, la Russie et l'Iran », a-t-elle déclaré.
Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour les technologies cybernétiques et émergentes, a déclaré aux journalistes lors d'un appel téléphonique que l'entreprise de télécommunications anonyme avait été ajoutée à la liste après que le gouvernement américain eut partagé des conseils sur la manière de détecter l'opération et de s'en défendre.
Espionnage politique
Les attaques auraient visé les téléphones d'hommes politiques de premier plan et d'autres personnes impliquées dans des activités politiques.
Neuberger a déclaré que la situation devrait être améliorée par le projet de règles de la FCC publié début décembre, qui obligerait les entreprises de télécommunications à renforcer leurs réseaux sous peine d'amendes.
Des règles similaires sont en vigueur en Australie depuis 2018 et au Royaume-Uni depuis 2022.
« Lorsque j'ai discuté avec nos collègues britanniques et que je leur ai demandé s'ils pensaient que leur réglementation aurait permis d'éviter l'attaque de Salt Typhoon, ils m'ont répondu "Nous l'aurions maîtrisé plus rapidement, [et] elle ne se serait pas propagée aussi largement, n'aurait pas eu autant d'impact et n'aurait pas été découverte aussi longtemps si ces réglementations avaient été en place », a déclaré Neuberger.
« C'est un message fort », a-t-elle continué.
Le gouvernement chinois a nié toute responsabilité dans ce piratage.
Interdiction des produits en provenance de Chine dans le réseau de télécommunications du pays
Ce mois-ci, le ministère du commerce a décidé d'interdire China Telecom et, selon Neuberger, des mesures similaires seront prises au cours du mois prochain.
Les autorités chinoises ont précédemment qualifié ces allégations de désinformation et déclaré que Pékin « s'oppose fermement aux cyberattaques et aux vols informatiques sous toutes leurs formes et les combat ».
Le sénateur Ben Ray Lujan, démocrate du Nouveau-Mexique, a qualifié Salt Typhoon de « plus grand piratage de télécommunications de l'histoire de notre pays » lors d'une audition le 11 décembre, tandis que le sénateur républicain du Texas Ted Cruz a déclaré que les États-Unis « doivent combler toutes les vulnérabilités des réseaux de communication ».
En 2022, la FCC a présenté de nouvelles règles qui interdisaient la vente et l'importation d'équipements de communication fabriqués par les entreprises chinoises Huawei et ZTE. La FCC a déclaré que l'utilisation de ces équipements par les entreprises américaines comportait des « risques inacceptables pour la sécurité nationale des États-Unis ». En outre, ces directives restreignaient l'utilisation de certains systèmes de vidéosurveillance fabriqués en Chine.
Le projet de loi annuel sur la politique de défense, signé par le président Joe Biden plus tôt ce mois-ci, alloue 3 milliards de dollars pour aider les entreprises de télécommunications à retirer et à remplacer les équipements non sécurisés en réponse aux récentes incursions de pirates informatiques liés à la Chine.
La loi d'autorisation de la défense nationale pour l'exercice 2025 définit la politique du Pentagone et les priorités du budget militaire pour l'année, et comprend également des mesures non liées à la défense qui ont été ajoutées lorsque le Congrès a terminé ses travaux en décembre. Le projet de dépenses de 895 milliards de dollars a été adopté par le Sénat et la Chambre des représentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrés à un programme de la Commission fédérale des communications, communément appelé « rip and replace », visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale.
Ce programme a été créé en 2020 pour mettre au rebut les équipements fabriqués par le géant des télécommunications Huawei. L'investissement initial s'élevait à 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient nécessaire pour éliminer la vulnérabilité potentielle.
Les appels à réalimenter le fonds se sont multipliés récemment à la suite de deux campagnes de piratage menées par la Chine, baptisées Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont inséré des codes malveillants dans des infrastructures américaines et se sont introduits dans au moins neuf entreprises de télécommunications.
Les portes dérobées sous le feu des projecteurs
Un autre « vecteur » de l'attaque, selon les représentants du gouvernement, était l'interface par laquelle les organismes chargés de l'application de la loi demandent des écoutes téléphoniques aux entreprises de télécommunications en vertu de la loi de 1994 sur l'assistance à l'application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).
En fait, le système CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes soupçonnées par le FBI.
Les défenseurs de la vie privée l'avaient prédit depuis longtemps. Dans un billet de blog publié le mois dernier, Susan Landau, experte en chiffrement, a déclaré que la CALEA était depuis longtemps un « désastre pour la sécurité nationale ».
« Si vous construisez un système de manière à ce qu'il soit facile à pénétrer, les gens le feront - les bons comme les mauvais. C'est la conséquence inévitable de la CALEA, une conséquence dont nous avions prévenu qu'elle se produirait - et c'est ce qui s'est passé », a-t-elle déclaré.
Le FBI a réfuté l'idée que la CALEA était le seul « vecteur » des pirates informatiques chinois
Il a également rejeté la morale plus large tirée par les défenseurs de la vie privée, à savoir que seules les communications entièrement chiffrées de bout en bout sont sécurisées.
Les communications chiffrées de bout en bout garantissent qu'un message écrit ou un appel vocal est protégé du moment où il quitte votre appareil jusqu'au moment où il arrive à destination, en veillant à ce que seuls l'expéditeur et le destinataire puissent déchiffrer les messages, qui sont illisibles pour tout tiers - qu'il s'agisse d'un pirate informatique chinois ou du FBI.
Ce type de chiffrement ne protège pas les communications si le tiers a accès à l'un des terminaux de communication, tel qu'un téléphone ou un ordinateur portable. Les pirates informatiques peuvent toujours installer des logiciels espions sur les téléphones, et le FBI, comme le soulignent depuis longtemps les défenseurs des libertés civiles, peut toujours fouiller les téléphones par le biais de diverses méthodes, mais au cas par cas.
Ces dernières années, de grandes entreprises technologiques telles qu'Apple ont adopté le chiffrement de bout en bout, au grand dam des forces de l'ordre. Les autorités fédérales se plaignent vivement du fait que les criminels les laissent dans l'ombre en utilisant le même voile de chiffrement que celui qui protège les gens ordinaires des escrocs, des pirates et des oreilles indiscrètes.
Le FBI et d'autres agences ont longtemps soutenu qu'il existait un moyen de leur donner un accès spécial aux communications sans faciliter la tâche des pirates et des espions. Les experts en sécurité affirment que cette idée est une foutaise. Qu'il s'agisse d'une porte dérobée, d'une « clé d'or » ou de toute autre chose, ces experts affirment que cela ne peut pas fonctionner.
Dans les conseils qu'ils ont donnés au public, les fonctionnaires fédéraux ont fermement approuvé le chiffrement.
« Le chiffrement est votre ami, qu'il s'agisse de la messagerie texte ou de la capacité à utiliser des communications vocales chiffrées », a déclaré Jeff Greene, directeur adjoint pour la cybersécurité à l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency).
Cependant, il est intéressant de noter qu'un représentant du FBI, lors du même appel, est revenu sur l'idée d'un chiffrement « géré de manière responsable ». Selon le FBI, ce chiffrement serait « conçu pour protéger la vie privée des gens et géré de manière à ce que les entreprises technologiques américaines puissent fournir un contenu lisible en réponse à une décision de justice légitime ».
D'un point de vue pratique, on ne sait pas exactement quels programmes, s'il y en a, le FBI a à l'esprit lorsqu'il appelle les gens à utiliser un chiffrement « géré de manière responsable ».
Sean Vitka, directeur politique du groupe progressiste Demand Progress, a déclaré que le piratage a une fois de plus fourni la preuve accablante que les portes dérobées du gouvernement ne peuvent pas être sécurisées. « Si le FBI n'est pas en mesure de sécuriser son système d'écoutes téléphoniques, il ne peut absolument pas sécuriser le passe-partout de tous les téléphones Apple », a déclaré Vitka.
Source : Anne Neuberger
Et vous ?
Les infrastructures télécoms actuelles sont-elles suffisamment sécurisées pour faire face à des menaces aussi sophistiquées ? Quelles technologies ou approches pourraient prévenir des intrusions de ce type à l’avenir ? Qui porte la responsabilité de ces failles : les gouvernements, les entreprises technologiques ou les opérateurs télécoms ? 
Envoyé par Stéphane le calme
