Il a été confirmé qu'une neuvième entreprise de télécommunications américaine a été piratée dans le cadre d'une vaste campagne d'espionnage chinoise qui a permis à des fonctionnaires de Pékin d'avoir accès à des textes et conversations téléphoniques privés d'un nombre indéterminé d'Américains, a déclaré vendredi un haut responsable de la Maison Blanche. Des responsables de l'administration Biden ont déclaré ce mois-ci qu'au moins huit entreprises de télécommunications, ainsi que des dizaines de pays, avaient été touchés par la campagne de piratage chinoise connue sous le nom de Salt Typhoon.Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies cybernétiques et émergentes, a toutefois déclaré vendredi à la presse qu'une neuvième victime avait été identifiée après que l'administration a donné des conseils aux entreprises sur la manière de traquer les coupables chinois dans leurs réseaux.
La mise à jour de Neuberger est le dernier développement en date d'une vaste opération de piratage informatique qui a alarmé les responsables de la sécurité nationale, exposé les vulnérabilités du secteur privé en matière de cybersécurité et mis à nu la sophistication de la Chine en matière de piratage informatique.
Les pirates ont compromis les réseaux d'entreprises de télécommunications pour obtenir des enregistrements d'appels de clients et accéder aux communications privées d'un « nombre limité d'individus ». Bien que le FBI n'ait pas identifié publiquement les victimes, les autorités pensent que de hauts fonctionnaires du gouvernement américain et des personnalités politiques de premier plan figurent parmi les personnes dont les communications ont été consultées.
Lacunes en matière de sécurité
Lors d'une conférence de presse organisée vendredi, elle a déclaré que les enquêtes en cours avaient mis au jour des failles fondamentales dans les pratiques de sécurité qui avaient permis les piratages précédents. Dans un cas, par exemple, les pirates ont obtenu les informations d'identification d'un seul compte administrateur qui avait accès à plus de 10 000 routeurs, a-t-elle déclaré.
« La réalité est que, d'après ce que nous voyons concernant le niveau de cybersécurité mis en œuvre dans le secteur des télécommunications, ces réseaux ne sont pas aussi défendables qu'ils devraient l'être pour se défendre contre un acteur cybernétique offensif bien pourvu en ressources et capable comme la Chine », a déclaré Neuberger.
Selon elle, la Maison Blanche ne peut pas encore affirmer avec certitude que les réseaux concernés ont éliminé les pirates de leurs systèmes.
Neuberger a indiqué que les autorités n'avaient pas encore une idée précise du nombre d'Américains touchés par Salt Typhoon, en partie parce que les Chinois ont été prudents dans leurs techniques, mais qu'un « grand nombre » se trouvaient dans la région de Washington-Virginie. Les autorités pensent que l'objectif des pirates était d'identifier les propriétaires des téléphones et, s'il s'agissait de « cibles d'intérêt pour le gouvernement », d'espionner leurs messages et leurs appels téléphoniques.
« Les pirates avaient pour objectif d'identifier les propriétaires de ces téléphones et de déterminer s'il s'agissait de cibles gouvernementales susceptibles de faire l'objet d'espionnage et de collecte de renseignements sur les communications », a-t-elle déclaré.
Le FBI a déclaré que la plupart des personnes ciblées par les pirates étaient « principalement impliquées dans des activités gouvernementales ou politiques ».
Neuberger a déclaré que cet épisode mettait en évidence la nécessité d'imposer des pratiques de cybersécurité dans le secteur des télécommunications, un sujet que la Commission fédérale des communications doit aborder lors d'une réunion qui se tiendra le mois prochain. « Nous savons que les pratiques volontaires en matière de cybersécurité ne suffisent pas à nous protéger contre le piratage de nos infrastructures critiques par la Chine, la Russie et l'Iran », a-t-elle déclaré.
Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour les technologies cybernétiques et émergentes, a déclaré aux journalistes lors d'un appel téléphonique que l'entreprise de télécommunications anonyme avait été ajoutée à la liste après que le gouvernement américain eut partagé des conseils sur la manière de détecter l'opération et de s'en défendre.
Espionnage politique
Les attaques auraient visé les téléphones d'hommes politiques de premier plan et d'autres personnes impliquées dans des activités politiques.
Neuberger a déclaré que la situation devrait être améliorée par le projet de règles de la FCC publié début décembre, qui obligerait les entreprises de télécommunications à renforcer leurs réseaux sous peine d'amendes.
Des règles similaires sont en vigueur en Australie depuis 2018 et au Royaume-Uni depuis 2022.
« Lorsque j'ai discuté avec nos collègues britanniques et que je leur ai demandé s'ils pensaient que leur réglementation aurait permis d'éviter l'attaque de Salt Typhoon, ils m'ont répondu "Nous l'aurions maîtrisé plus rapidement, [et] elle ne se serait pas propagée aussi largement, n'aurait pas eu autant d'impact et n'aurait pas été découverte aussi longtemps si ces réglementations avaient été en place », a déclaré Neuberger.
« C'est un message fort », a-t-elle continué.
Le gouvernement chinois a nié toute responsabilité dans ce piratage.
Interdiction des produits en provenance de Chine dans le réseau de télécommunications du pays
Ce mois-ci, le ministère du commerce a décidé d'interdire China Telecom et, selon Neuberger, des mesures similaires seront prises au cours du mois prochain.
Les autorités chinoises ont précédemment qualifié ces allégations de désinformation et déclaré que Pékin « s'oppose fermement aux cyberattaques et aux vols informatiques sous toutes leurs formes et les combat ».
Le sénateur Ben Ray Lujan, démocrate du Nouveau-Mexique, a qualifié Salt Typhoon de « plus grand piratage de télécommunications de l'histoire de notre pays » lors d'une audition le 11 décembre, tandis que le sénateur républicain du Texas Ted Cruz a déclaré que les États-Unis « doivent combler toutes les vulnérabilités des réseaux de communication ».
En 2022, la FCC a présenté de nouvelles règles qui interdisaient la vente et l'importation d'équipements de communication fabriqués par les entreprises chinoises Huawei et ZTE. La FCC a déclaré que l'utilisation de ces équipements par les entreprises américaines comportait des « risques inacceptables pour la sécurité nationale des États-Unis ». En outre, ces directives restreignaient l'utilisation de certains systèmes de vidéosurveillance fabriqués en Chine.
Le projet de loi annuel sur la politique de défense, signé par le président Joe Biden plus tôt ce mois-ci, alloue 3 milliards de dollars pour aider les entreprises de télécommunications à retirer et à remplacer les équipements non sécurisés en réponse aux récentes incursions de pirates informatiques liés à la Chine.
La loi d'autorisation de la défense nationale pour l'exercice 2025 définit la politique du Pentagone et les priorités du budget militaire pour l'année, et comprend également des mesures non liées à la défense qui ont été ajoutées lorsque le Congrès a terminé ses travaux en décembre. Le projet de dépenses de 895 milliards de dollars a été adopté par le Sénat et la Chambre des représentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrés à un programme de la Commission fédérale des communications, communément appelé « rip and replace », visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale.
Ce programme a été créé en 2020 pour mettre au rebut les équipements fabriqués par le géant des télécommunications Huawei. L'investissement initial s'élevait à 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient nécessaire pour éliminer la vulnérabilité potentielle.
Les appels à réalimenter le fonds se sont multipliés récemment à la suite de deux campagnes de piratage menées par la Chine, baptisées Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont inséré des codes malveillants dans des infrastructures américaines et se sont introduits dans au moins neuf entreprises de télécommunications.
Les portes dérobées sous le feu des projecteurs
Un autre « vecteur » de l'attaque, selon les représentants du gouvernement, était l'interface par laquelle les organismes chargés de l'application de la loi demandent des écoutes téléphoniques aux entreprises de télécommunications en vertu de la loi de 1994 sur l'assistance à l'application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).
En fait, le système CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes soupçonnées par le FBI.
Les défenseurs de la vie privée l'avaient prédit depuis longtemps. Dans un billet de blog publié le mois dernier, Susan Landau, experte en chiffrement, a déclaré que la CALEA était depuis longtemps un « d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Gluups
