Un rapport du département américain de la Défense (DOD) révèle que le groupe de cyberespionnage Salt Typhoon a pénétré dans le réseau de la Garde nationale d'un État américain. L'intrusion a duré neuf mois, ce qui a permis au groupe d'accéder à des données militaires et policières sensibles. Un ancien membre de la garde nationale a averti : « à l'avenir, toutes les forces armées américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés ». Salt Typhoon illustre les risques liés aux portes dérobées intégrées volontairement aux systèmes chiffrés et démontre pourquoi elles ne doivent jamais être autorisées.Salt Typhoon est un acteur de menace persistante avancé. Les experts en cybersécurité occidentaux soupçonnent le groupe d'être dirigé par le ministère chinois de la Sécurité d'État (MSS). Salt Typhoon se spécialise dans l'espionnage informatique, en particulier contre des cibles aux États-Unis, comme : des agences gouvernementales, des infrastructures critiques (réseaux électriques, transports...), des entités militaires, des entreprises technologiques, etc.
Il a mené des attaques d'envergure contre les États-Unis. Ces dernières années, Salt Typhoon a infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et des politiciens comme Donald Trump et Kamala Harris.
Un nouveau rapport du département américain de la Défense (DOD) révèle que le groupe a piraté de manière approfondie le réseau de la Garde nationale d'un État américain non nommé entre mars et décembre 2024. Selon le rapport, les pirates de Salt Typhoon ont collecté la configuration du réseau compromis et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et dans au moins quatre territoires américains.
Les données collectées comprenaient également les identifiants des administrateurs de ces réseaux et les schémas des réseaux, qui pourraient être utilisés pour faciliter les piratages ultérieurs de ces unités par Salt Typhoon. Le rapport, publié le 11 juin 2025, a été obtenu Property of the People, une organisation à but non lucratif œuvrant pour la transparence en matière de sécurité nationale, en vertu de la législation américaine sur la liberté d'information.
Les spécialistes mettent en garde contre les risques liés à cette intrusion
Le rapport indique que Salt Typhoon a déjà utilisé des fichiers de configuration de réseau exfiltrés pour « permettre une cyberintrusion ailleurs ». En effet, entre janvier 2023 et mars 2024, il a volé 1 462 fichiers de configuration associés à 70 identités du gouvernement américain et de CNI (Critical National Infrastructure) couvrant 12 secteurs. Il s'agit d'organisations actives dans les domaines de l'énergie, des communications, des transports et des eaux usées.
Le rapport indique que « le succès de Salt Typhoon dans la compromission des réseaux de la Garde nationale de l'armée à l'échelle nationale pourrait compromettre les efforts locaux en matière de cybersécurité visant à protéger les infrastructures critiques », en partie parce que « ces unités sont souvent intégrées aux centres de fusion des États chargés de partager les informations sur les menaces, y compris les cybermenaces ». Le risque est donc énorme.
« La compromission de la Garde nationale américaine par Salt Typhoon pourrait constituer une menace sérieuse pour de nombreux systèmes du ministère américain de la Défense. À l'avenir, toutes les forces américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés », a déclaré Gary Barlet, ancien membre de la Garde nationale aérienne et ancien directeur des systèmes d'information du service postal américain.
Gary Barlet est aujourd'hui directeur technique du secteur public chez Illumino, une entreprise spécialisée dans la sécurité les centres de données et du cloud computing. Le ministère américain de la Défense n'a pas donné des détails exacts concernant l'unité de la Garde nationale touchée par cette attaque.
Enjeux stratégiques à long terme associés aux attaques de Salt Typhoon
La manière dont la violation s'est produite n'a pas été évoquée, mais le rapport a souligné que Salt Typhoon est connu pour exploiter les vulnérabilités existantes (CVE) des routeurs Cisco et du matériel similaire. Selon certains experts militaires, l'objectif de cette intrusion était probablement d'être présent à l'intérieur des réseaux militaires au cas où les tensions entre les États-Unis et la Chine au sujet de Taïwan dégénéreraient en une guerre ouverte.
Cela permettrait alors au groupe de perturber les réseaux et de voler des renseignements clés. Salt...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Ryu2000
