Un rapport du département américain de la Défense (DOD) révèle que le groupe de cyberespionnage Salt Typhoon a pénétré dans le réseau de la Garde nationale d'un État américain. L'intrusion a duré neuf mois, ce qui a permis au groupe d'accéder à des données militaires et policières sensibles. Un ancien membre de la garde nationale a averti : « à l'avenir, toutes les forces armées américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés ». Salt Typhoon illustre les risques liés aux portes dérobées intégrées volontairement aux systèmes chiffrés et démontre pourquoi elles ne doivent jamais être autorisées.Salt Typhoon est un acteur de menace persistante avancé. Les experts en cybersécurité occidentaux soupçonnent le groupe d'être dirigé par le ministère chinois de la Sécurité d'État (MSS). Salt Typhoon se spécialise dans l'espionnage informatique, en particulier contre des cibles aux États-Unis, comme : des agences gouvernementales, des infrastructures critiques (réseaux électriques, transports...), des entités militaires, des entreprises technologiques, etc.
Il a mené des attaques d'envergure contre les États-Unis. Ces dernières années, Salt Typhoon a infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et des politiciens comme Donald Trump et Kamala Harris.
Un nouveau rapport du département américain de la Défense (DOD) révèle que le groupe a piraté de manière approfondie le réseau de la Garde nationale d'un État américain non nommé entre mars et décembre 2024. Selon le rapport, les pirates de Salt Typhoon ont collecté la configuration du réseau compromis et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et dans au moins quatre territoires américains.
Les données collectées comprenaient également les identifiants des administrateurs de ces réseaux et les schémas des réseaux, qui pourraient être utilisés pour faciliter les piratages ultérieurs de ces unités par Salt Typhoon. Le rapport, publié le 11 juin 2025, a été obtenu Property of the People, une organisation à but non lucratif œuvrant pour la transparence en matière de sécurité nationale, en vertu de la législation américaine sur la liberté d'information.
Les spécialistes mettent en garde contre les risques liés à cette intrusion
Le rapport indique que Salt Typhoon a déjà utilisé des fichiers de configuration de réseau exfiltrés pour « permettre une cyberintrusion ailleurs ». En effet, entre janvier 2023 et mars 2024, il a volé 1 462 fichiers de configuration associés à 70 identités du gouvernement américain et de CNI (Critical National Infrastructure) couvrant 12 secteurs. Il s'agit d'organisations actives dans les domaines de l'énergie, des communications, des transports et des eaux usées.
Le rapport indique que « le succès de Salt Typhoon dans la compromission des réseaux de la Garde nationale de l'armée à l'échelle nationale pourrait compromettre les efforts locaux en matière de cybersécurité visant à protéger les infrastructures critiques », en partie parce que « ces unités sont souvent intégrées aux centres de fusion des États chargés de partager les informations sur les menaces, y compris les cybermenaces ». Le risque est donc énorme.
« La compromission de la Garde nationale américaine par Salt Typhoon pourrait constituer une menace sérieuse pour de nombreux systèmes du ministère américain de la Défense. À l'avenir, toutes les forces américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés », a déclaré Gary Barlet, ancien membre de la Garde nationale aérienne et ancien directeur des systèmes d'information du service postal américain.
Gary Barlet est aujourd'hui directeur technique du secteur public chez Illumino, une entreprise spécialisée dans la sécurité les centres de données et du cloud computing. Le ministère américain de la Défense n'a pas donné des détails exacts concernant l'unité de la Garde nationale touchée par cette attaque.
Enjeux stratégiques à long terme associés aux attaques de Salt Typhoon
La manière dont la violation s'est produite n'a pas été évoquée, mais le rapport a souligné que Salt Typhoon est connu pour exploiter les vulnérabilités existantes (CVE) des routeurs Cisco et du matériel similaire. Selon certains experts militaires, l'objectif de cette intrusion était probablement d'être présent à l'intérieur des réseaux militaires au cas où les tensions entre les États-Unis et la Chine au sujet de Taïwan dégénéreraient en une guerre ouverte.
Cela permettrait alors au groupe de perturber les réseaux et de voler des renseignements clés. Salt Typhoon fait souvent la une des médias, avec des attaques récentes contre les géants des télécoms AT&T, Verizon, Lumen, Charter, Windstream et Viasat, pour n'en citer que quelques-unes, abusant souvent de routeurs Cisco non patchés pour obtenir l'accès, avant de déployer des logiciels malveillants personnalisés tels que JumblePath et GhostSpider.
Ensar Seker, responsable de la sécurité des systèmes d'information chez SOCRadar, une entreprise américaine spécialisée dans le renseignement sur les menaces, s'est dit très préoccupé par la durée pendant laquelle Salt Typhoon est resté non détecté dans les systèmes critiques de la Garde nationale.
Envoyé par Ensar Seker
La révélation selon laquelle Salt Typhoon a conservé l'accès au réseau de la Garde nationale américaine pendant près d'un an constitue une grave escalade dans le domaine cybernétique. Cela soulève des questions sur les lacunes en matière de visibilité, les politiques de segmentation et les capacités de détection dans les réseaux de défense hybrides fédéraux-étatiques. Cela nous rappelle une fois de plus que les acteurs malveillants avancés et persistants tels que Salt Typhoon ne ciblent pas seulement les agences fédérales, mais aussi les composantes au niveau des États, où la posture de sécurité peut être plus variée.
En décembre de l'année dernière, des responsables de la Maison Blanche ont averti que la campagne qui a visé les sociétés de télécommunications américaines avait permis au groupe d'accéder à des conversations privées de personnalités politiques américaines « très haut placées » et de les enregistrer.
L'approche de l'administration Trump en matière de sécurité est critiquée
L'administration Trump a démantelé systématiquement de nombreux organes consultatifs essentiels en matière de cybersécurité. En particulier, le Cyber Safety Review Board (CSRB), créé sous l'administration Biden pour enquêter sur les incidents cybernétiques majeurs, a été dissous en mettant fin aux fonctions de tous ses membres. Cette décision a interrompu les enquêtes sur les cyberattaques importantes, notamment les piratages chinois Salt Typhoon.
Les attaques du groupe Salt Typhoon visaient également Donald Trump et le vice-président JD Vance, mais pour une raison ou une autre, ils ne semblent pas s'en inquiéter. Qui devrait donc être chargé de protéger les ressources cybernétiques des États-Unis ? Les États et les collectivités locales.
Donald Trump a transféré la responsabilité de la défense cybernétique aux États et aux particuliers, une décision que les experts jugent irréaliste et dangereuse. Les programmes et subventions fédéraux en matière de cybersécurité ont été vidés de leur substance, tandis que les systèmes sensibles ont été exposés à des menaces internes. Les experts ont averti que ce sabotage délibéré pourrait conduire à des cyberattaques dévastatrices affectant les États-Unis.
Un des points centraux soulignés par les analystes est la mise en péril de la base de données des vulnérabilités communes (Common...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
