Des attaquants chinois ont infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et même des politiciens comme Trump et Harris. Le FBI a détecté cette attaque par Salt Typhoon il y a plusieurs mois, mais n’a toujours pas réussi à faire sortir les attaquants des systèmes. Aujourd’hui, l’agence américaine de cyberdéfense (CISA) appelle tout le monde à utiliser le chiffrement de bout en bout. Un argument de plus pour indiquer que les portes dérobées dans les systèmes chiffrés ne doivent jamais être autorisées.
Un accès sans précédent aux communications américaines
Les États-Unis sont aux prises avec ce qui est décrit comme le pire piratage de télécommunications de lhistoire du pays, attribué à des attaquants chinois parrainés par lÉtat, Salt Typhoon.
Salt Typhoon a réussi à pénétrer au cur des infrastructures télécoms américaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accès direct à des millions dappels, de messages, et de-mails. Cette intrusion permet une surveillance à grande échelle de citoyens, dentreprises et de responsables gouvernementaux. En exploitant des vulnérabilités dans des systèmes dencryptage prétendument sécurisés, les hackers ont démontré que les failles intentionnelles souvent imposées pour des raisons de surveillance étatique peuvent se retourner contre leurs propres instigateurs. En raison de lampleur de la brèche, il a été extrêmement difficile déradiquer les attaquants des systèmes compromis.
Les autorités américaines et les experts en cybersécurité sont alarmés par lampleur de lattaque. Linfiltration de Salt Typhoon dépasse de loin les capacités des cyberattaques traditionnelles, ciblant des points névralgiques rarement exposés à des menaces externes.
Selon les experts en cybersécurité, les attaquants ont déployé des outils sophistiqués, notamment un rootkit du noyau Windows appelé Demodex, pour obtenir et conserver laccès à ces réseaux. Leur infiltration leur a permis non seulement découter les conversations, mais aussi dextraire le trafic Internet général et dautres données sensibles. « Étant donné létat de la détection, il nous est impossible de prédire quand nous parviendrons à chasser complètement les attaquants de ces réseaux », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA, lors dune conférence de presse.
Dans un avertissement publié cette semaine, les autorités américaines ont admis quelles navaient pas été en mesure dexpulser complètement les pirates informatiques parrainés par lÉtat chinois des réseaux des principaux fournisseurs de services de télécommunications et dinternet. Alors que la brèche continue de compromettre des communications sensibles, les autorités ont exhorté les utilisateurs concernés à passer à des services de messagerie et dappels vocaux cryptés.
Lobsolescence des infrastructures des réseaux de télécommunications des USA est citée comme lune des causes de ce piratage
Des rapports font état de ce que certaines sections des réseaux de télécommunications américains datent des années 1970 à 1980 période à laquelle les lignes terrestres dominaient le réseau. Les observateurs suggèrent de changer lesdites parties de réseau un processus dans lequel les entreprises de la filière des télécommunications ont été lentes à investir.
Comme indiqué par la NSA, les attaquants chinois ont ciblé des services exposés et vulnérables, des appareils non patchés et des environnements généralement insuffisamment sécurisés. L’avis commun, publié en partenariat avec le FBI, la NSA et des partenaires internationaux, comprend des conseils sur le renforcement des appareils et de la sécurité du réseau afin de réduire la surface d’attaque exploitée par ces acteurs de la menace. Il comprend également des mesures défensives visant à améliorer la visibilité des administrateurs de systèmes et des ingénieurs qui gèrent l’infrastructure de communication, afin d’obtenir une vision plus détaillée du trafic réseau, du flux de données et des activités des utilisateurs.
Lavis cite entre autres la mise à jour des appareils non utilisés, la désactivation des protocoles non chiffrés, lutilisation de mots de passe forts. Il est également conseillé aux administrateurs réseau de configurer leurs systèmes de manière à enregistrer tous les changements de configuration et toutes les connexions de gestion, et de lancer des alertes en cas de changements inattendus, afin d’améliorer la visibilité des dispositifs périphériques au niveau des périmètres du réseau
« Les entreprises privées de télécommunications qui choisissent de ne pas investir dans les infrastructures posent un problème de sécurité nationale », s’insurge Kyle Chan, un chercheur postdoctoral à Princeton. « La cyberinfiltration chinoise Salt Typhoon a choqué non seulement par sa sophistication, mais aussi parce qu’elle a révélé des problèmes plus profonds dans l’infrastructure vieillissante des États-Unis ».
Private telecom companies choosing not to invest in infrastructure is a national security problem.
Chinas Salt Typhoon cyber infiltration was shocking not just because of its sophistication but also because it revealed deeper problems with Americas aging infrastructure. pic.twitter.com/1knjqJs7yz
— Kyle Chan (@kyleichan) November 23, 2024
« Une faille catastrophique »
Mark Warner, président démocrate de la commission sénatoriale du renseignement, a décrit lattaque comme « le plus grand piratage de télécommunications de lhistoire des États-Unis, et de loin ».
Sadressant au Washington Post, Warner a souligné que cette intrusion éclipse les cyberattaques précédentes, comme celles de Colonial Pipeline ou de SolarWinds. Il a fait remarquer que pour éliminer les attaquants, il faudrait remplacer des milliers, voire des dizaines de milliers, dappareils obsolètes tels que des commutateurs et des routeurs, ce qui représente un énorme défi logistique et financier. Cest pourquoi les attaquants chinois sont toujours en mesure de surveiller les communications.
Lattaque, attribuée aux groupes connus sous les noms de Salt Typhoon, GhostEmperor ou FamousSparrow, a été détectée il y a plus dun mois, mais on pense quelle a commencé il y a plus dun an. Son objectif principal semble être la collecte de renseignements.
Des cibles à fort enjeu
Les attaquants ont réussi à intercepter des conversations téléphoniques en temps réel, y compris celles de personnes très en vue telles que Donald Trump, J.D. Vance et des membres du personnel de lactuelle vice-présidente Kamala Harris. Bien quil ny ait pas de preuve directe reliant la faille à lélection présidentielle américaine de 2024, les implications sont graves. Warner a révélé que le FBI a jusquà présent identifié moins de 150 personnes comme victimes, mais que ces personnes ont été en contact avec « des millions », ce qui laisse supposer que lampleur de la violation pourrait saccroître considérablement.
En outre, les attaquants ont accédé à des systèmes utilisés par les services de police américains à des fins de surveillance. Cela signifie quils pourraient potentiellement apprendre qui fait lobjet dune enquête, bien quaucune preuve nait encore été apportée quils ont accédé aux données de surveillance enregistrées.
Le risque des backdoors dans lencryptage
Cette attaque relance un débat fondamental sur lutilisation des backdoors, ces accès intentionnels insérés dans les systèmes de sécurité pour permettre aux gouvernements de surveiller des activités suspectes. Les critiques de ces pratiques affirment depuis longtemps quelles ouvrent la porte à des abus et à des violations massives de la vie privée. Salt Typhoon semble avoir prouvé ce point de manière spectaculaire, en utilisant ces mêmes failles pour accéder aux réseaux critiques.
« Ce type dattaque montre que les backdoors, loin de renforcer la sécurité, créent des vulnérabilités exploitables par les adversaires les plus sophistiqués », déclare un analyste en cybersécurité.
Implications géopolitiques et technologiques
Lincident survient dans un contexte de tensions croissantes entre les États-Unis et la Chine, où la cybersécurité est devenue une nouvelle arène de compétition stratégique. Les experts estiment que laccès obtenu par Salt Typhoon pourrait avoir permis la collecte massive de renseignements économiques et politiques, menaçant ainsi la souveraineté nationale des États-Unis.
Cet épisode souligne également les défis auxquels les entreprises technologiques sont confrontées. Si la pression des gouvernements pour intégrer des mécanismes de surveillance se poursuit, cela risque dexacerber les failles systémiques dans les infrastructures critiques.
Les États-Unis renforcent leur lutte contre les menaces chinoises en cybersécurité
En 2020, les autorités américaines ont affirmé disposer de preuves que Huawei utilisait son matériel pour espionner les réseaux de télécommunications à travers le monde, partageant ces informations avec le Royaume-Uni et lAllemagne.
Un rapport récent du Wall Street Journal a révélé que des responsables américains, autrefois discrets sur les preuves contre Huawei, accusent désormais la firme dinstaller des portes dérobées dans les réseaux quelle équipe. « Nous avons des preuves que Huawei peut accéder secrètement à des informations sensibles et personnelles via les systèmes quelle vend et entretient », a déclaré Robert OBrien, conseiller à la sécurité nationale.
En théorie, les fabricants déquipements télécoms sont censés inclure des dispositifs permettant aux autorités daccéder aux réseaux à des fins légales, tout en empêchant le fabricant lui-même den avoir un accès direct sans laccord des opérateurs. Toutefois, Washington accuse Huawei davoir violé ces règles en vigueur dans de nombreux pays.
En 2023, des chercheurs de Trend Micro ont découvert que des hackers chinois exploitaient une porte dérobée sous Linux pour espionner des gouvernements étrangers. Le groupe, Earth Lusca, aurait ciblé des organisations gouvernementales et des entreprises technologiques en Asie, dans les Balkans et ailleurs. Selon Trend Micro, cette porte dérobée serait une variante dun logiciel malveillant nommé Trochilus, initialement conçu pour Windows.
Trochilus, conçu pour fonctionner en mémoire sans laisser de traces sur les disques, compliquait sa détection. Il aurait été développé par APT10, un groupe de hackers lié au gouvernement chinois, et utilisé dans des campagnes avec un autre malware appelé RedLeaves. Les préoccupations concernant lespionnage chinois sétendent également aux réseaux sociaux, avec TikTok souvent cité comme un outil potentiel. Un sondage Reuters/Ipsos montre que la moitié des adultes américains soutiennent une interdiction nationale de lapplication, quils soupçonnent dêtre exploitée par Pékin pour surveiller les utilisateurs et diffuser de la propagande.
Face à ces préoccupations, le président Biden a promulgué en avril 2024 la loi Protecting Americans Data From Foreign Adversaries Act, obligeant ByteDance à céder TikTok sous neuf mois ou risquer une interdiction complète aux États-Unis. TikTok a pourtant nié tout partage de données avec le gouvernement chinois, son PDG ayant affirmé devant le Congrès que lentreprise ne répond pas aux demandes de censure de Pékin.
Vers une prise de conscience mondiale ?
Lattaque Salt Typhoon pourrait marquer un tournant dans la manière dont les États et les entreprises envisagent la cybersécurité. Il devient urgent de repenser les stratégies de protection, en privilégiant des systèmes de chiffrement sans compromis et en renforçant la résilience des réseaux critiques.
Pour les citoyens, cette affaire met en lumière une vérité inconfortable : aucune communication numérique nest totalement sécurisée dans un monde où les intérêts stratégiques et les failles technologiques cohabitent dangereusement. Le défi est désormais de trouver un équilibre entre sécurité nationale, innovation technologique et respect des libertés individuelles.
Le pire piratage informatique de l’histoire des États-Unis rappelle à tous une leçon cruciale : dans la course à la cybersécurité, les failles ne pardonnent pas.
Source : CISA
Et vous ?
Les backdoors sont-elles compatibles avec une cybersécurité solide ou sont-elles un risque systématique inévitable ?
Est-il encore pertinent pour les gouvernements dexiger des failles intentionnelles dans lencryptage, sachant quelles peuvent être exploitées par des hackers ?
Les entreprises technologiques devraient-elles avoir le droit de refuser de créer des backdoors, même sous la pression des gouvernements ?