La Chine aurait espionné les États-Unis en utilisant des portes dérobées mises en place pour les écoutes téléphoniques et la surveillance numérique (légales), rapporte le Wall Street Journal : un épisode qui sonne comme un avertissement pour les opposants au projet européen de règlement CSAR, une loi européenne en discussion qui prévoit d’imposer aux messageries chiffrées de telles portes dérobées.
« Des intrusions historiquement significatives et inquiétantes », « une faille de sécurité potentiellement catastrophique » : des hackers liés à la Chine auraient utilisé les systèmes légaux d’écoute téléphonique ou de surveillance numérique pour ponctionner de très nombreuses informations, en toute discrétion. L’interception aurait duré des mois, voire plus longtemps, dévoile le Wall Street Journal, samedi 5 octobre.
Lorsque la « sécurité nationale » est en jeu, les entreprises télécom ont l’obligation, aux États-Unis, d’intercepter des informations, sur décision de justice ou à la demande des autorités. Nos confrères ne décrivent pas quels moyens sont utilisés pour capter ces informations comme des conversations écrites ou orales, ou de données de connexion Internet. Selon le Wall Street Journal qui se base sur des personnes au fait du dossier, les pirates pourraient avoir eu accès pendant des mois, voire plus longtemps, à des infrastructures de réseau utilisées dans le cadre légal. Une enquête active serait en cours, les analystes cherchant à estimer dans quelle mesure le groupe de hackers a exfiltré une partie des données.
À lire aussi : l’IA de Microsoft pourrait bientôt écouter vos appels téléphoniques
La Chine déclare être fermement opposée aux cyberattaques et aux vols informatiques
Les enquêteurs chercheraient à savoir si les pirates ont aussi eu accès aux routeurs de Cisco Systems, des composants essentiels du réseau qui acheminent une grande partie du trafic Internet. Les réseaux de Verizon Communications, AT&T et Lumen Technologies seraient concernés par l’intrusion, détaillent nos confrères. À l’origine de cette interception : Salt Typhoon, un groupe de pirates chinois actif depuis 2020, qui aurait réussi à collecter de nombreuses informations auprès de fournisseurs d’accès à Internet. Ces derniers comptent parmi leurs clients des entreprises ainsi que des millions d’Américains, détaille le Wall Street Journal.
Selon une personne au fait de l’attaque, citée par nos confrères, le gouvernement américain considérait ces intrusions comme « historiquement significatives et inquiétantes ». La Chine, dans un communiqué, a précisé qu’elle s’opposait fermement aux cyberattaques et aux vols informatiques sous toutes leurs formes.
En Europe, l’épisode doit sonner comme un avertissement, estiment les défenseurs de la vie privée
Pour les défenseurs du droit à la vie privée en Europe, cet épisode doit sonner comme un avertissement. Meredith Whittaker, à la tête de la messagerie chiffrée Signal, explique sur X qu’il « est impossible de construire une porte dérobée que seuls les “gentils” peuvent utiliser. Lorsque l’ensemble de la communauté tech affirme que la législation européenne sur le « Chat Control » (le contrôle des conversations, NDLR) de l’UE et d’autres mesures similaires constituent de graves menaces pour la cybersécurité, il ne s’agit pas d’une exagération ».
Case in point: there’s no way to build a backdoor that only the « good guys » can use.
When the entire technical community says that the EU’s ChatControl legislation + similar pose serious cybersecurity threats, we’re not exaggerating for effect. https://t.co/Ds1YizKRoM
— Meredith Whittaker (@mer__edith) October 6, 2024
En Europe, un projet de règlement, appelé « Chat control » par ses détracteurs, prévoit la mise en place de portes dérobées destinées aux enquêteurs, qui devraient être « installées » par les messageries chiffrées.
À lire aussi : vos conversations WhatsApp privées bientôt espionnées par l’Europe ?
La mesure est fermement combattue par de nombreux défenseurs des droits, qui estiment que si l’on construit des portes dérobées, même à des fins légitimes ou légales, elles seront aussi exploitées par les hackeurs.
À lire aussi : imposer la détection de contenus pédopornographiques serait aussi inefficace que nuisible, selon des experts
Le texte sera discuté par le Conseil (la représentation des 27 pays de l’Union européenne) mercredi 9 et jeudi 10 octobre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.