Il a t confirm qu’une neuvime entreprise de tlcommunications amricaine a t pirate dans le cadre d’une vaste campagne d’espionnage chinoise qui a permis des fonctionnaires de Pkin d’avoir accs des textes et conversations tlphoniques privs d’un nombre indtermin d’Amricains, a dclar vendredi un haut responsable de la Maison Blanche. Des responsables de l’administration Biden ont dclar ce mois-ci qu’au moins huit entreprises de tlcommunications, ainsi que des dizaines de pays, avaient t touchs par la campagne de piratage chinoise connue sous le nom de Salt Typhoon.
Anne Neuberger, conseillre adjointe la scurit nationale pour les technologies cyberntiques et mergentes, a toutefois dclar vendredi la presse qu’une neuvime victime avait t identifie aprs que l’administration a donn des conseils aux entreprises sur la manire de traquer les coupables chinois dans leurs rseaux.
La mise jour de Neuberger est le dernier dveloppement en date d’une vaste opration de piratage informatique qui a alarm les responsables de la scurit nationale, expos les vulnrabilits du secteur priv en matire de cyberscurit et mis nu la sophistication de la Chine en matire de piratage informatique.
Les pirates ont compromis les rseaux d’entreprises de tlcommunications pour obtenir des enregistrements d’appels de clients et accder aux communications prives d’un nombre limit d’individus . Bien que le FBI n’ait pas identifi publiquement les victimes, les autorits pensent que de hauts fonctionnaires du gouvernement amricain et des personnalits politiques de premier plan figurent parmi les personnes dont les communications ont t consultes.
Lacunes en matire de scurit
Lors d’une confrence de presse organise vendredi, elle a dclar que les enqutes en cours avaient mis au jour des failles fondamentales dans les pratiques de scurit qui avaient permis les piratages prcdents. Dans un cas, par exemple, les pirates ont obtenu les informations d’identification d’un seul compte administrateur qui avait accs plus de 10 000 routeurs, a-t-elle dclar.
La ralit est que, d’aprs ce que nous voyons concernant le niveau de cyberscurit mis en uvre dans le secteur des tlcommunications, ces rseaux ne sont pas aussi dfendables qu’ils devraient l’tre pour se dfendre contre un acteur cyberntique offensif bien pourvu en ressources et capable comme la Chine , a dclar Neuberger.
Selon elle, la Maison Blanche ne peut pas encore affirmer avec certitude que les rseaux concerns ont limin les pirates de leurs systmes.
Neuberger a indiqu que les autorits n’avaient pas encore une ide prcise du nombre d’Amricains touchs par Salt Typhoon, en partie parce que les Chinois ont t prudents dans leurs techniques, mais qu’un grand nombre se trouvaient dans la rgion de Washington-Virginie. Les autorits pensent que l’objectif des pirates tait d’identifier les propritaires des tlphones et, s’il s’agissait de cibles d’intrt pour le gouvernement , d’espionner leurs messages et leurs appels tlphoniques.
Les pirates avaient pour objectif d’identifier les propritaires de ces tlphones et de dterminer s’il s’agissait de cibles gouvernementales susceptibles de faire l’objet d’espionnage et de collecte de renseignements sur les communications , a-t-elle dclar.
Le FBI a dclar que la plupart des personnes cibles par les pirates taient principalement impliques dans des activits gouvernementales ou politiques .
Neuberger a dclar que cet pisode mettait en vidence la ncessit d’imposer des pratiques de cyberscurit dans le secteur des tlcommunications, un sujet que la Commission fdrale des communications doit aborder lors d’une runion qui se tiendra le mois prochain. Nous savons que les pratiques volontaires en matire de cyberscurit ne suffisent pas nous protger contre le piratage de nos infrastructures critiques par la Chine, la Russie et l’Iran , a-t-elle dclar.
Anne Neuberger, conseillre adjointe la scurit nationale des tats-Unis pour les technologies cyberntiques et mergentes, a dclar aux journalistes lors d’un appel tlphonique que l’entreprise de tlcommunications anonyme avait t ajoute la liste aprs que le gouvernement amricain eut partag des conseils sur la manire de dtecter l’opration et de s’en dfendre.
Espionnage politique
Les attaques auraient vis les tlphones d’hommes politiques de premier plan et d’autres personnes impliques dans des activits politiques.
Neuberger a dclar que la situation devrait tre amliore par le projet de rgles de la FCC publi dbut dcembre, qui obligerait les entreprises de tlcommunications renforcer leurs rseaux sous peine d’amendes.
Des rgles similaires sont en vigueur en Australie depuis 2018 et au Royaume-Uni depuis 2022.
Lorsque j’ai discut avec nos collgues britanniques et que je leur ai demand s’ils pensaient que leur rglementation aurait permis d’viter l’attaque de Salt Typhoon, ils m’ont rpondu « Nous l’aurions matris plus rapidement, [et] elle ne se serait pas propage aussi largement, n’aurait pas eu autant d’impact et n’aurait pas t dcouverte aussi longtemps si ces rglementations avaient t en place , a dclar Neuberger.
C’est un message fort , a-t-elle continu.
Le gouvernement chinois a ni toute responsabilit dans ce piratage.
Interdiction des produits en provenance de Chine dans le rseau de tlcommunications du pays
Ce mois-ci, le ministre du commerce a dcid d’interdire China Telecom et, selon Neuberger, des mesures similaires seront prises au cours du mois prochain.
Les autorits chinoises ont prcdemment qualifi ces allgations de dsinformation et dclar que Pkin s’oppose fermement aux cyberattaques et aux vols informatiques sous toutes leurs formes et les combat .
Le snateur Ben Ray Lujan, dmocrate du Nouveau-Mexique, a qualifi Salt Typhoon de plus grand piratage de tlcommunications de l’histoire de notre pays lors d’une audition le 11 dcembre, tandis que le snateur rpublicain du Texas Ted Cruz a dclar que les tats-Unis doivent combler toutes les vulnrabilits des rseaux de communication .
En 2022, la FCC a prsent de nouvelles rgles qui interdisaient la vente et l’importation d’quipements de communication fabriqus par les entreprises chinoises Huawei et ZTE. La FCC a dclar que l’utilisation de ces quipements par les entreprises amricaines comportait des risques inacceptables pour la scurit nationale des tats-Unis . En outre, ces directives restreignaient l’utilisation de certains systmes de vidosurveillance fabriqus en Chine.
Le projet de loi annuel sur la politique de dfense, sign par le prsident Joe Biden plus tt ce mois-ci, alloue 3 milliards de dollars pour aider les entreprises de tlcommunications retirer et remplacer les quipements non scuriss en rponse aux rcentes incursions de pirates informatiques lis la Chine.
La loi d’autorisation de la dfense nationale pour l’exercice 2025 dfinit la politique du Pentagone et les priorits du budget militaire pour l’anne, et comprend galement des mesures non lies la dfense qui ont t ajoutes lorsque le Congrs a termin ses travaux en dcembre. Le projet de dpenses de 895 milliards de dollars a t adopt par le Snat et la Chambre des reprsentants avec un large soutien bipartisan.
Les 3 milliards de dollars seraient consacrs un programme de la Commission fdrale des communications, communment appel rip and replace , visant se dbarrasser des quipements de rseau chinois pour des raisons de scurit nationale.
Ce programme a t cr en 2020 pour mettre au rebut les quipements fabriqus par le gant des tlcommunications Huawei. L’investissement initial s’levait 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient ncessaire pour liminer la vulnrabilit potentielle.
Les appels ralimenter le fonds se sont multiplis rcemment la suite de deux campagnes de piratage menes par la Chine, baptises Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont insr des codes malveillants dans des infrastructures amricaines et se sont introduits dans au moins neuf entreprises de tlcommunications.
Les portes drobes sous le feu des projecteurs
Un autre vecteur de l’attaque, selon les reprsentants du gouvernement, tait l’interface par laquelle les organismes chargs de l’application de la loi demandent des coutes tlphoniques aux entreprises de tlcommunications en vertu de la loi de 1994 sur l’assistance l’application de la loi dans le domaine des communications (Communications Assistance for Law Enforcement Act).
En fait, le systme CALEA pourrait avoir fourni aux pirates informatiques une liste de personnes souponnes par le FBI.
Les dfenseurs de la vie prive l’avaient prdit depuis longtemps. Dans un billet de blog publi le mois dernier, Susan Landau, experte en chiffrement, a dclar que la CALEA tait depuis longtemps un dsastre pour la scurit nationale .
Si vous construisez un systme de manire ce qu’il soit facile pntrer, les gens le feront – les bons comme les mauvais. C’est la consquence invitable de la CALEA, une consquence dont nous avions prvenu qu’elle se produirait – et c’est ce qui s’est pass , a-t-elle dclar.
Le FBI a rfut l’ide que la CALEA tait le seul vecteur des pirates informatiques chinois
Il a galement rejet la morale plus large tire par les dfenseurs de la vie prive, savoir que seules les communications entirement chiffres de bout en bout sont scurises.
Les communications chiffres de bout en bout garantissent qu’un message crit ou un appel vocal est protg du moment o il quitte votre appareil jusqu’au moment o il arrive destination, en veillant ce que seuls l’expditeur et le destinataire puissent dchiffrer les messages, qui sont illisibles pour tout tiers – qu’il s’agisse d’un pirate informatique chinois ou du FBI.
Ce type de chiffrement ne protge pas les communications si le tiers a accs l’un des terminaux de communication, tel qu’un tlphone ou un ordinateur portable. Les pirates informatiques peuvent toujours installer des logiciels espions sur les tlphones, et le FBI, comme le soulignent depuis longtemps les dfenseurs des liberts civiles, peut toujours fouiller les tlphones par le biais de diverses mthodes, mais au cas par cas.
Ces dernires annes, de grandes entreprises technologiques telles qu’Apple ont adopt le chiffrement de bout en bout, au grand dam des forces de l’ordre. Les autorits fdrales se plaignent vivement du fait que les criminels les laissent dans l’ombre en utilisant le mme voile de chiffrement que celui qui protge les gens ordinaires des escrocs, des pirates et des oreilles indiscrtes.
Le FBI et d’autres agences ont longtemps soutenu qu’il existait un moyen de leur donner un accs spcial aux communications sans faciliter la tche des pirates et des espions. Les experts en scurit affirment que cette ide est une foutaise. Qu’il s’agisse d’une porte drobe, d’une cl d’or ou de toute autre chose, ces experts affirment que cela ne peut pas fonctionner.
Dans les conseils qu’ils ont donns au public, les fonctionnaires fdraux ont fermement approuv le chiffrement.
Le chiffrement est votre ami, qu’il s’agisse de la messagerie texte ou de la capacit utiliser des communications vocales chiffres , a dclar Jeff Greene, directeur adjoint pour la cyberscurit l’Agence pour la cyberscurit et la scurit des infrastructures (Cybersecurity and Infrastructure Security Agency).
Cependant, il est intressant de noter qu’un reprsentant du FBI, lors du mme appel, est revenu sur l’ide d’un chiffrement gr de manire responsable . Selon le FBI, ce chiffrement serait conu pour protger la vie prive des gens et gr de manire ce que les entreprises technologiques amricaines puissent fournir un contenu lisible en rponse une dcision de justice lgitime .
D’un point de vue pratique, on ne sait pas exactement quels programmes, s’il y en a, le FBI a l’esprit lorsqu’il appelle les gens utiliser un chiffrement gr de manire responsable .
Sean Vitka, directeur politique du groupe progressiste Demand Progress, a dclar que le piratage a une fois de plus fourni la preuve accablante que les portes drobes du gouvernement ne peuvent pas tre scurises. Si le FBI n’est pas en mesure de scuriser son systme d’coutes tlphoniques, il ne peut absolument pas scuriser le passe-partout de tous les tlphones Apple , a dclar Vitka.
Source : Anne Neuberger
Et vous ?
Les infrastructures tlcoms actuelles sont-elles suffisamment scurises pour faire face des menaces aussi sophistiques ?
Quelles technologies ou approches pourraient prvenir des intrusions de ce type lavenir ?
Qui porte la responsabilit de ces failles : les gouvernements, les entreprises technologiques ou les oprateurs tlcoms ?