Wasin Arsasoi - stock.adobe.com

Opérateurs télécoms : les États-Unis attribuent à la Chine une vaste campagne d’espionnage

La campagne de Salt Typhoon conduit les autorités locales à promouvoir les applications de messagerie chiffrées de bout en bout. Une dizaine d’opérateurs locaux seraient concernés, mais l’Europe ne serait pas épargnée.

L’information avait commencé à fuiter, fin août 2024. Nos confrères du Washington Post citaient un « ancien officiel haut placé de la cybersécurité » affirmant que Pékin avait « considérablement rehaussé » ses capacités d’espionnage. 

Selon lui, des pirates liés au gouvernement chinois auraient infiltré les infrastructures d’opérateurs américains de télécommunications. 

Un mois plus tard, la campagne était associée à un nom : Salt Typhoon. La compromission d’équipements de routage de cœur de réseau était alors évoquée. Début octobre, c’est l’étendue de la campagne qui fait l’objet de révélations : 10 à 12 opérateurs outre-Atlantique seraient concernés. Les communications des équipes de campagne de Kamala Harris et de Donald Trump n’auraient pas été épargnées, en pleine campagne présidentielle aux États-Unis. 

Mais voilà, malgré des mois d’enquête, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) et le FBI restent prudent, indiquant ne pas pouvoir affirmer avec certitude que les intrus ont été boutés hors des réseaux. 

Conjointement avec ses homologues du club de Five Eyes, la CISA a ainsi publié des recommandations pour améliorer la visibilité et le durcissement des infrastructures de télécommunication. Elles s’adressent en particulier aux administrateurs réseau et responsables de la sécurité réseau.

Mais les recommandations vont plus loin, encourageant chaque individu à utiliser des systèmes de communication personnelle chiffrés de bout en bout, un temps vilipendés pour les difficultés accrues qu’ils peuvent poser parfois aux forces de l’ordre.

« Notre suggestion, que nous avons partagée en interne, n’est pas nouvelle : le chiffrement est votre ami, que ce soit pour des textes ou si vous avez la possibilité d’utiliser des communications vocales chiffrées », a ainsi expliqué Jeff Greene, directeur exécutif assistant de la CISA.

Selon Anne Neuberger, conseillère déléguée à la sécurité nationale des États-Unis, la campagne Salt Typhoon dure depuis deux ans et a débouché sur la compromission d’opérateurs télécoms dans la région indo-pacifique et en Europe, notamment : « deux douzaines de pays sont concernées », a-t-elle indiqué.

Selon Trend Micro, ce n’est pas la seule opération en cours attribuable au même groupe APT chinois, Earth Estries comme l’appelle l’éditeur. Celui-ci aurait visé des « secteurs critiques » avec notamment des opérateurs télécoms et des administrations « aux États-Unis, en Asie-Pacifique, au Moyen-Orient et en Afrique du Sud » depuis 2023 avec diverses portes dérobées : Ghostspider, Snappybee et Masol RAT, touchant plusieurs organisations cibles dans le Sud-Est asiatique. 

Selon l’éditeur, plus de 20 organisations ont été touchées en « exploitant les vulnérabilités des serveurs publics pour établir un accès initial et utilisant des exécutables légitimes, de type living-off-the-land, pour se déplacer latéralement dans les réseaux afin de déployer des logiciels malveillants et de mener des activités d’espionnage à long terme ».

Salt Typhoon est également suivi sous les désignations FamousSparrow (Eset), GhostEmperor (Kaspersky) et UNC2286 (Mandiant). Selon Eset, il est actif depuis au moins 2019. Selon Kaspersky, le groupe a notamment exploité, par le passé, les vulnérabilités dites ProxyLogon des serveurs Exchange.

Pour approfondir sur Cyberdéfense