AT&T et Verizon bloquent la publication du rapport d’évaluation de sécurité sur Salt Typhoon

 (reuters.com)
1 points par GN⁺ 2026-02-11 | 1 commentaires | Partager sur WhatsApp
  • Les opérateurs américains AT&T et Verizon empêchent la publication du rapport d’évaluation de sécurité lié à Salt Typhoon
  • Un sénateur américain affirme que les deux entreprises font obstacle à la publication des résultats de l’enquête gouvernementale sur la cybersécurité
  • Le rapport porterait sur l’évaluation des activités de Salt Typhoon, un groupe de piratage lié à la Chine
  • Les deux opérateurs auraient refusé de publier le rapport pour des raisons de confidentialité et de sécurité
  • L’affaire alimente une controverse autour de la sécurité nationale et de la transparence des infrastructures de télécommunications privées

Controverse autour de la publication du rapport d’évaluation de sécurité sur Salt Typhoon

  • AT&T et Verizon bloquent la publication du rapport d’évaluation de sécurité concernant Salt Typhoon
    • Le rapport comprendrait une évaluation des cybermenaces visant les infrastructures de télécommunications aux États-Unis
    • Il s’agit d’un document rédigé à partir des résultats d’une enquête d’agences gouvernementales
  • Un sénateur américain critique les deux opérateurs, estimant qu’ils portent atteinte au droit du public à l’information et à la transparence en matière de cybersécurité
    • Le rapport inclurait une analyse des activités de Salt Typhoon, un groupe de piratage lié à la Chine
  • Les deux entreprises refusent la publication en invoquant des raisons de sécurité et des obligations de confidentialité
    • Les fondements juridiques précis et les détails n’ont pas été rendus publics

Répercussions politiques et industrielles

  • Cette affaire élargit le débat autour de la sécurité nationale et de l’étendue des responsabilités des opérateurs privés de télécommunications
    • Elle soulève aussi des questions sur les mécanismes de partage d’informations entre le gouvernement et le secteur privé
  • Des doutes émergent quant à la solidité du dispositif de réponse aux cybermenaces visant les infrastructures de télécommunications
    • Le caractère non public des résultats de l’évaluation de sécurité pourrait influencer les futurs débats de politique publique
  • À ce stade, ni le contenu précis du rapport ni un calendrier de publication n’ont été confirmés

À lire aussi

1 commentaires

 
GN⁺ 2026-02-11
Réactions sur Hacker News
  • J’ai déjà rédigé la spécification de la fonction de lawful intercept (interception légale) pour des nœuds de données 3G
    Le principe de conception central était une architecture qui ne fait pas confiance à l’opérateur réseau. Cela permettait de protéger les employés contre l’influence du crime organisé
    L’interception est déclenchée depuis la console LI des forces de l’ordre, et les opérateurs réseau n’en sont pas informés. Le système était conçu pour permettre l’interception de jusqu’à environ 3 % du trafic, sans apparaître dans les journaux ni dans les outils d’administration
    En revanche, si un pirate compromettait la console LI, il pourrait, par conception, exfiltrer précisément un trafic ciblé sans être détecté
    Comme plusieurs fournisseurs proposent le logiciel de console LI et utilisent des protocoles standardisés, il est difficile d’attribuer les responsabilités en cas de problème
    • J’ai travaillé dans l’équipe d’exploitation réseau d’un grand opérateur télécom américain, et certains ingénieurs arrivaient à deviner approximativement quels nœuds étaient sous interception via l’analyse des call flows. Ce n’était pas totalement invisible
    • Je me demande ce qu’est exactement une console LI et où elle est installée
    • Je me demande s’il s’agit du système RAVEN
  • Le gouvernement a imposé aux opérateurs la présence d’une fonction d’interception légale, puis un acteur malveillant exploite cette porte dérobée exigée par l’État. Malgré cela, le gouvernement parle de sécurité et de vie privée, ce qui est hypocrite. Au final, il faut élire de meilleurs responsables politiques
    • J’ai autrefois travaillé comme consultant en sécurité pour une entreprise qui fabriquait du matériel d’interception. C’était un boîtier black box qu’il suffisait au télécom d’installer pour satisfaire aux exigences gouvernementales
      Mais les tests de sécurité n’autorisaient que le réseau du client, avec interdiction absolue de toucher au produit lui-même. Vu le niveau de sécurité interne, il est très probable que cet équipement ait déjà été compromis depuis longtemps
    • Changer les politiques est important, mais le problème est fondamentalement structurel au sein de l’État
      1. proposition de loi fondée sur une mauvaise compréhension du problème → 2) adoption, mais création de nombreux nouveaux problèmes → 3) campagne électorale en promettant de résoudre ces problèmes → 4) boucle infinie
    • Le vrai problème n’est pas la porte dérobée en elle-même, mais la faiblesse de la sécurité des telcos. Les systèmes d’interception doivent exister légalement, mais les grands opérateurs sont complexes et faiblement contrôlés sur le plan de la sécurité
      Ce type d’environnement constitue une cible majeure pour les hackers étatiques, et l’affaire Salt Typhoon l’illustre bien. Même si le système d’interception n’avait pas été piraté, la compromission du routage des appels ou du système de facturation serait déjà extrêmement dangereuse
    • Je ne suis pas d’accord avec l’idée que le gouvernement se réclame de la vie privée. En réalité, AT&T et Verizon bloquent la publication du rapport d’évaluation de sécurité de Mandiant
    • Je me demande si tout cela relève de la spéculation ou de faits déjà confirmés
  • Tout cela est possible grâce à CALEA (Communications Assistance for Law Enforcement Act), adoptée en 1994. En fin de compte, l’État doit assumer la voie d’intrusion qu’il a lui-même créée. Il est temps d’éliminer ces portes dérobées imposées par l’État
  • Quand je travaillais chez Verizon il y a dix ans, une équipe de sécurité externe est venue faire un audit et a pris le contrôle de tout le réseau en 3 à 4 heures via une simple console Jenkins sous Windows. La sécurité interne était à ce point défaillante
  • Aujourd’hui, la Chine ainsi que divers autres États et individus peuvent accéder aux systèmes d’interception des télécoms
    Les seules personnes qui ne peuvent pas y accéder sont les utilisateurs ordinaires
    Au final, ces systèmes ne servent qu’à collecter de quoi faire du chantage ou à manipuler la justice à des fins politiques. Avec l’adoption généralisée de la messagerie chiffrée, ce type de surveillance est inutile
  • Empêcher la publication de tels rapports porte un coup sévère à la gestion du risque systémique
    Si les vecteurs de compromission ne sont pas rendus publics, les autres secteurs d’infrastructure restent totalement dans le noir. C’est sacrifier la sécurité collective pour protéger la réputation d’une entreprise
  • Je partage un lien vers l’article MSN sans script Datadome, ainsi qu’un lien vers la version texte
    (fait étonnant, Microsoft le sert en HTTP)
    • Je me demande pourquoi ils sont revenus en arrière de HTTPS vers HTTP
  • Les opérateurs ne veulent pas que leurs portes dérobées et leur mauvaise gouvernance apparaissent au grand jour
    Et ce n’est pas limité aux opérateurs mobiles : des FAI résidentiels comme Comcast, Cox et Charter sont encore plus incompétents. Je l’ai constaté moi-même en passant par plusieurs entreprises
  • Cette situation illustre l’échec des États-Unis à imiter des politiques autoritaires
    Sans parvenir à rattraper la Chine en matière de sécurité, de surveillance ou de capacités techniques, le pays affaiblit au contraire son propre système de l’intérieur
    La crise économique et les licenciements massifs accélèrent la fuite des cerveaux, ce qui renforce encore l’avantage technologique de la Chine dans un cercle vicieux
    • La situation actuelle donne presque l’impression d’un renversement de la rivalité USA-URSS de la guerre froide