Un agent cyber du FBI américain : Salt Typhoon a piraté presque tous les Américains

 (theregister.com)
1 points par GN⁺ 2025-09-01 | 1 commentaires | Partager sur WhatsApp
  • Le groupe de hackers Salt Typhoon a infiltré pendant des années les réseaux de télécommunications américains et collecté à grande échelle les données sensibles de millions de personnes
  • Cette attaque constitue une opération d'espionnage d'une ampleur sans précédent visant les Américains de manière indiscriminée
  • Les entreprises de soutien de Salt Typhoon, liées au gouvernement chinois, ont compromis des entités dans plus de 80 pays, et environ 200 organisations américaines ont été touchées
  • L'attaque a entraîné le suivi de la localisation de millions d'utilisateurs de téléphones mobiles, la surveillance du trafic Internet, et même l'écoute de certains appels téléphoniques
  • Le FBI estime que des menaces cyber encore plus sophistiquées vont continuer à se multiplier et avertit de la nécessité de renforcer la sécurité

Aperçu de la campagne d'espionnage Salt Typhoon

  • Le FBI a confirmé que Salt Typhoon, un groupe de hackers soutenu par le gouvernement chinois, a infiltré pendant des années de grands réseaux de télécommunications américains et collecté massivement les données personnelles de nombreux Américains
  • Michael Machtinger, directeur adjoint cyber du FBI, a déclaré dans une interview à un média que cette attaque d'espionnage pourrait avoir volé les données de presque tous les Américains
  • On considérait auparavant que les personnes ne détenant pas d'informations sensibles n'étaient pas des cibles, mais Salt Typhoon a montré que tout le monde peut devenir la cible d'une cyberattaque

Portée de l'attaque et responsables

  • Les activités de cyberespionnage de Salt Typhoon ont commencé au moins en 2019 et ont été découvertes par le gouvernement américain à l'automne 2023
  • En plus des États-Unis, des agences gouvernementales de 12 pays ont publié un avertissement conjoint sur la gravité de cette attaque
  • La portée de l'intrusion s'est étendue au-delà de 9 grands opérateurs télécoms américains et des réseaux gouvernementaux pour toucher des organisations dans plus de 80 pays
  • Environ 200 organisations américaines ont été touchées, dont de grands opérateurs comme Verizon et AT&T
  • Parmi les entreprises désignées comme impliquées figurent Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology et Sichuan Zhixin Ruijie Network Technology
    • Ces entreprises fournissent des solutions cyber au ministère chinois de la Sécurité d'État et à l'Armée populaire de libération

Méthodes d'attaque et types de dommages

"Les actions menées par la Chine via ces intermédiaires dépassent largement le niveau habituel de l'industrie du cyberespionnage et relèvent d'un comportement imprudent et dangereux"

  • Machtinger a qualifié cet incident de grave compromission de cyberespionnage sans précédent aux États-Unis
  • Salt Typhoon a mené un ciblage massif et indiscriminé, interceptant les données de géolocalisation, le trafic Internet et même le contenu de certains appels téléphoniques de millions d'utilisateurs de téléphones mobiles
  • Parmi les personnes touchées figurent non seulement le grand public, mais aussi plus de 100 hauts responsables d'administrations présidentielles, actuels ou anciens
    • Certains médias ont rapporté que le président Donald Trump et le vice-président JD Vance faisaient également partie des cibles
  • Les responsables de haut niveau ont notamment subi des atteintes plus profondes, avec interception effective de contenus et autres formes d'exfiltration d'informations

Menaces cyber similaires en provenance de Chine

  • Outre Salt Typhoon, le groupe Volt Typhoon a piraté des centaines de routeurs anciens pour construire un botnet et accéder à des réseaux d'infrastructures critiques américaines
    • Il a ensuite été confirmé que cela visait à préparer des cyberattaques destructrices
  • Le groupe Silk Typhoon s'en est pris pendant plus de dix ans à des fournisseurs IT et cloud, volant des données issues de nombreux secteurs, dont l'administration, la technologie, l'éducation et le droit

Autres menaces cyber mondiales

  • Machtinger a souligné que, outre la Chine, la Russie, l'Iran, la Corée du Nord, ainsi que des groupes cybercriminels et de ransomware nationaux et étrangers, poursuivent leurs attaques au quotidien
  • Selon lui, ces acteurs devraient adopter des méthodes d'attaque de plus en plus sophistiquées
  • Il a insisté sur la nécessité de prendre des mesures actives de cybersécurité, comme le renforcement de la sensibilisation à la sécurité, la mise à jour des systèmes et le remplacement des équipements obsolètes

À lire aussi

1 commentaires

 
GN⁺ 2025-09-01
Avis Hacker News

  • La communauté sécurité a averti à maintes reprises que si l’on automatisait trop facilement l’interception légale (Lawful Access), le camp adverse finirait inévitablement par pénétrer les réseaux
    Aujourd’hui, la Chine exploite des systèmes affaiblis par CALEA pour aspirer les données réseau de l’ensemble des États-Unis
    Quand on repense aux cas où la NSA écoutait le backbone de Google, à Room 641A, à MAINWAY, à Poindexter et TIA, ou encore à Palantir, les États-Unis n’ont jamais vraiment fait exception
    La NSA était censée faire à la fois de la défense et de l’attaque, mais elle est depuis des décennies devenue une organisation focalisée sur l’offensif, et ceux qui pensaient que seuls les États-Unis pourraient se permettre ce genre de pratiques étaient bien naïfs

    • Une porte avec une serrure ne peut être ouverte que par quelqu’un qui a la clé...
      Mais on peut aussi crocheter la serrure sans clé, soulever la porte, retirer les gonds, enfoncer la porte, passer par dessous ou par dessus, ou convaincre quelqu’un qui a la clé de l’ouvrir ; avec un peu d’imagination, les méthodes ne manquent pas

    • Je me demande concrètement comment ils sont entrés
      J’imagine soit un éditeur logiciel prenant en charge CALEA qui s’est fait compromettre, soit un fournisseur de Mediator Device utilisé par plusieurs opérateurs télécoms qui a été attaqué
      Un MD (Mediator device) est un équipement logiciel chargé de la capture de flux (demandes de wiretap) et de la gestion des preuves pcap
      En général, le MD active les ports (r)span sur les équipements réseau via du polling SNMP, puis absorbe et stocke l’ensemble des données
      Comme il y a peu d’informations techniques disponibles, je me demande quel fournisseur et quel équipement ont été compromis
      Pour une explication détaillée de la LI (Lawful Intercept), voir ici

    • Beaucoup de gens qui travaillaient à la NSA bossent désormais pour des sociétés privées de sécurité comme NSO Group
      C’est inquiétant quand on voit la situation, mais vu les niveaux de salaire qu’ils ont reçus, j’aurais probablement hésité moi aussi si on m’avait fait la proposition
      Si vous voulez des coulisses du secteur, je recommande le livre de Nicole Perlroth, 'This Is How They Tell Me the World Ends'
      Beaucoup d’événements ont eu lieu depuis sa parution, mais cela reste une bonne référence pour comprendre le terrain

    • Peut-être que cette décision absurde vient du fait que les gens au pouvoir craignent davantage leurs propres citoyens que les menaces extérieures

    • Des idiots bardés de supériorité morale
      Ce n’est pas qu’ils ont oublié les opérations offensives ; c’est qu’ils ne savaient peut-être même pas que ça existait, ou qu’ils s’en fichaient complètement

  • J’ai déjà travaillé sur la rédaction de spécifications d’interception légale pour des nœuds 3G GGSN
    Ça remonte à loin, mais à l’époque les spécifications étaient conçues pour qu’aucune trace de l’interception n’apparaisse dans le système de gestion réseau
    L’opérateur ne pouvait donc pas savoir si une interception était en cours, et les forces de l’ordre pouvaient lancer directement les ordres d’interception depuis une console LI
    À l’époque, il était possible d’intercepter jusqu’à 3 % du trafic de référence, avec des cas où même l’opérateur, en plus de la cible, ignorait qu’une interception avait lieu
    Les systèmes d’interception légale ne sont pas nécessairement faciles à pirater, mais une fois compromis, il devient très difficile de détecter leur exploitation abusive
    C’est aussi pour cela qu’il est presque impossible de déterminer avec certitude quand et comment l’intrusion a commencé

    • Le fait que les opérateurs réseau ne puissent consulter aucun journal de supervision concernant l’interception légale me paraît extrêmement dangereux
      Si quelqu’un s’introduit dans le système, on a l’impression que personne ne s’en rendra compte

  • Voilà le résultat concret de l’installation de backdoors gouvernementales obligatoires dans l’infrastructure réseau
    Il est difficile de croire que la sécurité d’une infrastructure aussi critique ait été aussi faible
    Quand on pense au piratage de l’OPM ou à l’échec de la gestion des sites de dépôt en ligne de la CIA, l’incompétence sécuritaire du gouvernement ne surprend même plus

    • Je réfléchis sérieusement à ne plus utiliser de numéro de téléphone du tout
      La sécurité est trop faible, et comme le numéro de téléphone sert autant que le numéro de sécurité sociale pour vérifier l’identité, alors qu’il n’est pas vraiment indispensable, je me demande s’il ne vaut pas mieux s’en passer

    • Des attaquants de tout premier plan soutenus par un État peuvent pénétrer pratiquement n’importe quel système même sans backdoor, grâce à leur niveau technique, leurs ressources et leur persévérance
      Il ne faut donc pas tout mettre sur le dos des backdoors ; il faut aussi une cyber-résilience bien plus forte et de meilleures capacités défensives
      Sur la manière dont les États-Unis pourraient répondre au dispositif de collecte de vulnérabilités mis en place par la Chine à l’échelle de l’État, le récent rapport de l’Atlantic Council mérite la lecture
      Lien vers le rapport

    • Un ordinateur ne sera jamais sûr à 100 %, et au niveau étatique, comme l’accès physique au matériel est souvent possible, la sécurité finit toujours par être une question d’argent : on continue simplement d’ajouter des zéros

  • Dans le cas de Salt Typhoon, fait rare, l’affaire a été largement rendue publique en 2024 mais n’est toujours pas totalement maîtrisée et reste en cours
    La plupart des incidents donnent lieu à un retour d’expérience a posteriori, mais ici le réseau semble toujours contrôlé par l’attaquant et les données continuent de fuiter
    Article connexe

  • La déclaration officielle de la CISA peut être consultée ici

    • Il paraît que Doge et MAGA ont réduit les effectifs de cette agence (la CISA) de 30 %
      Virer des agents en pleine période où la cybersécurité et la sécurité des infrastructures n’ont jamais été aussi importantes, c’est vraiment un timing impeccable (?)
      Lien vers l’article connexe

    • Lien direct vers l’avis officiel du gouvernement : voir ici

  • Il y avait cette déclaration disant que « la Chine, par de tels actes, adopte un comportement imprudent et dangereux qui sort des normes habituelles de l’espionnage », et je me demande bien ce que peut signifier un “standard” en matière d’espionnage

    • Quand on voit les agences de renseignement américaines collecter les communications mondiales via PRISM, Upstream et autres, on a l’impression qu’ici “standard” veut surtout dire que jusque-là seuls les États-Unis pouvaient se permettre ce genre de choses
      Désormais, la Chine est devenue un concurrent de même niveau

    • On dirait qu’ils parlent du “standard” selon lequel seul le gouvernement américain aurait le droit de mener une surveillance de masse illégale contre sa propre population
      Face à la Chine qui fait la même chose, la réaction ressemble à : « mais pour qui ils se prennent, ceux-là ? »

    • Ils semblent parler d’« indiscriminate targeting », c’est-à-dire de ciblage indiscriminé
      Selon le directeur adjoint cyber du FBI, « la Chine fait désormais peser le risque que même des personnes ne travaillant pas dans des secteurs sensibles ne puissent plus être sûres de ne pas être visées »

    • Je ne savais même pas qu’il existait des normes ou une sorte de règlement dans le monde de l’espionnage
      Pour moi, la seule règle, c’était que personne ne se fasse prendre
      Mais il est possible que j’ignore certains aspects

    • Au fond, cela semble n’être qu’un ensemble de règles molles et implicites qu’ils ont en tête

  • Je me demande s’il existe, en dehors du gouvernement, d’autres sources fiables à ce sujet
    L’affaire paraît tout à fait plausible, mais vu l’historique de mensonges répétés, j’ai du mal à accorder ma confiance à une simple déclaration gouvernementale
    Une source tierce, crédible et moins partisane, me semblerait plus convaincante

    • Verizon affirme que certains responsables politiques précis ont été ciblés
      Lien connexe

    • Un ami à moi, dans la sécurité en Australie, me dit que la Chine possède déjà quasiment toutes les données américaines importantes

  • Le gouvernement américain ne fera sans doute que renforcer encore la surveillance à l’avenir

  • Selon la Maison-Blanche et le FBI, des hackers chinois ont mené des attaques indiscriminées pour suivre la localisation via les téléphones portables de millions de personnes, surveiller le trafic Internet, et dans certains cas même enregistrer des appels
    Parmi les victimes figuraient l’ancien président Donald Trump et le vice-président JD Vance
    J’imaginais au départ que cette surveillance passait par une connexion directe aux stations de base ou à l’infrastructure, mais d’après la page Wikipédia, il semble que la voie réelle ait été le piratage de serveurs
    Je me demande si des serveurs comme ceux d’AT&T ont été compromis
    Dans ce type de situation, je me demande s’il existe un moyen d’éviter que mes données soient récupérées
    Même avec un VPN, si la localisation peut être obtenue par triangulation, on dirait qu’il n’y a pas de vraie solution à moins d’éteindre complètement son téléphone
    Source - méthodologie de Salt Typhoon

    • Dans ce genre de cas, la seule façon de limiter la collecte de mes données serait de n’utiliser son numéro de téléphone absolument nulle part, de configurer la carte SIM uniquement pour les données, et de la remplacer ou faire tourner régulièrement

    • Ça rappelle à quel point des réglementations sur la vente et le courtage de données, comme le GDPR, permettent au moins d’éviter le pire
      Cette fois encore, la source des informations semble être le système piraté lui-même
      Mais en réalité, la plupart des données sont déjà légalement achetables sur un “marché non gris”, donc le problème est aussi structurel au niveau de l’industrie
      Un journaliste avait même mené une expérience consistant à acheter des données de localisation publiques pour retrouver des agents du renseignement
      Même si l’on réduisait les ventes, tant que ces données restent stockées dans des endroits faciles à pirater, il y aura des limites

    • Il y a ce passage disant que le président Trump et le vice-président JD Vance figurent aussi parmi les victimes
      Ça aurait été amusant que le journaliste demande en plus un commentaire à Angela Merkel

  • À ce sujet, il existe aussi un article affirmant qu’Israël a également participé à des écoutes des télécommunications américaines
    Le gouvernement israélien aussi serait donc en mesure d’accéder aux réseaux américains par des méthodes comparables à celles de la Chine