Skip to content
CBCyber Breaches
Recherche
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victime
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
utilisateurs
1.0M
SecteurTélécomsGouvernement
PaysÉtats-Unis
GroupeSalt Typhoon

Tout au long de 2024, l'APT lié à la Chine connu sous le nom de Salt Typhoon a mené l'une des campagnes d'espionnage télécom les plus lourdes de conséquences jamais divulguées publiquement : neuf opérateurs télécoms américains compromis, y compris les systèmes utilisés pour traiter les requêtes d'interception légale CALEA pour les forces de l'ordre américaines.

Ce qui s'est passé

Salt Typhoon est un groupe de cyberespionnage aligné sur un État, attribué à la République populaire de Chine. Les responsables américains ont confirmé fin 2024 que le groupe avait infiltré au moins neuf entreprises de télécommunications américaines, dont Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications et Windstream.

L'élément stratégiquement le plus dommageable de l'intrusion fut l'accès à l'infrastructure CALEA — les systèmes d'interception légale que les opérateurs télécoms américains exploitent pour permettre aux agences de renseignement et de maintien de l'ordre d'exécuter des écoutes autorisées par la justice. Avec l'accès à ces systèmes, Salt Typhoon pouvait voir qui le gouvernement américain mettait sur écoute, et quand.

Outre l'exposition CALEA, Salt Typhoon a obtenu des métadonnées d'appels et de SMS pour plus d'un million d'utilisateurs — horodatages, adresses IP source et destination, numéros de téléphone — et aurait accédé au contenu de communications d'un petit nombre de cibles hautement prioritaires.

Fin décembre 2024, Verizon, AT&T et Lumen ont publiquement confirmé qu'ils avaient expulsé les attaquants. Le 17 janvier 2025, le Trésor américain a sanctionné Sichuan Juxinhe Network Technology Co., Ltd., désigné comme le sous-traitant lié à la RPC responsable des opérations de Salt Typhoon.

Impact

  • Au moins 9 grands opérateurs télécoms américains compromis.
  • Infrastructure d'interception légale CALEA accédée chez plusieurs opérateurs — un événement de contre-espionnage national.
  • Métadonnées d'appels et de SMS exposées pour plus d'un million d'utilisateurs.
  • Contenu de communications pour certaines cibles hautement prioritaires aurait été accédé.
  • Sanctions du Trésor américain contre un sous-traitant chinois nommément désigné.

Pourquoi cela compte

Salt Typhoon est le cas de cyberespionnage qui a franchi une ligne non seulement par son ampleur mais par sa cible : l'infrastructure d'écoute conçue pour servir les forces de l'ordre américaines. La campagne a relancé à Washington le débat sur les arbitrages liés à l'imposition de portes dérobées « d'accès légal » dans les systèmes commerciaux — chaque porte dérobée de ce type est désormais démontrablement une cible pour la collecte étatique.

Chronologie

  1. Salt Typhoon — un groupe APT lié à la République populaire de Chine et plus tard au sous-traitant chinois Sichuan Juxinhe Network Technology — établit une persistance dans plusieurs réseaux télécoms américains ; les intrusions auraient duré des mois et, dans certains cas, des années avant divulgation.

  2. Des rapports révèlent que des pirates liés à l'État chinois ont compromis les systèmes des fournisseurs haut débit américains utilisés pour traiter les requêtes d'écoute des forces de l'ordre américaines au titre de CALEA.

  3. Les responsables américains décrivent l'intrusion comme potentiellement « un échec de contre-espionnage du plus haut ordre ».

  4. Verizon et AT&T confirment publiquement que l'accès de Salt Typhoon a été contenu ; Lumen indique n'avoir aucune preuve d'un accès aux données clients.

  5. Le département du Trésor américain annonce des sanctions contre Sichuan Juxinhe Network Technology Co., Ltd. pour son implication directe avec Salt Typhoon.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Salt_Typhoon
  2. theregister.comhttps://www.theregister.com/2024/12/30/att_verizon_confirm_salt_typhoon_breach/
  3. techcrunch.comhttps://techcrunch.com/2024/12/30/verizon-says-it-has-secured-its-network-after-breach-by-china-linked-salt-typhoon-group/
  4. axios.comhttps://www.axios.com/2024/10/15/salt-typhoon-hack-china-verizon-att

Incidents liés

EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
EspionnageContenu

Attaque contre le réseau électrique ukrainien — Sandworm BlackEnergy (2015)

Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.

Victim
Distributeurs régionaux d'électricité ukrainiens (oblenergos)
AutreInconnu

Fuite chez SFR

3.6 millions de clients nom, prénom adresse email adresse postale, code postal, ville date de naissance, département de naissance numéro de téléphone 150 000 IBAN

Victim
SFR