Selon l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), aux États-Unis, les équipes de sécurité, et même les particuliers, doivent prendre des précautions immédiates pour contrer la menace de surveillance par le groupe de pirates chinois « Salt Typhoon », qui s’est infiltré profondément dans l'infrastructure des télécommunications. Le 3 décembre, l’agence américaine a publié une alerte officielle recommandant des mesures défensives, alors que des fonctionnaires fédéraux informaient les journalistes de la menace.

Et pour la première fois, il semble que les entreprises de télécommunication et les entreprises ne soient pas les seules à devoir s'inquiéter. Selon un rapport basé sur les interventions des fonctionnaires du FBI et de la CISA, n’importe quel Américain devrait envisager d'utiliser des moyens de communications chiffrés afin de contrer ce mode d'espionnage. Le ciblage des smartphones utilisés par Donald Trump et son colistier JD Vance pendant la campagne présidentielle est l’un des exemples très médiatisés de cette menace.

Plus gros qu'Aurora

Désignées sous le nom de code « Salt Typhoon » par Microsoft, ces attaques chinoises présumées ont été rendues publiques pour la première fois par le Wall Street Journal à la fin du mois de septembre. C’est la plus grande cyber-incursion menée par des acteurs chinois depuis les vastes attaques Aurora contre des entreprises américaines rendues publiques par Google à la fin de l’année 2009. Le choc provoqué par ces attaques a conduit à une réévaluation générale de la sécurité par tous les responsables du secteur, au point que la cybersécurité est devenue une préoccupation géopolitique aux États-Unis. Les ennemis n'avaient pas seulement des motifs pour pirater les États-Unis, ils en avaient aussi la capacité.

Cependant, Salt Typhoon ne se contente pas de cibler les entreprises pour voler leurs secrets : comme l'indique une déclaration commune faite en novembre par le FBI et la CISA, l’attaque cible les systèmes de communication utilisés par tous les citoyens. « Plus précisément, des acteurs affiliés à la République Populaire de Chine (RPC) ont compromis les réseaux de plusieurs entreprises de télécommunications en vue de voler des données sur les appels des clients, et en particulier espionner les communications privées d'un nombre limité d'individus majoritairement impliqués dans des activités gouvernementales ou politiques », indique le communiqué. Et il ajoute que « à mesure que l’enquête avance, nous comprendrons mieux le degré de ces compromissions ». Parmi les réseaux compromis figurent des infrastructures appartenant aux opérateurs Verizon, AT&T et Lumen Technologies (anciennement CenturyLink). Mais l'un des problèmes, c’est que personne ne connaît encore l'ampleur des attaques qui ont touché de nombreuses entreprises et impliquent de nombreux vecteurs d'attaque. Cela signifie que l’efficacité des mesures de protection n’est pas garantie. Cette incertitude remet en question la sécurité de toutes les communications non cryptées.

Le chiffrement de bout en bout est votre ami

Les données à risque concernent les canaux vocaux fixes et mobiles, les données, les textes et les vidéos gérés par des services de télécommunications plutôt que des données web. Cela inclut les SMS, qui ne sont pas chiffrés, ce qui avait donné lieu, dès 2016, à une mise en garde du NIST sur cette technologie des années 1990. En revanche, le chiffrement de bout en bout est disponible sur les plateformes de messagerie développées par Google (RCS) et iMessage d'Apple, mais pas encore pour les messages envoyés entre ces plateformes. C’est l’une des caractéristiques des systèmes de télécommunications dont le chiffrement a été implémenté progressivement et de manière fragmentaire au fil des ans. Certains canaux sont chiffrés (texte), d'autres ne le sont pas (voix) ou le sont dans une norme inférieure, par exemple la 4G par rapport à la 5G. Même les experts ne peuvent pas toujours dire ce qui est ou n'est pas chiffré par défaut.

Un point positif, c’est que les applications chiffrées comme WhatsApp et Signal seront sécurisées. L'ironie de la chose n'échappera pas à tous ceux qui ont suivi la bataille en cours entre le gouvernement américain et ses alliés et les fournisseurs de messagerie cryptée de bout en bout. Les autorités aimeraient pouvoir pénétrer dans ces applications pour lutter contre les dérives criminelles. Il s'avère aujourd'hui que ce même cryptage à clé publique, difficile à casser, pourrait sauver les Américains des groupes APT chinois. « Le chiffrement est votre ami, qu'il s'agisse de la messagerie texte ou de la capacité à utiliser des communications vocales sécurisées. Même si l'adversaire est capable d'intercepter les données, si elles sont chiffrées, ils ne pourront rien en faire », a déclaré Jeff Greene, directeur exécutif adjoint de la CISA pour la cybersécurité, à NBC News cette semaine.

Les recommandations de la CISA

La liste des mesures d'atténuation et de conseils de la CISA est étonnamment détaillée et couvre beaucoup d’aspects que maîtrisent déjà les équipes de sécurité. Néanmoins, cette liste est vraiment inhabituelle pour une alerte. « À la date de publication, les exploitations ou compromissions identifiées associées à l'activité de ces acteurs de la menace correspondent à des faiblesses existantes associées à l'infrastructure de la victime ; aucune activité nouvelle n'a été observée », écrit la CISA, sans se montrer rassurante. Les vérifications recommandées comprennent l'examen des modifications de configuration, la surveillance des comptes de service, la recherche d'anomalies dans les corrélations SIEM et l'assurance que la segmentation du réseau et les zones démilitarisées (DMZ) sont correctement configurées. Globalement, la liste se concentre sur la vulnérabilité de la connectivité externe, y compris les VPN, l'ancien SSH-1 et le FTP, et les points faibles que sont les mots de passe, l'authentification, le contrôle d'accès et les correctifs. Des conseils spécifiques pour les équipements Cisco incluent la désactivation de telnet, la désactivation de Cisco Linux guestshell et, dans la mesure du possible, la désactivation des interfaces web en faveur de la ligne de commande.

Ces conseils généraux ne sont pas différents de ceux que l’on trouve dans toutes les alertes de sécurité lancées par les gouvernements du monde pendant la dernière décennie. Il est clair que certains de ces conseils ne sont pas suivis d'effet, peut-être parce que les réseaux de télécommunications regorgent d'équipements anciens dont on a oublié l’existence. En résumé, il faut tout vérifier pour trouver les équipements anciens et vulnérables, et continuer à le faire indéfiniment. Même si les opérateurs américains sont la cible principale de Salt Typhoon, rien ne dit que l'infrastructure des télécommunications d'autres pays utilisant le même équipement est à l’abri de ces vulnérabilités et des compromissions qui ont suivi.