Cyberattaque chinoise : les systèmes d’écoute américains victimes d’un piratage

Source : The Wall Street Journal, Sarah Krouse, Dustin Volz, Aruna Viswanatha, Robert McMillan
Traduit par les lecteurs du site Les-Crises

Selon des experts familiers de l’affaire, les pirates pourraient avoir eu accès pendant des mois, voire plus, à l’infrastructure de réseau utilisée pour répondre aux demandes légales des États-Unis en matière de données de communication, ce qui représente un risque majeur pour la sécurité nationale. Les pirates ont également eu accès à d’autres tranches de trafic internet plus génériques, ont-ils ajouté.

Verizon Communications, AT&T et Lumen Technologies figurent parmi les entreprises dont les réseaux ont été violés par l’intrusion récemment découverte.

La violation à grande échelle du système est considérée comme une faille de sécurité potentiellement catastrophique et a été menée par un groupe perfectionné de hackers chinois, connu sous le nom de Salt Typhoon. Il semblerait que cette opération ait eu pour but la collecte de renseignements.

Les porte-parole d’AT&T, de Verizon et de Lumen ont refusé de commenter l’attaque menée par Salt Typhoon.

Les entreprises sont généralement tenues de divulguer les cyberintrusions de grande ampleur aux autorités de régulation des marchés financiers dans les plus brefs délais, mais dans de rares cas, les autorités fédérales peuvent leur accorder une dérogation pour des raisons de sécurité nationale.

Les systèmes de surveillance en question sont utilisés pour coopérer avec les demandes d’informations nationales liées aux enquêtes criminelles et de sécurité nationale. En vertu de la loi fédérale, les entreprises de télécommunications et de large bande doivent permettre aux autorités d’intercepter des informations électroniques suite à une décision de justice. Il n’a pas été possible de déterminer si les systèmes qui soutiennent la surveillance des renseignements étrangers présentaient également des failles et étaient vulnérables.

L’attaque et sa signification ont été découvertes au cours des dernières semaines et font toujours l’objet d’une enquête active de la part du gouvernement américain et des analystes de la sécurité du secteur privé. Les enquêteurs travaillent encore à confirmer l’ampleur de l’attaque et dans quelle mesure les pirates ont pu observer les données et en exfiltrer une partie.

Les pirates semblent s’être livrés à une vaste collecte du trafic internet des fournisseurs d’accès à internet. Ces derniers comptent parmi leurs clients tous types d’entreprises, de grandes et de petites tailles, et des millions d’Américains. En outre, il semblerait que l’attaque ait ciblé un petit nombre de fournisseurs de services en dehors des États-Unis.

Une personne bien au fait de l’attaque a déclaré que le gouvernement américain considérait ces intrusions comme historiquement significatives et inquiétantes.

Depuis des années, de hauts fonctionnaires américains alertaient sur les risques et les conséquences économiques et de sécurité nationale des opérations d’espionnage multidimensionnelles de la Chine. Ces opérations peuvent prendre la forme d’espionnage humain, d’investissements commerciaux et d’opérations de piratage informatique de grande envergure.

Plus récemment, les autorités ont été alertées par les efforts présumés des agents de renseignement chinois pour s’introduire dans les réseaux d’infrastructures essentiels vulnérables des États-Unis, tels que les installations de traitement de l’eau, les centrales électriques et les aéroports. Selon eux, ces efforts seraient une tentative des pirates informatiques de se positionner de manière à pouvoir déclencher des cyberattaques perturbatrices en cas de conflit majeur avec les États-Unis.

L’attaque de Salt Typhoon ajoute une nouvelle pièce au puzzle.

Comme l’a rapporté le Wall Street Journal, les enquêteurs cherchent toujours à déterminer l’origine de l’attaque de Salt Typhoon et à savoir si les intrus ont eu accès aux routeurs de Cisco Systems qui sont des composants essentiels du réseau qui acheminent une grande partie du trafic sur l’internet. Une porte-parole de Cisco a déclaré que l’entreprise examinait la question, mais que rien n’indiquait que les routeurs de Cisco étaient concernés. Mais la porte-parole n’a pas répondu immédiatement à une demande de commentaire vendredi.

La Chine a toujours nié les allégations des gouvernements occidentaux et des entreprises technologiques selon lesquelles elle s’appuie sur des pirates informatiques pour s’introduire dans les réseaux informatiques des gouvernements et d’entreprises étrangers.

La porte-parole de l’ambassade de Chine à Washington Liu Pengyu, a déclaré dans un communiqué : « La Chine s’oppose et combat fermement les cyberattaques et toute forme de vols informatiques. »

Microsoft et d’autres entreprises de cybersécurité sont en train de mener l’enquête sur la nouvelle intrusion de Salt Typhoon et sur les informations sensibles qui ont pu être consultées. Microsoft aide les entreprises à réagir aux cyberintrusions en utilisant les données de son vaste réseau mondial de matériel et de logiciels et a donné à certaines attaques liées à la Chine le nom de Typhoon.

« Il faudra du temps pour identifier l’ampleur du problème, mais en attendant, c’est le plus important d’une longue série d’alertes qui montrent que la République Populaire de Chine a intensifié son jeu cybernétique », a déclaré Brandon Wales, ancien directeur exécutif de l’Agence pour la cybersécurité et la sécurité des infrastructures et aujourd’hui vice-président de SentinelOne. « Si les entreprises et les gouvernements ne prenaient pas ce problème au sérieux auparavant, ils doivent absolument le faire maintenant. »

Salt Typhoon est un groupe de pirates informatiques basé en Chine, actif depuis 2020. Selon une note de recherche de Microsoft rédigée en août, Salt Typhoon se concentre sur l’espionnage et le vol de données, en particulier la capture du trafic réseau. « La plupart des cibles de Salt Typhoon sont basées en Amérique du Nord ou en Asie du Sud-Est », précise Microsoft, qui ajoute que d’autres sociétés de cybersécurité appellent ce groupe GhostEmperor ou FamousSparrow.

L’entreprise de cybersécurité ESET appelle ce groupe FamousSparrow et affirme qu’il s’est déjà introduit dans des hôtels et des agences gouvernementales du monde entier.

En septembre, les autorités américaines ont déclaré avoir interrompu plus de 200 000 routeurs, appareils photos et autres appareils grand public connectés à internet qui servaient de porte d’entrée dans les réseaux américains à un groupe de pirates informatiques basé en Chine et baptisé Flax Typhoon. En janvier, les autorités fédérales ont perturbé Volt Typhoon, un autre groupe lié à la Chine qui cherchait à infiltrer une partie des infrastructures vitales des États-Unis.

Les autorités américaines ont déclaré que Volt Typhoon semblait avoir pour objectif principal d’accéder aux réseaux afin de lancer ultérieurement des cyberattaques susceptibles de paralyser le fonctionnement des infrastructures.

Source : The Wall Street Journal, Sarah Krouse, Dustin Volz, Aruna Viswanatha, Robert McMillan, 05-10-2024

Traduit par les lecteurs du site Les-Crises