Introduction
Fin 2024, des responsables américains ont fait une révélation stupéfiante : des pirates informatiques liés au gouvernement chinois avaient infiltré au moins neuf grands opérateurs de télécommunications américains — dont Verizon, AT&T, T-Mobile, Lumen, Spectrum et d’autres — et avaient maintenu un accès persistant à leurs réseaux pendant des mois, voire des années. Les attaquants, un groupe que la communauté de la cybersécurité appelle Salt Typhoon, avaient réalisé quelque chose d’extraordinairement grave : ils avaient accédé aux systèmes que les forces de l’ordre et les agences de renseignement américaines utilisent pour les écoutes judiciaires autorisées par les tribunaux.
En août 2025, le FBI a rapporté que Salt Typhoon avait ciblé des organisations dans plus de 80 pays. Au moins 600 organisations à travers le monde avaient été notifiées que le groupe portait un intérêt actif à leurs systèmes. Les conversations téléphoniques de hauts responsables américains — y compris le président Trump et le vice-président Vance — avaient été potentiellement accessibles au renseignement chinois. Les experts ont qualifié cette opération comme l’une des campagnes d’espionnage les plus lourdes de conséquences de l’histoire américaine.
Salt Typhoon n’est pas une anomalie. C’est une étude de cas qui illustre la forme des opérations cybernétiques étatiques modernes : persistantes, patientes, ciblées avec précision et extraordinairement difficiles à détecter.
Qui est Salt Typhoon ?
Salt Typhoon est considéré comme étant opéré par ou affilié au Ministère de la Sécurité d’État chinois (MSS, Ministry of State Security) — l’agence de renseignement chinoise responsable de la collecte de renseignements à l’étranger. Le groupe est actif depuis au moins 2019 et a été suivi précédemment sous d’autres désignations, notamment Earth Estries, GhostEmperor, FamousSparrow et UNC2286.
Le groupe est spécialisé dans ce que les professionnels du renseignement appellent les opérations APT (Advanced Persistent Threat, menace persistante avancée) — des campagnes caractérisées par :
Des temps de présence prolongés : Salt Typhoon a maintenu un accès à certains réseaux de télécommunications pendant des mois, voire des années, avant d’être détecté. Cette patience permet de collecter d’énormes quantités de renseignements sans déclencher les détections automatisées que génèrent les attaques rapides et agressives.
Le recours aux outils existants (living off the land) : Plutôt que de déployer des logiciels malveillants distinctifs, Salt Typhoon utilise principalement des outils d’administration légitimes, des identifiants volés et les capacités intégrées du système d’exploitation. Cela rend la détection extrêmement difficile car l’activité malveillante est techniquement impossible à distinguer du travail d’administration légitime.
Un ciblage de précision : L’intérêt du groupe pour les infrastructures de télécommunications est spécifiquement concentré sur les systèmes d’interception légale (Lawful Intercept) — les capacités techniques qui permettent aux gouvernements de surveiller les communications sur ordonnance judiciaire. L’accès à ces systèmes fournit des renseignements sur les personnes surveillées, les données capturées et potentiellement le contenu de ces communications.
Comment l’attaque a fonctionné
L’analyse forensique détaillée des intrusions de Salt Typhoon, publiée en 2025, a révélé la méthodologie d’attaque :
Accès initial : Dans la plupart des cas, le groupe a obtenu des identifiants de connexion légitimes — par hameçonnage (phishing), bourrage d’identifiants (credential stuffing) à partir de bases de données d’identifiants précédemment volés, ou par accès interne. Dans un cas documenté, les attaquants ont exploité une vulnérabilité de routeur Cisco (CVE-2023-20198) présente dans la base de données de vulnérabilités du NIST depuis sept ans sans avoir été corrigée par l’organisation victime.
Déplacement latéral : Une fois à l’intérieur, les attaquants se sont déplacés latéralement à travers le réseau en utilisant des outils d’administration légitimes (PowerShell, WMI, bureau à distance, logiciels de gestion légitimes) pour atteindre les cibles de plus haute valeur — l’infrastructure d’interception légale.
Persistance : De multiples mécanismes de persistance ont été établis, utilisant des logiciels légitimes modifiés, des tâches planifiées et des clés de registre qui survivaient aux redémarrages et aux analyses de sécurité de routine.
Exfiltration : Les données de communications et les relevés d’appels ont été exfiltrés via des canaux chiffrés vers une infrastructure contrôlée par les attaquants, conçue pour se fondre dans le trafic réseau normal.
La sophistication de l’opération reflète non seulement une expertise technique, mais aussi une connaissance institutionnelle approfondie de l’architecture des systèmes de télécommunications américains, de leurs lacunes défensives et des accès offrant la plus grande valeur en matière de renseignement.
Volt Typhoon : le prépositionnement dans les infrastructures
La campagne d’espionnage de Salt Typhoon coexiste avec une opération étatique chinoise parallèle appelée Volt Typhoon — ayant un objectif fondamentalement différent. Alors que Salt Typhoon collecte du renseignement, Volt Typhoon semble prépositionner des accès au sein des infrastructures critiques américaines — réseaux électriques, systèmes d’approvisionnement en eau, réseaux de transport — qui pourraient être activés lors d’un conflit futur.
La CISA (Cybersecurity and Infrastructure Security Agency) et le FBI ont publié un avis conjoint en 2024, avertissant que Volt Typhoon avait maintenu un accès à certains réseaux d’infrastructures critiques pendant cinq ans ou plus — sans collecter activement de données, mais en maintenant un point d’appui pouvant permettre des attaques perturbatrices lors d’une éventuelle crise dans le détroit de Taïwan ou d’une autre crise géopolitique.
Cette distinction est d’une importance capitale pour la stratégie défensive. Détecter et expulser des acteurs d’espionnage (dont l’objectif est de rester invisibles) est difficile. Détecter des acteurs qui ont l’intention de rester invisibles jusqu’à l’exécution d’attaques destructrices l’est encore davantage. La combinaison du prépositionnement infrastructurel de Volt Typhoon et de la collecte de renseignements de Salt Typhoon représente un renforcement capacitaire pré-conflit complet que les responsables de la sécurité américaine qualifient de sans précédent.
L’échelle mondiale : 80 pays, 600 organisations
L’évaluation du FBI d’août 2025, selon laquelle Salt Typhoon avait ciblé des organisations dans plus de 80 pays, a replacé la campagne dans un contexte mondial. Des opérateurs de télécommunications en Europe, en Asie et en Amérique latine ont été ciblés aux côtés des opérateurs américains. L’intérêt du groupe pour les systèmes d’interception légale ne se limite pas aux capacités de surveillance américaines — il s’étend aux systèmes équivalents de chaque pays.
Parmi les cibles notables en dehors des États-Unis :
Royaume-Uni : BT Group a rapporté enquêter sur une éventuelle compromission de son infrastructure réseau par Salt Typhoon fin 2024.
Canada : Les agences canadiennes de sécurité des télécommunications ont émis des alertes concernant l’activité de Salt Typhoon ciblant les opérateurs canadiens.
Asie du Sud-Est : De nombreux opérateurs en Thaïlande, au Vietnam, en Indonésie et en Malaisie ont été ciblés — reflétant l’importance stratégique de la région pour la surveillance des intérêts chinois à l’étranger, des connexions commerciales taïwanaises et des communications militaires américaines.
L’ampleur du ciblage reflète un effort systématique pour construire une capacité mondiale de collecte de renseignements télécoms, plutôt qu’une attaque opportuniste contre une cible unique.
Advertisement
La réponse politique : trop peu, trop tard ?
La réponse du gouvernement américain à la révélation de Salt Typhoon a été extensive, mais critiquée par de nombreux experts en sécurité comme inadéquate face à l’ampleur du problème.
La FCC (Federal Communications Commission) a proposé de nouvelles règles de cybersécurité pour les opérateurs de télécommunications américains en décembre 2024 — exigeant des opérateurs qu’ils certifient avoir mis en place des mesures de sécurité pour protéger contre les accès non autorisés aux systèmes d’écoute. Ces règles imposeraient des mises à jour annuelles des plans de sécurité et créeraient des obligations de signalement des violations.
La CISA a publié des directives mises à jour sur le renforcement de la sécurité des télécommunications, avec des recommandations spécifiques pour la protection des systèmes d’interception légale. La NSA a publié des orientations sur la sécurité des équipements réseau qui traitent directement des vulnérabilités des routeurs Cisco exploitées par Salt Typhoon.
Les auditions du Congrès ont révélé une réalité troublante : les systèmes d’interception légale auxquels Salt Typhoon avait accédé avaient été conçus dans les années 1990, dans le cadre du Communications Assistance for Law Enforcement Act (CALEA), à une époque où le modèle de menace n’incluait pas des adversaires étatiques sophistiqués ciblant l’infrastructure de surveillance elle-même. L’architecture de sécurité de ces systèmes n’avait pas été conçue pour l’environnement de menaces de 2025.
Des experts ont témoigné que les réseaux de télécommunications américains restaient vulnérables malgré les intrusions divulguées — une déclaration qui a provoqué une intense controverse politique mais qui est cohérente avec la réalité technique selon laquelle la remédiation d’un accès adverse persistant et sophistiqué prend du temps.
Les défis de l’attribution : le problème du piratage étatique
Le cas de Salt Typhoon illustre un défi fondamental de la cybersécurité : l’attribution — le processus d’identification des auteurs d’une attaque — est un exercice techniquement et politiquement complexe.
L’attribution technique repose sur des indicateurs tels que :
- Les caractéristiques des logiciels malveillants et la similarité du code avec les outils d’acteurs de menace connus
- La réutilisation d’infrastructure (adresses IP, domaines utilisés dans des campagnes précédentes)
- Les schémas opérationnels (horaires de travail correspondant à des fuseaux horaires spécifiques, sélection de cibles correspondant à des intérêts géopolitiques connus)
- Les erreurs de sécurité opérationnelle (OPSEC) révélant l’identité ou la localisation des attaquants
L’attribution politique — désigner officiellement un État comme responsable — implique de peser la confiance accordée aux preuves techniques au regard de considérations diplomatiques, de renseignement et de politique. Le gouvernement américain a formellement attribué Salt Typhoon à la Chine ; la Chine a nié toute implication.
Le défi de l’attribution crée une asymétrie fondamentale dans les opérations cybernétiques étatiques : les attaquants prudents peuvent maintenir un déni plausible, empêchant les victimes de prendre le type de réponses politiques et diplomatiques qui seraient déclenchées par une attaque militaire conventionnelle. Cette asymétrie a fait des opérations cybernétiques étatiques un outil privilégié de la politique étrangère — fournissant collecte de renseignements et accès aux infrastructures à des coûts géopolitiques bien inférieurs à ceux d’opérations conventionnelles équivalentes.
Ce que les organisations peuvent faire : les leçons de Salt Typhoon
La campagne Salt Typhoon offre plusieurs leçons concrètes pour les organisations gérant la sécurité de leurs réseaux :
Corriger rapidement les vulnérabilités : La vulnérabilité Cisco exploitée dans une intrusion de Salt Typhoon était publiquement connue depuis sept ans. La gestion des correctifs (patch management) — en particulier pour les équipements réseau exposés sur Internet — est la pratique défensive de base ayant le plus grand impact. Le pourcentage d’organisations victimes d’attaques exploitant des vulnérabilités connues et corrigées reste embarrassant.
Auditer l’authentification : Salt Typhoon a principalement obtenu l’accès par le biais d’identifiants volés. L’authentification multifacteur (MFA), la gestion des accès à privilèges (PAM) et la surveillance des identifiants (alertes lorsque des identifiants apparaissent dans des bases de données de fuites) sont des contrôles essentiels.
Segmenter le réseau : La capacité de se déplacer latéralement depuis l’accès initial vers des cibles de haute valeur comme les systèmes d’interception légale reflète une segmentation réseau inadéquate. Les systèmes critiques devraient être isolés dans des segments réseau nécessitant une authentification supplémentaire — et non accessibles via des identifiants d’administration standard.
Surveiller les comportements : Les outils de sécurité traditionnels basés sur les signatures sont inefficaces contre les attaques de type « living off the land » qui utilisent des outils légitimes. L’analyse comportementale — la détection de schémas d’activité anormaux même lorsque les outils individuels sont légitimes — est essentielle pour identifier les menaces persistantes sophistiquées.
Présumer la compromission : La posture de sécurité consistant à « présumer la violation » (assume breach) — planifier en supposant que des adversaires sophistiqués sont peut-être déjà présents dans le réseau — modifie les priorités de sécurité, passant de la défense périmétrique à la limitation des dommages, l’accélération de la détection et la simplification de la remédiation.
La vision d’ensemble : le cyber comme domaine de compétition entre grandes puissances
Salt Typhoon et Volt Typhoon ne sont pas des incidents isolés — ils constituent la partie visible d’un effort complet et pluriannuel visant à atteindre la supériorité cybernétique en tant que composante de la compétition entre grandes puissances.
Les États-Unis, la Chine, la Russie, l’Iran, la Corée du Nord et d’autres opèrent tous des programmes cybernétiques étatiques dotés de capacités offensives. Ce qui distingue le moment actuel, c’est l’échelle, la sophistication et l’intégration des opérations cybernétiques dans une compétition stratégique plus large — non pas comme un complément à la force militaire conventionnelle, mais comme un instrument primaire de la politique étrangère.
Les implications pour chaque organisation — gouvernementale, militaire, commerciale ou d’infrastructure critique — sont que les acteurs de menace étatiques représentent un profil de risque fondamentalement différent de celui des attaquants criminels. Les acteurs étatiques disposent de plus de ressources, de plus de patience, d’un savoir-faire opérationnel plus sophistiqué et d’objectifs plus spécifiques, souvent non financiers. La posture défensive requise pour résister aux campagnes APT étatiques est considérablement plus exigeante que celle nécessaire pour résister aux attaques criminelles opportunistes.
Conclusion
Salt Typhoon représente un tournant dans l’histoire du conflit cybernétique — non pas parce que le piratage étatique est nouveau, mais parce que l’échelle, la précision et les conséquences stratégiques de cette campagne particulière sont sans précédent. La réponse des gouvernements, des opérateurs de télécommunications et des équipes de sécurité façonnera la sécurité des infrastructures de télécommunications mondiales pour les années à venir.
La leçon n’est pas que la technologie seule peut résoudre ce problème. L’opération Salt Typhoon a réussi en partie parce qu’une vulnérabilité vieille de sept ans n’avait pas été corrigée dans une grande entreprise de télécommunications. La cyberdéfense la plus sophistiquée au monde ne peut compenser les défaillances en matière d’hygiène de sécurité de base. Les fondamentaux comptent — à tous les niveaux, du conseil d’administration au centre d’exploitation réseau.
Advertisement
Radar Décisionnel (Perspective Algérie)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — Les opérateurs télécoms algériens (Algérie Télécom, Djezzy, Ooredoo, Mobilis) s’appuient sur les mêmes fournisseurs d’équipements réseau (Cisco, Huawei) et les mêmes architectures d’interception légale ciblées par Salt Typhoon. Les partenariats croissants de l’Algérie avec des fournisseurs chinois d’infrastructures télécoms augmentent l’exposition au risque de chaîne d’approvisionnement. |
| Infrastructure prête ? | Non — Les réseaux télécoms algériens manquent de segmentation réseau mature, de surveillance comportementale et de capacités centralisées de gestion des correctifs. Les équipements obsolètes présentant des vulnérabilités non corrigées sont répandus dans les réseaux fixes et mobiles. |
| Compétences disponibles ? | Partielles — L’Algérie dispose de talents en cybersécurité grâce au CERIST et aux programmes universitaires, mais le pays fait face à une pénurie sévère d’expertise spécialisée en chasse aux menaces (threat hunting), réponse aux incidents et détection d’APT, nécessaire pour contrer les campagnes étatiques. |
| Calendrier d’action | Immédiat — Les opérateurs télécoms devraient entamer dès maintenant des audits de sécurité de leurs équipements réseau et de leur infrastructure d’interception légale. Le développement d’un cadre national de cybersécurité devrait s’accélérer dans les 6 à 12 mois. |
| Parties prenantes clés | MPTIC (Ministère de la Poste et des Télécommunications), ANPT (régulateur des télécoms), Algérie Télécom, Djezzy, Ooredoo, équipes de sécurité de Mobilis, CERIST, unités de cyberdéfense militaire |
| Type de décision | Stratégique — Nécessite une coordination au niveau national entre les régulateurs des télécoms, les opérateurs et les agences de sécurité pour évaluer l’exposition et renforcer les infrastructures de télécommunications critiques contre les menaces de niveau APT. |
Synthèse : Le secteur des télécommunications algérien utilise les mêmes équipements et architectures d’interception que ceux exploités par Salt Typhoon à l’échelle mondiale. Avec une infrastructure significative fournie par la Chine et des capacités limitées de détection d’APT, les opérateurs algériens devraient considérer cette campagne comme un avertissement direct. Les priorités immédiates sont les audits de correction des équipements réseau, l’isolation des systèmes d’interception légale et le renforcement des capacités nationales de réponse aux incidents, avant que des campagnes similaires n’atteignent l’Afrique du Nord.
Sources & Lectures complémentaires
- Top 10 Cyber-Attacks of 2025 — Infosecurity Magazine
- Salt Typhoon Hackers Targeted Over 80 Countries, FBI Says — Nextgov/FCW
- Salt Typhoon Exploits Flaws in Edge Network Devices to Breach 600 Organizations — The Hacker News
- Salt Typhoon Telecom Hacks One of the Most Consequential Campaigns Against US — Cybersecurity Dive
- Biggest Cyber Attacks of 2025 — CM Alliance
- US Communications Networks Remain Vulnerable Following Salt Typhoon Hack — US Senate Commerce Committee
Advertisement