Le secteur des télécommunications est décrit comme « massivement ciblé par des acteurs cybercriminels à des fins lucratives [ou des acteurs] étatiques à des fins d’espionnage ou de déstabilisation ». Dans ce domaine, l’ANSSI précise que la préoccupation majeure est la disponibilité des services, qui se fait parfois « au détriment de la confidentialité des données et de l’intégrité des systèmes d’informations ».

Pour donner la mesure du problème après un tel préambule, l’Agence indique que plus de 150 évènements de sécurité lui ont été communiqués au cours des trois dernières années. Près d’un tiers de ces incidents ont été traités par l’ANSSI, dont certains avec « un engagement opérationnel important » de sa part. En outre, elle dit avoir observé une hausse « préoccupante » des compromissions touchant des équipements, « notamment des routeurs en cœur de réseau » chez les opérateurs.

Avant d’évoquer les différents types de menaces touchant le secteur des télécommunications, l’ANSSI explique que ce dernier est vaste et concerne de nombreuses structures : les fournisseurs d’accès bien sûr, mais aussi les fournisseurs de services de téléphonie, les fournisseurs de câbles de distribution, les sociétés de câblage et d’infrastructure, ainsi que les fournisseurs de services de télécommunication connexes. L’ANSSI ne compte pas les entreprises du cloud et leurs offres SaaS. Cependant, les liens se renforcent, particulièrement avec le développement de la 5G.

Les opérateurs de communication électronique (OCE) fournissent des services à l’ensemble des entreprises et administrations, dont des opérateurs d’importance vitale (OIV). C’est à ce titre qu’ils sont considérés comme « supercritiques » : « une attaque réussie contre un ou plusieurs acteurs du secteur aurait des conséquences immédiates et systémiques sur l’ensemble ou une large partie des secteurs d’importance vitale », pointe l’Agence.

• Lire le rapport de l’ANSSI : État de la menace ciblant le secteur des télécommunications

De bien nombreuses menaces

Principale menace contre le secteur selon l’Agence : l’espionnage. Les acteurs chinois et iraniens sont décrits comme « très actifs » dans ce domaine, même s’ils ne sont pas les seuls. Sans surprise, l’objectif principal de ces opérateurs est l’exfiltration de données, les opérateurs télécoms les traitant en masse. Les équipements réseau sont tout particulièrement visés, permettant la création de « réseaux d’anonymisation destinés à mener des attaques sophistiquées ». L’impact sur la confidentialité des données échangées est décrit comme « majeur ». Les équipements satellitaires sont également détournés, le plus souvent avec des modes opérateurs « réputés liés à la Russie ».

Si l’espionnage est le cas le plus courant, d’autres finalités peuvent être recherchées comme la déstabilisation. On trouve ainsi du chantage au déni de service distribué (DDoS) et des expositions de données personnelles, souvent par des hacktivistes. Le piratage du réseau satellitaire KA-SAT est cité en exemple. La finalité peut être également lucrative, qu’il s’agisse de fraude aux communications ou d’attaques « opportunistes » centrées sur les données personnelles, qui peuvent alors être revendues ou utilisés dans le cadre d’attaques par rançongiciel.

• • Cyberattaque Viasat (KA-SAT) : enfin des explications, mais encore beaucoup de brouillard

La fraude aux communications est très courante selon l’ANSSI. Les techniques y sont nombreuses : redirections vers des numéro surtaxés à l’insu des clients, usurpation de numéros par l’exploitation de défauts de sécurisation dans le protocole SIP, spams et autres tentatives de phishing liés à de fausses antennes relais… Selon l’ANSSI, les attaques contre les autocommutateurs téléphoniques privés (PABX) dans les entreprises sont particulièrement courantes. Là encore, les finalités sont multiples : passer des appels, monter des services éphémères d’appels internationaux à bas prix, générer des appels sur des numéros surtaxés, etc. Des attaques souvent menées pendant les week-ends, nuits, jours fériés, périodes de vacances pour rester discrètes. La fraude aux communications est décrite comme première perte financière pour les opérateurs télécoms, dévorant 3 à 10 % des revenus bruts du secteur.

Sans surprise, les attaques par rançongiciel sont fréquentes. Entre 2019 et 2022, l’ANSSI a traité directement 13 attaques de ce type, principalement des entités de taille moyenne ou des filiales d’opérateurs nationaux. Elles ont représenté 36 % des compromissions dans le secteur des télécoms, mais seulement 2 % tous secteurs confondus. En dépit de leur fréquence, ces attaques ne ciblent pas davantage les télécoms que d’autres secteurs, l’ANSSI évoquant plutôt « l’opportunisme » habituel.

Les compromissions à des fins de cryptominage ne sont pas fréquentes, mais elles existent. En 2019 par exemple, une employée d’AWS avait profité de ses droits d’accès pour détourner plusieurs instances cloud et y lancer du cryptominage. Divers clients d’Amazon avaient été touchés, dont Vodafone. À ce titre, l’ANSSI rappelle à nouveau que la 5G accélère le rapprochement entre télécoms et cloud, et qu’elle mérite une attention particulière.

L’espionnage, principale menace contre le secteur des télécoms

L’espionnage est décrit comme « la principale menace » dans les attaques contre les télécoms. Comme indiqué précédemment, ces entreprises sont au carrefour de nombreux grands axes de communication, quand elles ne gèrent pas elles-mêmes d’immenses flux de données, comme dans le cas des quatre principaux opérateurs en France. L’ANSSI distingue deux grands cas : la volonté d’accès aux données commerciales des opérateurs, et celle d’accès aux communications elles-mêmes.

Sans trop de surprise, l’exfiltration de données est le premier danger. Un acteur malveillant implanté durablement aurait la capacité de récupérer de très nombreuses données et informations diverses, notamment personnelles et sensibles, « utilisables telles quelles ou afin de préparer des attaques plus perfectionnées ».

Les cibles potentielles sont nombreuses. L’ANSSI rappelle par exemple que les câbles sous-marins représentent une grande tentation pour certains acteurs, comme les documents révélés par Edward Snowden l’avaient montré en 2013 : la NSA semblait très intéressée par le câble sous-marin SEA-ME-WE 4 opéré par Orange en Méditerranée. Cependant, « aucune attaque de ce type n’a pour l’heure été publiquement documentée », l’ANSSI évoquant le grand secret qui entoure ce type d’action. L’année dernière par exemple, le DHS (Department of Homeland Security) d’Hawaï avait annoncé une telle attaque contre un opérateur de câble sous-marin, mais sans fournir la moindre information supplémentaire.

Les équipementiers réseau sont bien sûrs des cibles de choix. Les compromissions de routeurs sont fréquentes, souvent dues selon l’ANSSI à l’exploitation de vulnérabilités connues, documentées et colmatées, mais dont les correctifs n’ont pas été appliqués. L’Agence française distingue là encore deux grands cas : la compromission à des fins d’intégration dans des botnets, et celle dédiée à l’espionnage. Dans ce domaine, et une nouvelle fois, l’ANSSI appelle à la vigilance sur les déploiements d’équipements de cœur de réseau pour la 5G. Elle rappelle que le marché s’est concentré autour de trois équipementiers : les Européens Ericsson et Nokia, ainsi que le Chinois Huawei, dont les déboires illustrent les tensions géopolitiques dans ce domaine. Il n’est pas étonnant que les gouvernements se soient directement impliqués depuis 2018, tant ces équipements revêtent une importance stratégique.

• • L’étau se resserre pour Huawei, sur fond de tensions géopolitiques

• • 5G : la Commission européenne exhorte à « adopter d’urgence des mesures » contre Huawei et ZTE

D’autres types d’attaques sont référencés dans le rapport, comme celles sur le DNS, l’ANSSI citant l’exemple de l’opérateur NetNod. Non seulement il route une grande partie du trafic européen, mais il est également l’un des treize serveurs racine du DNS. Des enregistrements DNS ont été manipulés en 2018 pour rediriger le trafic et voler des identifiants et mots de passe. Le détournement du trafic satellitaire est également courant, le FSB russe étant souvent à la manœuvre, selon l’Agence. La Russie s’en servirait notamment pour masquer du trafic de type « commande et contrôle », observé lors de l’utilisation de botnets.

Le ciblage peut aussi être plus direct, comme dans les compromissions de téléphones. L’ANSSI rappelle les cas de plusieurs entreprises de type LIO (lutte informatique offensive), dont le plus connu est NSO group et son logiciel d’espionnage Pegasus, Amnesty International ayant abondamment documenté ces opérations. Même cas de figure avec l’entreprise italienne RCSLab, via une société paravent nommée TykeLab. Déclarée comme opérateur de solutions de communications, elle a permis de faire transiter un important trafic en provenance d’opérateurs plus petits et installés dans le Pacifique.

• • Pegasus : 50 000 « cibles potentielles » ? (1/2)

• • Pegasus : 50 000 « cibles potentielles » ? (2/2)

Chine, Iran et modes opératoires d’attaques

Les MOA (modes opératoires d’attaques) sont l’ensemble des méthodes connues utilisées par un groupe d’acteurs malveillants. Bien que pas toujours facilement reconnaissables, ils sont une sorte de carte de visite, une manière de procéder qui permet d’attribuer des attaques à leurs auteurs, aussi peu connus soient-ils.

La Chine occupe dans ce domaine une place prépondérante, aussi bien pour espionner les communications extérieures qu’à l’intérieur de ses propres frontières. Dans ce second cas, l’ANSSI cite en particulier le cas d’individus de la communauté ouïghoure, ciblés grâce à la compromission de plusieurs réseaux télécoms au sein du territoire chinois. Le rapport pointe également plusieurs réseaux compromis au Kazakhstan, en Turquie, en Inde, en Thaïlande ou encore en Malaisie. Étaient visées en particulier les données de géolocalisation et les métadonnées des appels.

Concernant le ciblage extérieur, l’activité a été beaucoup plus intense au cours des trois dernières années. « Le secteur des télécommunications dans son ensemble est ciblé de façon très régulière et importante par les groupes d’attaquants mettant en œuvre des modes opératoires d’attaque (MOA) réputés liés en sources ouvertes à la Chine, particulièrement en Asie », pointe l’ANSSI. L’exfiltration de données semble l’objectif prioritaire.

Le rapport cite plusieurs compromissions documentées par Symantec dans le secteur des télécoms. En 2019, un premier compte-rendu faisait état de plusieurs ciblages d’organisations singapouriennes en 2017 et 2018, via un MOA baptisé WhiteFly. Quelques mois plus tard, le même Symantec évoquait plusieurs autres MOA, notamment Gothic Panda (ou APT3) et Equation Group, impliqués dans des attaques contre des entités télécoms, ainsi que des secteurs de la recherche et des technologies. Ces entités étaient situées en Asie du Sud-Est, en Belgique et au Luxembourg.

De tous les modes opérateurs réputés liés à la Chine, Gallium semble être le plus spécifiquement utilisé contre le secteur des télécoms, comme l’indiquait Microsoft dans un article en 2019. Lors d’une opération baptisée « Soft Cell ». Les acteurs auraient notamment cherché à récupérer les Call Detail Records (CDR), autrement dit les fadettes : des enregistrements d’appels, avec sources, destinations et durées des appels, informations techniques sur les appareils utilisés, localisation de ces derniers, etc. Ces attaques, décrites comme « particulièrement persistantes » auraient eu lieu dans le monde entier (plus de 30 pays selon Reuters) et auraient également permis l’exfiltration de données contenues dans les services d’annuaires et d’informations de facturation. Toutes ces attaques avec des codes et outils malveillants souvent liés aux MOA chinois, comme le webshell China Chopper, l’outil d’administration Poison Ivy ou encore l’outil HTran.

Et concernant la France ? L’ANSSI indique justement avoir traité « récemment une compromission liée à ce mode opératoire », sans donner plus de détails. Elle ajoute avoir constaté une poursuite active de ces campagnes, « notamment contre le secteur des télécoms ». L’agence française précise en outre avoir traité en 2020 la compromission d’un opérateur national, victime d’un MOA réputé chinois, « dans un but probable d’espionnage ». Aucune autre information n'est donnée. On ne sait pas si les deux incidents sont liés.

Les modes opératoires réputés liés aux intérêts stratégiques de l’Iran sont eux aussi mis en avant par l’ANSSI, bien qu’avec nettement moins de détails. Les méthodes et finalités sont décrites comme « similaires », le secteur des télécoms représentant là encore une cible prioritaire, tout particulièrement au Moyen-Orient et dans les marchés proches.

Des conseils et recommandations comme s’il en pleuvait

Les recommandations font partie des missions de l’ANSSI. Dans son rapport, l’agence nationale en fournit bon nombre, réparties en catégories.

Sur la sensibilisation par exemple, elle recommande de communiquer régulièrement sur la sécurité, pour sensibiliser aussi bien les administrateurs que les exploitants, les prestataires et les collaborateurs. Ne pas ouvrir de messages dont la provenance ou la forme est inconnue, se méfier des extensions dans les pièces jointes douteuse (exemples : .pif; .com; .bat; .exe; .vbs; .lnk…), ne pas connecter de clé USB trouvée par hasard, former spécifiquement les administrateurs à une protection renforcée de par leur profil, etc.

L’ANSSI recommande également, sans surprise, des exercices réguliers sur des thèmes comme l’hameçonnage par messagerie électronique ou clé USB, l’ingénierie sociale et ainsi de suite. Pour les administrateurs et exploitants du SI, des exercices supplémentaires sont proposés sur l’intrusion sur le cœur de réseau, la reconstruction de tout ou partie du réseau, les plans de reprise et d’activité ou encore la réinitialisation des secrets d’administration pour les équipements de cœurs de réseaux et ceux de raccordement des clients.

Sur le chapitre de la protection proprement dite, les conseils sont nombreux : déployer une passerelle Internet sécurisée (incontournable et avec pare-feu), segmenter le SI en plusieurs zones de sécurité homogènes (par sensibilité, criticité ou des critères propres), appliquer une gestion stricte des comptes et des droits d’accès aux informations, préparer des contre-mesures pour les attaques DDoS, appliquer des politiques de maintien en condition opérationnelle (MCO) et de sécurité (MCS), mettre en place une politique de sauvegarde des données métiers, et instaurer un contrôle d’accès physique.

Le programme est tout aussi vaste sur la sécurisation, avec l’établissement d’une cartographie du cœur de réseau, le référencement de tous les services nécessitant une exposition à Internet, la segmentation et le filtrage des systèmes et sous-systèmes, la limitation aux stricts besoins de l’exposition des équipements à Internet, appliquer une politique d’identification d’authentification et de gestion des droits (RBAC), etc.

Une attention particulière devrait être portée aux équipements et logiciels utilisés. Il faut n’installer par exemple que les services nécessaires, durcir les configurations des serveurs, penser à supprimer tous les mots de passe par défaut, désinstaller tout ce qui n’est pas strictement utile, vérifier les firmwares et microcodes, maîtriser les accès aux interfaces de gestion matérielle, etc.

Les conseils sont nombreux et s’étalent sur plusieurs pages. Sans même parler de certification par l’Autorité, le rapport de l’ANSSI a le mérite d’offrir une vue de synthèse des travaux à entreprendre ou, plutôt, une checklist pour vérifier que rien d’important n’a été oublié. C’est l’objet de cette partie, qui ne saurait se soustraire à une stratégie complète de sécurité, mais qui a l’avantage d’aborder l’ensemble des points de contrôle, répartis en 35 catégories.