Une vaste campagne de cyberattaques, nommée l’année dernière Salt Typhoon par Microsoft, a actuellement lieu aux États-Unis, après avoir touché plusieurs dizaines de pays au cours des quatre dernières années. L’attaque est d’ampleur, visant surtout des entreprises de télécommunications comme AT&T et Verizon. Elle a été identifiée comme provenant d’un seul acteur malveillant chinois, portant le même nom.

Les pirates ont accédé à trois types d’informations. D’abord les métadonnées, qui permettent de savoir qui a appelé qui, quand et combien de temps. Elles sont souvent aussi sensibles que le contenu même des conversations. Ensuite, le contenu lui-même. Enfin, certaines données détenues par les opérateurs dans le cadre de la loi CALEA (Communications Assistance for Law Enforcement Act). Elles peuvent inclure des ordonnances judiciaires classifiées émanant de la FISC (Foreign Intelligence Surveillance Court) et donc liées au renseignement américain.

L’attaque ne vise pas l’ensemble de la population. Elle cible tout particulièrement l’État de Washington et cherche à obtenir des informations de cibles spécifiques. Le FBI n’a pas donné la liste, mais a averti le mois dernier les personnes concernées que des attaques avaient été menées contre des bureaux de campagne présidentielle aussi bien de Donald Trump que de Kamala Harris, tout comme celui du sénateur démocrate Chuck Schumer, leader de la majorité.

La Maison-Blanche et le FBI recommandent les communications chiffrées

Alors que les États-Unis sont connus pour avoir été le théâtre de nombreuses propositions de lois voulant affaiblir le chiffrement de bout en bout et d’un affrontement entre Apple et le FBI à ce sujet, la recommandation officielle est de passer sur des communications chiffrées. Le conseil vaut aussi bien pour le texte que la voix.

Le conseil émane à la fois de la Maison-Blanche, de la CISA (Cybersecurity and Infrastructure Security Agency) et d’un responsable du FBI qui a demandé (notamment à NBC News) de ne pas être nommé. « Notre suggestion, ce que nous avons dit aux gens en interne, n'est pas nouvelle : le chiffrement est votre ami, qu'il s'agisse de la messagerie texte ou de la capacité à utiliser des communications vocales. Même si l'adversaire est en mesure d'intercepter les données, si elles sont chiffrées, cela rendra la chose impossible », a ainsi déclaré Jeff Greene, directeur général adjoint de la CISA.

« Les personnes souhaitant protéger davantage les communications de leur appareil mobile auraient intérêt à envisager l'utilisation d'un téléphone portable qui reçoit automatiquement les mises à jour opportunes du système d'exploitation, un chiffrement géré de manière responsable et une authentification multifactorielle "résistante au phishing" pour les comptes de messagerie électronique, de médias sociaux et d'outils de collaboration », a ajouté le responsable anonyme du FBI.

Si les recommandations appuient l’utilisation du chiffrement, elles ne disent pas en revanche quel type. Aucun n’évoque le chiffrement de bout en bout, même si celui-ci est aujourd’hui largement répandu. C’est le cas avec Signal, dont le protocole alimente également WhatsApp. iMessage d’Apple et Messages de Google chiffrent également les communications de bout en bout.

Mercredi, la CISA a également publié une liste officielle de recommandations pour l’industrie des télécommunications. Des conseils sont notamment donnés aux ingénieurs réseau sur tous les points à surveiller.

Vers une cybersécurité réglementaire

Hier, la Maison-Blanche a organisé une conférence de presse sur le sujet. Anne Neuberger, conseillère adjointe à la sécurité nationale sur les questions cyber, a confirmé que Salt Typhoon touchait au moins huit sociétés de télécommunications, avec piratage avéré.

La Maison-Blanche estime qu’aucune communication classifiée n’a été atteinte, mais qu’un grand nombre de métadonnées de citoyens américains ont été dérobées. Elle a insisté toutefois sur le caractère cible de l’attaque, qui vise avant tout les personnalités politiques et le gouvernement. Aucun chiffre n’a été donné sur le nombre de victimes.

La conseillère a ajouté que le président était régulièrement informé de la campagne et que des réunions avaient lieu quotidiennement au sein du FBI sur le sujet. En outre, la Maison-Blanche souhaite « exiger des pratiques minimales de cybersécurité dans les télécommunications, qu'il s'agisse de configurations sécurisées, d'une architecture permettant de surveiller les comportements anormaux ou d'une gestion rigoureuse des clés », à l’instar de ce qui existe déjà pour les oléoducs, les chemins de fer, l'aviation et les ports.

Multiples critiques sur les carences en cybersécurité

L’exécutif américain se montre très critique face aux entreprises piratées. En filigrane, apparait une mauvaise volonté face au renforcement de la sécurité. « Nous pensons que l'approche volontaire s'est révélée inadéquate pour les entreprises les plus importantes qui sont à la base de notre infrastructure critique. Nous voulons donc compléter les efforts de la CISA par des efforts réglementaires », met en garde la Maison-Blanche.

L’avertissement est d’autant plus concret qu’Anne Neuberger a évoqué de possibles sanctions supplémentaires pour la Chine. Le gouvernement « prend au sérieux la menace d'un engagement de la RPC [République Populaire de Chine] ou d'autres adversaires étrangers dans notre infrastructure et continuera à prendre des mesures qui protègent au mieux la sécurité nationale de tous les Américains », a ainsi déclaré la conseillère.

À Washington, un porte-parole de l’ambassade de Chine a nié fermement que le pays était à l’origine de la campagne de piratage. « La Chine s'oppose fermement à toutes sortes de cyberattaques et les combat », a-t-il déclaré à NBC News.

Les propos acerbes de la Maison-Blanche ont eu le temps d’être préparés. Les premiers rapports sur le piratage des sociétés de télécommunications datent en effet de début octobre. Nous nous en étions alors faits l’écho. Un mois plus tard, nous apprenions que le directeur du Consumer Financial Protection Bureau avait fait circuler aux employés de l’agence une note leur recommandant fortement de ne plus utiliser les appels vocaux classiques pour téléphoner. Dans un article du Wall Street Journal, un ancien fonctionnaire notait également la réticence croissante et générale du recours au téléphone portable.

L'armée américaine fustigée par deux sénateurs

Ce problème de sécurisation des communications transparait aussi dans une autre polémique aux États-Unis. Deux sénateurs, le démocrate Ton Wyden (très connu sur les questions de sécurité et de vie privée) et le républicain Eric Schmitt, critiquent ainsi frontalement l’armée américaine pour sa gestion des communications non classifiées. Et cette fois, il est clairement fait mention du chiffrement de bout en bout.

Les deux sénateurs critiquent « l’adoption généralisée d’outils propriétaires non sécurisés ». C’est le résultat, selon eux, d’une absence d’exigence sur le chiffrement de bout en bout, considéré comme « une pratique exemplaire en matière de cybersécurité ». La faute en reviendrait aux dirigeants du ministère de la Défense : « ils n'ont pas accordé la priorité à la sécurité des communications lors de l'évaluation des différentes plates-formes de communication ».

Tous les œufs dans le même panier

« L'incapacité du ministère de la Défense à sécuriser ses communications vocales, vidéos et textuelles non classifiées avec une technologie de chiffrement de bout en bout l'a rendu inutilement vulnérable à l'espionnage étranger », martèlent les sénateurs dans une lettre ouverte bipartisane (PDF). Ils demandent l’ouverture d’une enquête « sur l'incapacité du ministère de la Défense à sécuriser ses communications » et recommandent « les changements de politique nécessaires pour protéger les communications du ministère de la Défense contre les adversaires étrangers ».

Wyden et Schmitt critiquent plus précisément le contrat Spiral 4 du ministère sur les télécommunications, négocié avec les opérateurs pour équiper le personnel civil et militaire. Le ministère de la Défense se serait passé d’audits indépendants, pourtant réalisés.

En plus de la lettre, publiée mercredi, les sénateurs ont introduit hier un projet de loi bipartisan nommé Protecting AI and Cloud Competition in Defense Act. Ciblant une nouvelle le ministère de la Défense, le projet « propose une réglementation significative pour encourager la concurrence et uniformiser les règles du jeu, afin que les petites et moyennes start-ups aient un siège à la table de l'innovation en matière de cloud et d'IA au sein du DOD ».

« À l'heure actuelle, tous nos œufs sont dans le même panier géant de la Silicon Valley. Non seulement cela étouffe l'innovation, mais c'est plus coûteux et cela augmente sérieusement nos risques de sécurité », a renchéri la sénatrice démocrate Elizabeth Warren.

Le Sénat américain, dans son ensemble, demande désormais des explications sur l'ensemble de ces problèmes, comme le rapportait Reuters mercredi. Dans les deux cas, les opérateurs de téléphonie sont au centre des polémiques.