Au moins huit entreprises de télécommunications américaines et des dizaines de pays ont été touchés cette semaine par ce qu’un haut responsable de la Maison Blanche a qualifié de campagne de piratage chinoise qui a également suscité des inquiétudes quant à la sécurité de la messagerie texte.
Lors d’une conférence de presse mercredi, la conseillère adjointe américaine à la sécurité nationale, Anne Neuberger, a partagé des détails sur l’ampleur d’une vaste campagne de piratage informatique qui a permis aux responsables de Pékin d’accéder aux SMS privés et aux conversations téléphoniques d’un nombre inconnu d’Américains.
Un groupe de pirates informatiques connu sous le nom de Salt Typhoon est accusé d’être à l’origine de l’attaque ciblant des entreprises, parmi lesquelles AT&T, Verizon et Lumen Technologies. Les responsables de la Maison Blanche ont prévenu que le nombre d’entreprises de télécommunications et de pays touchés pourrait encore augmenter.
Les experts canadiens en cybersécurité qui prêtent une attention particulière à cette dernière violation affirment que certaines pratiques industrielles et réglementations gouvernementales qui permettent aux organismes de renseignement d’accéder au système de télécommunications font partie du problème. Ces experts et les responsables de l’application des lois américaines recommandent aux citoyens de prendre des mesures pour protéger leurs messages texte.
“L’attaque qui se déroule aux États-Unis est le reflet des vulnérabilités historiques et persistantes des réseaux de télécommunications à travers le monde, et certaines de ces vulnérabilités sont aggravées par le gouvernement”, a déclaré Kate Robertson, avocate et chercheuse principale à l’Université de Washington. Le Citizen Lab de Toronto, qui étudie les menaces numériques contre la société civile.
Bien que le piratage se soit apparemment concentré sur des politiciens et des représentants du gouvernement américains, les experts affirment que les messages texte SMS classiques, comme ceux proposés par la plupart des opérateurs de téléphonie mobile, ne sont pas très sécurisés car ils ne sont pas cryptés.
“Nous sommes constamment bombardés d’inquiétudes concernant le phishing, les escroqueries par courrier électronique et les liens malveillants”, a déclaré le consultant en sécurité Andrew Kirsch, ancien officier du renseignement au Service canadien du renseignement de sécurité (SCRS).
“Cela met en lumière le fait que l’autre vulnérabilité réside dans nos télécommunications, nos appels téléphoniques et nos messages texte.”
L’impact sur les entreprises canadiennes encore inconnu
CBC News a contacté la GRC, le Centre canadien pour la cybersécurité et le SCRS pour demander si l’une des cyberattaques avait compromis les utilisateurs ou les entreprises de communication canadiens, mais n’a pas encore reçu de réponse.
Plus tôt cette semaine, le Centre canadien pour la cybersécurité a publié une sortie conjointe avec les États-Unis., l’Australie et la Nouvelle-Zélande avec des conseils de sécurité pour des entreprises comme les fournisseurs de téléphonie mobile sur “visibilité améliorée et renforcement de l’infrastructure de communication.”
CBC News a également contacté les plus grands fournisseurs de téléphonie mobile du Canada, Bell, Rogers et Telus, pour leur demander si leurs réseaux avaient été ciblés et violés lors de la même attaque. Rogers et Telus n’ont pas répondu avant la publication.
Bell a déclaré qu’elle était au courant d’une attaque “très sophistiquée” aux États-Unis et qu’elle travaillait avec des partenaires gouvernementaux et d’autres sociétés de télécommunications “pour identifier tout incident de sécurité potentiellement lié à nos réseaux”.
L’entreprise de télécommunications affirme n’avoir vu aucune preuve d’une attaque, mais continue “d’enquêter et de maintenir sa vigilance”.
Comment ces attaques se produisent
Robertson a expliqué que ces attaques sont rendues possibles en partie parce que les gouvernements ont « donné la priorité à l’objectif de surveillance plutôt qu’à la sécurité de l’ensemble du réseau d’utilisateurs ».
Elle affirme que les chercheurs en sécurité préviennent depuis longtemps que les « portes dérobées » légales que les gouvernements utilisent pour surveiller la criminalité et l’espionnage sur les lignes fixes et les téléphones portables peuvent également être « exploitées par des acteurs indésirables », exposant ainsi des réseaux entiers d’utilisateurs.
Son collègue du Citizen Lab, Gary Miller, spécialisé dans les menaces contre les réseaux mobiles, affirme que les interconnexions entre les différentes entreprises et pays en termes de réseaux de communication constituent une autre faiblesse.
Par exemple, il a déclaré que passer un appel téléphonique international d’un point A à un point B nécessite une interconnexion entre les opérateurs de réseau, tout comme l’itinérance internationale avec les téléphones mobiles.
“Et le fait qu’il soit nécessaire d’ouvrir ces réseaux afin de garantir une expérience transparente à l’utilisateur entraîne en réalité des vulnérabilités spécifiques.”
Il affirme qu’à mesure que les réseaux deviennent plus rapides et plus fiables, ils sont également devenus plus sûrs, mais il note que les normes de sécurité requises par la loi pour le secteur des télécommunications ne sont pas assez strictes.
“Il n’y a aucune responsabilité, vous savez, pour ce type de sécurité et d’incidents”, a-t-il déclaré. “Et c’est vraiment ce qui doit arriver.”
Préoccupations concernant la sécurité des textes
À la suite de ce piratage, des inquiétudes concernant la sécurité des messages texte sont apparues.
Le FBI a déclaré que les utilisateurs d’appareils Android et Apple peuvent continuer à envoyer des SMS aux utilisateurs possédant les mêmes appareils, car ils disposent de systèmes de messagerie sécurisés en interne.
Cependant, le bureau a mis en garde contre les utilisateurs Apple qui envoient des messages aux utilisateurs Android ou vice versa, et a plutôt encouragé les utilisateurs à envoyer des messages texte via une application tierce qui fournit un cryptage de bout en bout.
Robertson et Miller recommandent aux gens d’installer ces applications de messagerie, comme Signal ou Whatsapp, sur leur téléphone et de les utiliser à tout moment.
Robertson affirme que Signal donne aux utilisateurs accès à « une forme de cryptage de référence » très conviviale, et a noté que « des choses très similaires peuvent être dites à propos de WhatsApp ».
Miller dit qu’il préfère Signal parce que c’est une organisation à but non lucratif, alors que WhatsApp appartient à Meta.
Kirsh dit que si les gens utilisent régulièrement la messagerie texte, il leur recommande de ne jamais écrire de message qu’ils ne « mettraient pas sur une carte postale et ne l’enverraient pas physiquement » parce que « une fois que vous avez diffusé cette information dans le monde, vous avez perdu le contrôle de il.”
Un objectif politique et la puissance de la Chine
En novembre, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié une déclaration commune confirmant l’existence d’une « vaste et importante campagne de cyberespionnage » ciblant les États-Unis.
Stephanie Carvin, professeure agrégée à l’Université Carleton et ancienne analyste de la sécurité nationale, affirme que le piratage démontre à quel point les opérations d’espionnage chinoises dirigées vers l’Occident sont vastes et bien financées.
“Quand vous entendez parler d’une attaque comme celle-ci, il n’y a pas un seul but ici”, a déclaré Carvin à CBC News. “Avec ces données, (la Chine) peut faire beaucoup de choses très spécifiques en termes de ciblage, mais (elle) peut également développer des modèles généraux qui peuvent aider les opérations à long terme.”
Selon Neuberger, conseillère adjointe à la sécurité nationale, les pirates de Salt Typhoon ont pu accéder aux communications de hauts responsables du gouvernement américain, mais lors d’un appel avec des journalistes, elle a déclaré qu’elle ne pensait pas qu’aucune communication classifiée ait été compromise.
Neuberger a déclaré que les entreprises concernées réagissent toutes, mais n’ont pas encore empêché les pirates informatiques d’accéder aux réseaux.
“Il existe donc un risque de compromission continue des communications jusqu’à ce que les entreprises américaines comblent les lacunes en matière de cybersécurité”, a-t-elle déclaré.
Un porte-parole de l’ambassade de Chine à Washington a nié que le pays soit à l’origine de cette campagne de piratage.
“Les États-Unis doivent mettre un terme à leurs propres cyberattaques contre d’autres pays et s’abstenir d’utiliser la cybersécurité pour diffamer et calomnier la Chine”, a déclaré Liu Pengyu.