Les services de renseignement occidentaux ont révélé, mercredi, comment des pirates chinois compromettent les infrastructures télécoms depuis plusieurs années. Leur rapport évoque une opération d'espionnage numérique qui touche des milliers d'équipements réseau à travers le monde.
Une coalition inédite de 23 agences de cybersécurité du monde entier, réunies autour de la NSA, l'Agence de sécurité nationale américaine, vient de publier un rapport via lequel elle tire la sonnette d'alarme sur une menace d'ampleur exceptionnelle. Depuis 2021, des hackers soutenus par Pékin infiltrent les infrastructures télécoms mondiales, en transformant des routeurs et équipements réseau en véritables postes d'écoute.
Une infiltration méthodique des autoroutes de l'information mondiale
L'opération détaillée est connue sous différents noms selon les experts en cybersécurité, par exemple Salt Typhoon, OPERATOR PANDA ou encore RedMike. Elle nous apprend que les pirates n'utilisent pas de failles inconnues sophistiquées, mais exploitent avec patience des vulnérabilités publiques que de nombreuses organisations négligent de corriger. Cela leur permet de pénétrer discrètement les défenses, comme un cambrioleur qui entrerait par une fenêtre laissée ouverte plutôt que de forcer la porte principale.
Une fois à l'intérieur d'un routeur, les attaquants déploient un arsenal technique impressionnant. Ils modifient les listes de contrôle d'accès pour garantir leur retour, ouvrent des ports de communication sur des numéros inhabituels pour passer inaperçus, et activent des fonctions de capture du trafic réseau normalement destinées au diagnostic. C'est un peu comme s'ils installaient des micros et des caméras dans chaque appareil compromis, pour bâtir un vaste réseau de surveillance invisible aux yeux des utilisateurs.
Le mode de propagation rappelle d'ailleurs une contagion virale maîtrisée. Les cybercriminels utilisent chaque routeur compromis comme tremplin vers d'autres réseaux, en exploitant les connexions de confiance entre opérateurs télécoms. Quand deux fournisseurs d'accès échangent du trafic, cette interconnexion devient une backdoor (une porte dérobée) vers de nouvelles victimes. Les enquêteurs ont ainsi identifié des compromissions aux États-Unis, au Canada, en Nouvelle-Zélande, mais aussi en Europe, au Royaume-Uni.
Des entreprises chinoises au service du renseignement étatique
Les enquêteurs occidentaux ont, et c'est assez rare, carrément désigné trois sociétés chinoises impliquées. Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology et Sichuan Zhixin Ruijie Network Technology ne sont pas de simples entreprises privées. Selon les services de renseignement, elles fournissent directement outils et services aux agences d'espionnage chinoises, ce qui brouille la frontière entre secteur privé et appareil d'État.
L'objectif de cette surveillance massive devient plus clair quand on examine les cibles. En compromettant les opérateurs télécoms et les fournisseurs d'accès Internet, les espions accèdent aux métadonnées de communications, autrement dit qui appelle qui, d'où, quand et pour combien de temps. Ces informations, apparemment anodines, permettent en réalité de dresser des cartes relationnelles précises, d'identifier les habitudes de déplacement, et même de repérer les personnes d'intérêt pour le renseignement chinois.
Les secteurs visés ne se limitent pas qu'aux télécommunications. On retrouve aussi des compagnies de transport, des hôtels et, plus grave encore, des infrastructures militaires. Imaginez pouvoir suivre un diplomate depuis sa réservation d'hôtel jusqu'à ses communications professionnelles, en passant par ses déplacements. C'est exactement ce que permet cette architecture d'espionnage, qui fait de l'infrastructure numérique mondiale un gigantesque système de renseignement au service de Pékin.
Pour contrer la menace, l'Occident se mobilise comme rarement
La réponse des démocraties occidentales peut être vue comme une rupture avec les pratiques habituelles du contre-espionnage. Car au lieu du silence traditionnellement observé, les agences de cybersécurité publient ensemble un rapport technique détaillé de plusieurs dizaines de pages, 37 au total. L'idée est de permettre à chaque organisation de vérifier si ses équipements sont compromis, même si des discussions plus discrètes ont sans aucun doute eu lieu, et de prendre les mesures nécessaires pour expulser les intrus.
Des recommandations techniques sont aussi évoquées dans le rapport. On parle par exemple de désactivation des protocoles obsolètes, d'isolation complète des réseaux de gestion, ou de surveillance continue des configurations, soit autant de mesures qui reflètent la gravité de la menace. Les experts insistent particulièrement sur l'application immédiate des correctifs de sécurité, et rappellent que la majorité des intrusions exploitent des vulnérabilités connues depuis des mois, voire des années.
Alors que nos sociétés dépendent toujours plus des réseaux de communication, ces mêmes infrastructures deviennent des vecteurs d'espionnage à grande échelle. La bataille pour la sécurité des télécommunications ne fait que commencer. Elle est d'autant plus dangereuse qu'elle oppose des États aux ressources illimitées à des entreprises privées souvent dépassées par l'ampleur de la tâche. Dans cette guerre invisible, chaque routeur non sécurisé devient une brèche potentielle dans la souveraineté numérique des nations.
