À la fin du mois de septembre, la presse américaine s’est fait l’écho d’une intrusion importante dont ont été victimes les principaux opérateurs de télécommunications par un acteur dont l’appellation dans la nomenclature de Microsoft (Salt Typhoon) suggère une affiliation étatique chinoise (1). Tout comme quatre ans auparavant, lors de la compromission de nombreuses agences fédérales par les services de renseignement extérieurs russes par le biais du logiciel Orion de l’entreprise SolarWinds, l’affaire a pris d’importantes proportions pour les décideurs politiques américains (2). À l’instar de celle-ci, Salt Typhoon révèle également les dilemmes stratégiques et les vulnérabilités structurelles au cœur de la politique de cybersécurité des États-Unis.
Autant que la nature de la cyberopération – une opération d’espionnage, activité couramment admise dans le cyberespace –, le contexte est éclairant. Il s’agit du troisième acteur associé à la Chine dont l’action est d’une telle ampleur (un quatrième, Silk Typhoon, a été révélé après la compromission dont a été victime le département du Trésor à la fin du mois de décembre 2024). Au printemps 2023 en effet, les autorités et les entreprises de cybersécurité, Microsoft en tête, avaient déjà mis en lumière une campagne de longue haleine menée par Volt Typhoon contre les infrastructures critiques à visée militaire et civile, dans le Pacifique comme sur le territoire continental des États-Unis. L’enjeu était alors de pouvoir circonscrire puis évincer la menace, son action n’étant pas assimilée à de l’espionnage, mais plutôt destinée à produire des effets en cas de crise entre les États-Unis et la Chine. À la fin de l’été, le FBI avait annoncé le démantèlement du réseau de botnets utilisé par un autre groupe (Flax Typhoon) pour conduire des campagnes d’espionnage contre des entités militaires, de télécommunications et de l’industrie de défense (une entreprise chinoise a été sanctionnée par l’administration Biden au début du mois de janvier 2025 pour l’appui logistique apporté à l’opération).
Mais Salt Typhoon s’avère d’emblée être politiquement très sensible. En effet, les premiers comptes rendus médiatiques soulignent la mise sur écoute probable par les hackers des téléphones de J. D. Vance et de Donald Trump ainsi que de la campagne Harris ou d’officiels de l’administration Biden (le nombre de cibles semble avoir été restreint même si les capacités d’écoute ont potentiellement concerné un très grand nombre de personnes de la région de Washington DC). Par ailleurs, Salt Typhoon aurait compromis les systèmes mis en place par les opérateurs de télécommunications pour répondre aux mandats d’écoute et d’interception émis par les services de renseignement ou les forces de police. Par ce biais, le groupe aurait eu accès à la liste des personnes susceptibles d’être sous la surveillance du FBI, tout particulièrement celle des potentiels agents chinois.
La gestion de cette affaire d’espionnage et de sécurité nationale éclaire le fonctionnement et les dilemmes de la réponse publique américaine. En premier lieu, les pouvoirs publics ont rapidement mis l’incident à l’agenda de l’action administrative, exécutive et législative. Les commissions du Congrès, la Maison-Blanche (conseil de sécurité nationale), les ministères et agences concernés (FBI, CIA, Agence pour la cybersécurité et la sécurité des infrastructures – CISA –, département du Trésor, département de la Sécurité intérieure) ont agi pour faire la lumière sur l’ampleur et les implications de la compromission, mais également pour y répondre.
Cette réponse a pris trois formes principales. En premier lieu, des actions de sécurisation immédiates comme le passage aux communications chiffrées pour l’administration fédérale, la communication de remédiations techniques à destination des victimes potentielles, etc. En second lieu, la machine habituelle de la réponse publique aux cyberopérations s’est mise en route, conformément aux routines et dispositions prises depuis 2018-2019 (attributions publiques par le FBI et la CISA, sanctions par le département du Trésor, opérations du Cyber Command, etc.). En troisième lieu enfin, et conformément aux logiques structurant la cybersécurité sous l’administration Biden, les pouvoirs publics ont cherché à remédier aux vulnérabilités structurelles révélées par l’intrusion. C’est notamment le cas pour le Congrès, dont les commissions et sous-commissions ont cherché à entendre les parties prenantes – agences fédérales et opérateurs privés – pour les pousser à agir et à évaluer les éventuelles réformes législatives. De son côté, la Commission fédérale des télécommunications (FCC) a rédigé de nouvelles règles imposant aux opérateurs américains de mettre en œuvre des procédures de cybersécurité pour protéger leurs réseaux (3). Enfin, la Maison-Blanche et le département de la Sécurité intérieure ont activé les mécanismes de gestion des crises et de retours d’expériences validés depuis 2021, notamment la demande adressée au Cyber Safety Review Board d’établir un rapport sur l’incident.
Bien que cohérente, cette réponse semble avoir été jugée insuffisante par les décideurs politiques, plus particulièrement les élus et les membres de la future et nouvelle administration Trump. Plusieurs d’entre eux se sont exprimés pour déplorer l’absence de réponse offensive destinée à « faire payer » les agresseurs (c’est notamment le cas de Michael Walz, conseiller à la sécurité nationale). Cette rhétorique occulte la sévérité et la rapidité inhabituelles des sanctions prises contre les entités chinoises pour l’ensemble des campagnes précitées, particulièrement les contractants du ministère de la Sécurité de l’État comme Sichuan Silence (décembre 2024), Integrity Technology (janvier 2025) et Sichuan Juxinhe Network Technology (toujours en janvier). Par ailleurs, le discours de l’« imposition des coûts » s’inscrit dans une représentation qui prétend calquer les logiques de la dissuasion par l’exercice de représailles dans un contexte stratégique (espionnage) et opérationnel (cyber) qui s’y prête difficilement.
Mais, plus largement, Salt Typhoon montre la sévérité des vulnérabilités structurelles des infrastructures critiques américaines. Dans ce cas particulier, le fait que les principaux opérateurs de télécommunications ne sont pas légalement tenus de mettre en place des standards de cybersécurité reflète la nature organique et faiblement régulée du processus historique de numérisation aux États-Unis. L’architecture législative et réglementaire ayant accompagné l’irruption des technologies numériques et leur adoption par le secteur des télécommunications – qui n’en a pas été un précurseur – date d’une trentaine d’années. Plus particulièrement, le Communications assistance for law enforcement act (CALEA) de 1994 encadre les procédures de collaboration entre les opérateurs et la justice, mais n’oblige en rien ces derniers à sécuriser leurs dispositifs. D’autre part, la loi est construite pour une infrastructure sur laquelle on greffe les moyens numériques, et non pour un système ouvert et en réseau connecté au cyberespace. Il est frappant que les recommandations visant à la sécurisation à long terme insistent sur la nécessité de réviser le cadre législatif et réglementaire pour aligner les opérateurs du secteur sur les standards des transports, de l’énergie ou du secteur financier. Salt Typhoon illustre donc l’impératif réglementaire et de standardisation des différents dispositifs de cybersécurité des secteurs essentiels, dossier que l’administration Biden a voulu prendre à bras-le-corps, notamment en s’appuyant sur la centralité de la commande publique pour faire évoluer les pratiques des fournisseurs avant de diffuser l’exemple au reste du secteur privé. Toutefois, l’arrivée de l’administration Trump et les décisions de la Cour suprême jettent un doute sur la poursuite de cet objectif à court et moyen terme.
Outre les obstacles auxquels doit faire face la régulation publique fédérale, Salt Typhoon souligne les dangers de la prise en main précoce de l’espace numérique par le secteur de sécurité nationale (services de renseignement et forces de police). La compromission des systèmes permettant l’interception légale des communications – objet du CALEA de 1994 – s’explique en réalité par la vulnérabilité qu’ils ont introduite chez les opérateurs. Comme pour la question des données à caractère personnel, manne pour les services de renseignement à l’ère du capitalisme de surveillance, l’existence de structures permettant la collecte d’informations au sein des infrastructures numériques et numérisées est une faille majeure. Si cette dernière a longtemps profité au système de sécurité nationale, appuyé sur un cadre législatif permissif et des capacités techniques hors pair, elle est aujourd’hui exploitée par les compétiteurs des États-Unis. D’autant plus que ces derniers profitent de l’architecture globale du cyberespace (technique, organisationnelle, réglementaire), modelée par le jeu des acteurs privés et publics américains depuis plus d’une trentaine d’années. Dernière grande « campagne cyber » menée contre les États-Unis sous l’administration Biden, Salt Typhoon sonne non pas comme un avertissement, mais comme le glas d’un cycle entamé par l’essor de l’Internet à la fin de la guerre froide et caractérisé par la faible régulation et la domination des acteurs américains.
Notes
(1) Sur ce point, voir la taxonomie mise en place par Microsoft au printemps 2023 et qui tend à s’imposer dans une logique d’harmonisation de la Cyber threat intelligence (CTI). John Lambert, « Microsoft shifts to a new threat actor taxonomy », Microsoft Blog Threat Intelligence, 18 avril 2023 (https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy).
(2) Le président démocrate de la commission du renseignement du Sénat a notamment déclaré qu’il s’agissait du « pire piratage des télécommunications de l’histoire de notre pays ».
(3) Il faut noter que le commissaire républicain Brendan Carr, nommé par Donald Trump pour prendre la tête de la commission, a voté contre cette disposition de la FCC, ce qui annonce une potentielle annulation.
Stéphane Taillat