Avertissement du FBI : Salt Typhoon a « brisé les normes de communication » - 200 entreprises dans 80 pays : le « silencieux intrus » Salt Typhoon d'origine chinoise dessine les contours d'une surveillance mondiale

1) Ce qui s'est passé : de 9 entreprises à "200 entreprises"

Le 27 août (heure américaine), le chef du département cyber du FBI a déclaré que les intrusions par Salt Typhoon avaient atteint au moins 200 entreprises aux États-Unis. Depuis que les violations de 9 grandes entreprises de télécommunications et d'Internet aux États-Unis ont été découvertes l'année dernière, les cibles se sont élargies horizontalement et verticalement. Cette déclaration, largement partagée par le reportage de TechCrunch, symbolise le changement de perspective des autorités d'enquête vers une "traversée des secteurs industriels".TechCrunch

Cette évaluation est soutenue par un avis cybernétique conjoint signé par 13 pays (États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande, Allemagne, Italie, Japon, Pays-Bas, Finlande, République tchèque, Pologne, Espagne). Le document est cohérent avec les reportages qui soulignent que l'impact s'est fait sentir dans "80 pays", allant des télécommunications au gouvernement, en passant par les transports, l'hébergement et le secteur militaire.CISAThe Washington PostWall Street Journal

2) Quelle a été la profondeur de l'intrusion ?

Selon les reportages des principaux journaux américains, l'opération a continué depuis environ 2019, touchant potentiellement des informations liées aux enregistrements d'appels, à certaines données de localisation, et même aux systèmes de communication pour l'application de la loi. Le FBI a alerté environ 600 entreprises et organisations, distribuant des informations techniques pour la détection et la containment.Wall Street Journal

Salt Typhoon, un nom attribué par Microsoft, désigne un "cluster" d'espionnage présumé lié à la Chine. Des alias tels que OPERATOR PANDA, GhostEmperor, UNC5807/UNC2286, FamousSparrow apparaissent dans la littérature, avec des observations croisées par diverses entreprises et agences.CISAMicrosoft Learnvaronis.comtrustwave.com

3) Comment sont-ils entrés : Points clés des TTP

En combinant les avis conjoints et les explications techniques des médias, les TTP (tactiques, techniques et procédures) peuvent être résumés en trois points principaux.

• Exploitation en chaîne des vulnérabilités connues des appareils de périmètre : Expansion horizontale à partir de points non corrigés sur les routeurs, VPN, pare-feu, etc.Masquage des traces de modification de configuration et altération de la transmission des journaux pour prolonger la présence.CISAThe Hacker News

• Vol d'informations d'identification et "résidence" des dispositifs : Extraction des informations d'identification sur les appareils, ajout d'environnements virtualisés et de tunnels réseau pour une connexion cachée à un C2 externe.CISA

• Ciblage des données de communication : Accès aux métadonnées des appels et identification des cibles de haute valeur de surveillance par la compréhension du contrôle du réseau.Wall Street Journal

L'avis recommande de fournir les IOC (indicateurs de compromission) et les règles de détection sous forme de JSON, et d'élever la vérification de l'intégrité du firmware des appareils et l'audit des différences de configuration au rang de "norme d'exploitation continue".CISA

4) Réactions sur les réseaux sociaux : Écart entre le terrain et l'opinion publique

• Le compte officiel du FBI a encouragé la référence à l'avis conjoint sur X, appelant les défenseurs du réseau à adopter des mesures concrètes. Le ton est une réaffirmation de la "menace persistante".X (anciennement Twitter)

• Parmi les journalistes de sécurité, l'ampleur de **"200 entreprises, 80 pays"** a été soulignée comme un signal fort, et a été largement partagée sur Mastodon, avec des publications se référant aux reportages du Washington Post.Mastodon hébergé sur mastodon.socialThe Washington Post

• Les comptes officiels des médias de l'industrie ont rapporté que "Salt Typhoon a été classé comme la menace la plus élevée dans l'avis international conjoint", recommandant la gestion des CVE et la conservation des journaux des appareils de périmètre.X (anciennement Twitter)

Sur les réseaux sociaux, les trois thèmes pratiques qui ont émergé comme tendances sont : "promotion de l'utilisation des messages E2EE", "révision de l'authentification basée sur les appels et SMS", et "gestion des versions des configurations des appareils". En revanche, dans les échanges géopolitiques, le démenti de l'implication du gouvernement chinois s'est également répandu, prenant la forme d'une guerre de l'information.Reuters

5) Signification pour le Japon : "Devenir partie prenante" de la déclaration conjointe

Le Japon est un signataire de l'avis conjoint, et les infrastructures critiques nationales (télécommunications, transports, hébergement, public) sont des "parties prenantes" des mesures. En particulier,

• audit de configuration des appareils de périmètre (tunnels non utilisés ou NAT/ACL suspects)

• conservation externe des journaux des appareils (transfert SIEM + détection de falsification)

• visualisation automatique des opérations sur le terrain (différences de configuration et intégrité du firmware)
  sont devenus des "lignes de base" à normaliser, même au prix des coûts d'exploitation.The Hacker NewsCISA

6) Actions concrètes à prendre maintenant (pour les CISO/équipes d'exploitation)

1. Tâche immédiate d'application de l'avis : Obtenez et appliquez les IOC/règles de détection de l'AA25-239A, et chassez dans les journaux des 90 derniers jours.CISA

2. "Inventaire complet SBOM + version" des appareils de périmètre : Inventoriez les versions vulnérables sur les appareils Cisco/Juniper/Palo Alto/autres, et planifiez le remplacement pour les EoL/EoS.The Hacker News

3. Retrait de l'authentification basée sur les appels/SMS : Les départements à haut risque devraient passer aux messages chiffrés ou à FIDO2, et interdire en principe les communications confidentielles sur les lignes vocales. Intégrez le contexte des reportages dans les directives internes.Wall Street Journal

4. Audit continu des "différences de configuration" : Hachage et comparaison quotidienne des