top of page

Typhon de sel : ce que les conseils d'administration doivent savoir sur l'expansion de la campagne de cyberespionnage en Chine

  • Photo du rédacteur: Bridge Connect
    Bridge Connect
  • 28 août
  • 8 min de lecture

28 août 2025


Points à retenir pour les dirigeants

  • Salt Typhoon est un acteur d'espionnage lié à la Chine qui, selon plusieurs gouvernements, a compromis les réseaux de plus de 80 pays , avec un impact notable sur les télécommunications et les infrastructures critiques .

    Reuters

    Le Washington Post


  • De récents avis conjoints lient la campagne aux entreprises commerciales chinoises soutenant les activités de l'État , tandis que les actions américaines incluent des sanctions contre au moins une entité pour avoir soutenu Salt Typhoon. Il faut s'attendre à un examen plus approfondi des réglementations et des marchés publics.

    Reuters


  • L'accès initial s'appuie souvent sur des dispositifs d'accès en périphérie et à distance (par exemple, VPN, pare-feu, gestion à distance), suivis de techniques « hors site » qui s'intègrent aux activités administratives habituelles. L'application de correctifs et la configuration de ces points de contrôle constituent la réduction des risques la plus rentable.

    The Hacker News

    CISA


  • Les télécommunications, les transports, l'énergie et les administrations publiques sont des cibles de choix en raison de la valeur stratégique des données (enregistrements d'appels, métadonnées des abonnés, routage et interfaces OT). Supposons une reconnaissance à long terme et une collecte d'identifiants.

    Reuters

    CISA


  • Les conseils d'administration doivent mettre en œuvre un programme de 30, 60 ou 90 jours axé sur : (1) le renforcement et l'inventaire des périphériques périphériques, (2) les contrôles d'accès privilégiés et l'hygiène des informations d'identification, (3) la télémétrie et la détection des abus des outils d'administration, (4) les contrôles des fournisseurs pour les MSP/NHN et (5) les simulations de crise pour les scénarios de perturbation adjacents aux télécommunications.

    CISA


1) Qu'est-ce que « Salt Typhoon » et en quoi diffère-t-il des autres acteurs de « Typhoon » ?

La dénomination standardisée de Microsoft utilise « Typhoon » pour les acteurs malveillants attribués à la Chine (par exemple, Volt Typhoon, Flax Typhoon, Silk Typhoon). Salt Typhoon est un groupe distinct au sein de cette famille, suivi par les gouvernements et de nombreux fournisseurs ; certains avis signalent des chevauchements avec d'autres labels du secteur (par exemple, GhostEmperor, les désignateurs de type UNC). Point important pour les dirigeants : Salt Typhoon ≠ Volt Typhoon , bien que tous deux soient attribués à la Chine et ciblent des secteurs stratégiques.


2) Quoi de neuf et pourquoi c'est important maintenant

Au cours des dernières 48 heures, une coalition internationale (États-Unis, partenaires du Five Eyes et autres) a publiquement dénoncé trois entreprises chinoises pour leur soutien à l'espionnage soutenu par l'État, liant explicitement ces activités à Salt Typhoon et aux campagnes connexes contre les télécommunications et les infrastructures critiques. Les autorités américaines ont sanctionné au moins une de ces entreprises. Par ailleurs, de grands médias font état de l' ampleur et de la portée géographique de ces activités plus de 80 pays et des centaines d'organisations –, le vol de données de télécommunications étant l'un des impacts. Pour les conseils d'administration, cela marque un changement de politique et d'application : attendez-vous à davantage de dénonciations, de sanctions et de restrictions en matière d'approvisionnement .

Les rapports britanniques font également état d'intrusions dans les infrastructures nationales critiques du Royaume-Uni , soulignant qu'il ne s'agit pas uniquement d'un problème américain . Le profil de risque s'étend à l'Europe et aux marchés alliés, en particulier là où les infrastructures existantes et les retards de mise à jour des correctifs sont importants.


3) Objectifs fixés et impact commercial

Qui est dans le collimateur ?

  • Fournisseurs de télécommunications et d'accès Internet : données d'abonnés et d'appels, métadonnées d'interconnexion, interfaces d'interception légale, configurations cœur et périphérie. Avantages stratégiques : connaissance de la situation et levier potentiel en cas de crise.

  • Transport, énergie, hébergement, gouvernement, contiguïté de la défense : magasins d'identité, réseaux d'entrepreneurs, passerelles OT, données de mouvement et de logistique - permettant la collecte de renseignements et le prépositionnement.

Quel est l’impact sur l’entreprise ?

  • Exposition réglementaire : obligations en matière de confidentialité des télécommunications et de sécurité nationale ; risque d’amendes, conditions de licence ou mesures d’atténuation obligatoires.

  • Risque opérationnel : intrusions de longue durée qui survivent aux cycles de rafraîchissement des appareils ; intégrité de la télémétrie NOC/SOC remise en question lorsque les outils d'administration sont utilisés de manière abusive.

  • Risque commercial : érosion de la confiance des clients, désabonnement et pénalités contractuelles B2B en cas de violation des SLA ou des addenda de sécurité.


4) Comment fonctionne Salt Typhoon : TTP courants

Bien que les techniques varient selon l’environnement de la victime, les orientations et les rapports récents mettent en évidence quatre thèmes récurrents :

  1. Exploitation des périphériques périphériques. Les VPN, pare-feu, passerelles SASE et outils de gestion à distance non corrigés ou en fin de vie sont des points d'accès initiaux privilégiés. Surveillez particulièrement les périphériques situés hors de la visibilité EDR ou dépourvus de journalisation robuste par défaut.

  2. Accès aux identifiants et « vivre de la terre ». Après une compromission, les acteurs se tournent vers des outils d'administration intégrés (PowerShell, WMI, applets de commande), des services Windows natifs et des infrastructures d'administration à distance légitimes pour se déplacer latéralement avec une empreinte minimale de logiciels malveillants. Cela complique la détection et la définition de la portée des incidents.

  3. Durée de conservation prolongée et mise en scène. Tradecraft privilégie la persistance discrète et la mise en scène des données (en particulier les métadonnées précieuses pour le renseignement électromagnétique). Attendez-vous à une exfiltration sélective, et non à des attaques de type « smash-and-grab ».

  4. Chaîne d'approvisionnement et parcours MSP. Les connexions de confiance (fournisseurs de services gérés, intégrateurs de réseaux, partenaires d'hébergement neutres ) peuvent amplifier l'accès et la réutilisation des identifiants. L'héritage des contrôles est un risque pour le conseil d'administration, et pas seulement un détail d'approvisionnement.


5) Pourquoi les télécommunications sont un terrain prioritaire

Les télécommunications offrent une visibilité à l'échelle nationale : qui parle à qui, quand et d'où (même sans contenu). L'accès aux enregistrements détaillés des appels et aux métadonnées des abonnés offre une valeur de renseignement considérable. Les rapports liés à Salt Typhoon indiquent que le vol de données de télécommunications est un résultat notable, et les agences alliées avertissent que cette campagne est plus vaste que les révélations précédentes – un signal pour les opérateurs d'accélérer les programmes de renforcement.


6) Plan de 30, 60 et 90 jours pour les conseils d'administration et les RSSI


Jours 0–30 : Fermez les portes d’entrée

  • Recensement et application rapide des correctifs des périphériques. Établissez un inventaire fiable des périphériques connectés à Internet (VPN, pare-feu, SD-WAN/routeurs, gestion à distance). Corrigez ou atténuez les failles actuellement exploitées ; isolez ou remplacez les périphériques en fin de vie. Définissez un programme nominatif avec un suivi hebdomadaire visible par le conseil d'administration.

  • Renforcez l'accès à distance. Appliquez une MFA résistante au phishing , limitez l'accès aux emplacements connus uniquement et exigez des approbations par session pour les connexions privilégiées.

  • Allumez les lumières. Assurez une journalisation complète sur les périphériques ; transférez-les vers un SIEM avec une conservation ≥ 180 jours . Si l'appareil ne peut pas enregistrer suffisamment, considérez-le comme non fiable et segmentez-le.


Jours 31 à 60 : Éliminer les mouvements latéraux faciles

  • Gestion des accès privilégiés. Comptes sécurisés, administration juste-à-temps , rotation des identifiants locaux et désactivation des protocoles hérités.

  • Actualisation de la segmentation du réseau. Séparez les plans de gestion des plans utilisateur/données ; utilisez des hôtes de saut privilégiés avec enregistrement de session.

  • Ingénierie de détection. Créez des détections pour détecter les abus d'outils d'administration (WMI, PowerShell Remoting), les schémas RDP/WinRM atypiques et les pics soudains d'énumération des répertoires . Correspondance avec les objectifs de couverture MITRE ATT&CK liés à ces TTP.


Jours 61 à 90 : Faire preuve de résilience

  • Exercices sur table et exercices axés sur les menaces. Exécutez un scénario de type Salt-Typhoon : exploitation d'un périphérique périphérique → vol d'identifiants → déplacement latéral vers les systèmes de données des abonnés. Incluez les points de décision relatifs aux notifications juridiques/communications et aux autorités de régulation .

  • Contrôles des fournisseurs et des MSP. Exigez une nomenclature logicielle (SBOM) ou, au minimum, des accords de niveau de service (SLA) pour les correctifs et l'isolation des identifiants pour les tiers. Exigez des identités distinctes et des secrets par locataire .

  • Indicateurs de résultats. Rapport au conseil d'administration : délai moyen de mise à jour des correctifs pour les CVE périphériques ; pourcentage de sessions privilégiées via PAM ; pourcentage d'appareils connectés à Internet avec télémétrie complète ; écarts de couverture D3E/ATT&CK d'un mois à l'autre.


7) Priorités spécifiques aux opérateurs de télécommunications (MNO, NHN, TowerCos, vente en gros)

  • Interopérabilité cœur et périphérie : audit de l'exposition SS7/Diameter/SBA et de la sécurité des interconnexions ; examen des interfaces d'interception légale et de la sécurité de la médiation.

  • Zones de données CDR et abonnés : implémentez des diodes de données ou un accès négocié ; alertez sur les requêtes CDR en masse et les exportations anormales.

  • Partenaires hôtes neutres et petites cellules : exigez des attestations de base de configuration , une gestion segmentée et des clés qui ne quittent jamais les politiques des locataires.

  • Points de contact TowerCo OT : inventoriez tous les systèmes de télémétrie, d'énergie et de contrôle d'accès à distance ; séparez ces réseaux de gestion de l'informatique de l'entreprise.

  • Communications d'incident : convenez au préalable des manuels de notification des régulateurs et des entreprises-clients pour les événements d'exposition aux métadonnées .


8) Implications juridiques, réglementaires et en matière d'approvisionnement

  • Sanctions et listes d'entités. Des entreprises étant désormais accusées de soutenir l'espionnage, il est important de comparer les listes de fournisseurs aux listes de sanctions et de se préparer à une substitution rapide en cas de dépendance. Ce point est particulièrement important pour les services gérés et les outils d'administration à distance . Reuters

  • Risque lié aux données transfrontalières. Revoir la base juridique et la résidence des données pour les CDR/métadonnées, en particulier lorsque des tiers disposent d'un accès administrateur.

  • Amélioration contractuelle. Intégrer des addenda de sécurité exigeant des accords de niveau de service (SLA) de correctifs pour les périphériques périphériques, la preuve de l'isolement des informations d'identification et le signalement rapide des compromissions .


9) Comment briefer votre conseil d'administration

  • Menace : le typhon Salt lié à la Chine s'étend, et est désormais publiquement lié aux télécommunications et aux infrastructures critiques à l'échelle mondiale.

  • Exposition : appareils Edge, administration à distance, magasins d'identités ; espionnage de longue durée avec des techniques à faible bruit.

  • Actions ce trimestre : sprint de correctifs Edge, déploiement de PAM, détection des abus d'outils d'administration, isolation des informations d'identification des fournisseurs, tabletop Salt-Typhoon.

  • KPI : % d'appareils connectés à Internet corrigés dans le cadre du SLA ; % de sessions privilégiées via PAM ; couverture des techniques ATT&CK liées aux avis récents.


10) Perspective de clôture

Salt Typhoon est une menace stratégique et non opportuniste : elle cible les réseaux qui sous-tendent la vie nationale et le pouvoir de l’État.

Pour les opérateurs et les acteurs des infrastructures critiques, les gains les plus rapides résident dans la fermeture des expositions périphériques , le renforcement des identités et la garantie que la télémétrie peut réellement détecter les outils d’administration « légitimes » utilisés de manière illégitime.

Les gouvernements nommant désormais les entreprises et imposant des sanctions , il faut s’attendre à davantage d’attentes réglementaires et de demandes d’assurance de la part des clients et des autorités.

Les organisations capables de démontrer des progrès mesurés – avec des indicateurs clés de performance clairs – seront les mieux placées pour tenir à distance les attaquants et les régulateurs .

 
 

Posts similaires

Voir tout
bottom of page