En coopération avec le Federal Bureau of Investigation (FBI), le Centre canadien pour la cybersécurité a alerté le 20 juin sur une campagne de cyberespionnage attribuée au groupe Salt Typhoon, soutenu par la Chine. Cette opération vise en particulier les infrastructures de télécommunication au Canada.
Dans le détail, selon le bulletin d'alerte, trois dispositifs réseau d'un opérateur canadien – dont l'identité n'a pas été révélée – ont été compromis en février 2025. Les hackers ont exploité la faille critique "CVE-2023-20198", identifiée pour la première fois en octobre 2023 sur les équipements Cisco exécutant IOS XE avec interface Web UI activée. C’est cette interface web (Web UI) qui a été vulnérable dans la faille CVE-2023-20198, permettant à un attaquant d’en prendre le contrôle sans mot de passe si elle était exposée à Internet.
Intercepter le trafic réseau
Les cyberattaquants ont ainsi pu récupérer les fichiers de configuration actifs des équipements ciblés. Au moins un des fichiers a été modifié pour établir un tunnel GRE. Cette technique permet l'interception du trafic réseau et, donc, potentiellement la collecte de données sensibles et stratégiques.
Par ailleurs, le Centre canadien indique que les indicateurs de compromission observés se retrouvent aussi ailleurs, laissant penser que Salt Typhoon touche d'autres secteurs ou effectue des opérations de repérage. Il précise également que certaines activités semblent limitées à la reconnaissance réseau, c'est-à-dire l'obtention d'informations sans aller jusqu'à l'exfiltration ou la destruction.
Comme le rappelle l'organisme canadien, les fournisseurs de services de télécommunications constituent des cibles privilégiées pour les opérations de renseignement étatiques. En effet, ils concentrent d'importants volumes de données sur les communications, la géolocalisation, les utilisateurs et leurs appareils. Ces données peuvent ensuite être utilisées à des fins de surveillance.
Des opérateurs américains infiltrés
En 2024, des enquêtes ont révélé que les fournisseurs de services de télécommunications, dont des opérateurs américains, avaient été infiltrés par des hackers liés à la Chine. Des données de communication privées auraient été exfiltrées, principalement de personnes engagées dans des activités politiques.
Le groupe Salt Typhoon, actif depuis au moins 2012, est spécialisé dans les opérations contre les secteurs des télécommunications et de l'énergie. En février dernier, des chercheurs de la division Insikt de Recorded Future ont ainsi détecté une campagne exploitant des périphériques réseau Cisco IOS XE non mis à jour.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
