En Bref

• La FCC prévoit de supprimer des règles clés de cybersécurité imposées après que des hackers chinois ont compromis d’importants opérateurs télécoms américains en 2024.
• La campagne “Salt Typhoon” a compromis les relevés d’appels de hauts responsables, dont Donald Trump et JD Vance.
• Les réglementations auraient exigé que les télécoms certifient chaque année des plans de gestion des risques cyber et adoptent des mesures de sécurité renforcées.
• Les groupes industriels affirment que les efforts volontaires suffisent ; les critiques mettent en garde contre des risques persistants pour la sécurité nationale.
• Le vote de la FCC pour abroger ces règles est prévu pour le 20 novembre.

Comment le piratage a ébranlé l’industrie

Imaginez un vaste réseau téléphonique comme une immense ville de centraux téléphoniques - chaque connexion étant une porte d’entrée potentielle pour les intrus. Fin 2024, des hackers soutenus par l’État chinois, surnommés “Salt Typhoon”, ont trouvé une faille. Ils ont discrètement infiltré au moins neuf géants américains des télécoms, siphonnant des quantités massives de relevés d’appels et interceptant même des messages et appels liés à de hauts responsables gouvernementaux. Donald Trump, le vice-président JD Vance et des membres seniors de leurs équipes figuraient parmi les 150 cibles de haut niveau. Ce n’était pas une simple curiosité : il s’agissait de la plus grande violation de télécommunications de l’histoire des États-Unis, selon le sénateur Mark Warner, révélant la vulnérabilité du réseau de communication américain.

D’une alerte à un recul : le revirement cyber de la FCC

En réponse à la brèche Salt Typhoon, l’ancienne administration de la FCC avait rapidement instauré de nouvelles règles : les télécoms devaient renforcer leurs défenses, documenter des plans de gestion des risques et prouver chaque année leur mise en œuvre. L’idée était simple - si vous protégez les conversations du pays, vous devez verrouiller vos portes et vérifier vos alarmes. Mais cette année, la nouvelle direction de la FCC, sous la présidence de Brendan Carr et la secrétaire Marlene Dortch, a déclaré ces règles “juridiquement erronées” et trop rigides. Selon eux, des obligations uniformes pèsent sur les petits opérateurs, ignorent les efforts volontaires existants et offrent peu de conseils concrets sur les mesures à prendre.

Dortch a cité des lettres du secteur soulignant les démarches volontaires : accélération des mises à jour logicielles, contrôles d’accès renforcés et meilleur partage d’informations sur les menaces avec les agences fédérales. Elle affirme que cette approche “collaborative” est plus agile que des décrets gouvernementaux, et que la superposition de règles d’agences comme la CISA et la SEC maintient déjà les télécoms en alerte.

Leçons des brèches passées - et un avertissement

L’opération Salt Typhoon n’était pas la première fois que des hackers étrangers s’attaquaient aux télécoms. Des campagnes russes et chinoises ciblent les infrastructures de communication depuis des années - de la brèche de l’OPM aux célèbres piratages d’opérateurs mobiles européens. Ce qui distingue Salt Typhoon, c’est son attention au détail : des relevés d’appels qui cartographient qui parle à qui, quand et où. Dans un cas, un seul compte administrateur compromis a permis d’accéder à plus de 100 000 routeurs réseau - comme une clé passe-partout pour tout le système.

Les critiques estiment que les efforts volontaires, aussi sincères soient-ils, ne remplacent pas des normes contraignantes - surtout lorsque la sécurité nationale et la vie privée de millions de personnes sont en jeu. Des élus des deux camps réclament des exigences claires et minimales : logiciels à jour, authentification multifactorielle et surveillance des menaces en temps réel. L’administration Biden et des experts en sécurité affirment que, si de telles mesures de base avaient été en place, la brèche Salt Typhoon aurait pu être évitée - ou du moins détectée bien plus tôt.

Et maintenant ?

Le débat est à la croisée des chemins. La FCC mise sur l’autorégulation du secteur, guidée par des partenariats fédéraux et des conseils de partage d’informations. Les géants des télécoms promettent de renforcer leurs réseaux - et la FCC a créé un nouveau Conseil sur la Sécurité Nationale pour surveiller la situation. Mais alors que les cyberattaques évoluent et que les tensions géopolitiques restent vives, la question demeure : la vigilance volontaire suffit-elle, ou le pays a-t-il besoin d’un verrou plus solide sur ses portes numériques ?

WIKICROOK

• Salt Typhoon : Salt Typhoon est un groupe de cybermenaces lié au renseignement militaire chinois, connu pour l’espionnage cybernétique mondial visant des organisations et des gouvernements.
• Call Detail Records (CDRs) : Les Call Detail Records (CDRs) sont des journaux qui enregistrent qui a appelé qui, quand, pendant combien de temps, et parfois où - créant une empreinte numérique de l’activité téléphonique.
• Multi : Multi désigne l’utilisation combinée de différentes technologies ou systèmes - comme les satellites LEO et GEO - pour améliorer la fiabilité, la couverture et la sécurité.
• Segmentation de réseau : La segmentation de réseau divise un réseau en sections plus petites pour contrôler l’accès, améliorer la sécurité et contenir les menaces en cas de brèche.
• Gestion des correctifs : La gestion des correctifs est le processus régulier de mise à jour des logiciels avec des correctifs de sécurité et des améliorations pour se protéger contre les vulnérabilités et les cybermenaces.