Le typhon salé chinois a infiltré le réseau de la Garde nationale américaine pendant des mois

Un groupe APT chinois sophistiqué, Salt Typhoon , a infiltré avec succès le réseau de la Garde nationale de l'armée américaine pendant près d'un an, de mars 2024 à décembre 2024. Cette brèche, détaillée dans une note du Département de la sécurité intérieure (DHS) de juin,

Bien que cela suscite des inquiétudes quant à la sécurité de l'armée américaine et des systèmes d'infrastructures critiques, l'attaque n'est pas totalement inattendue. Comme le rapporte Hackread.com, des voleurs d'informations, disponibles pour seulement 10 dollars, ont déjà compromis des systèmes hautement sensibles appartenant à l'armée américaine et même au FBI.

La note du DHS , tirée d'un rapport du ministère de la Défense (DOD) et transmise ultérieurement à NBC News suite à une demande d'accès à l'information de Property of the People, une organisation à but non lucratif œuvrant pour la transparence en matière de sécurité nationale, a révélé que Salt Typhoon avait « gravement compromis » le réseau. Bien que l'État concerné ne soit pas nommé, l'attaque a permis aux pirates de collecter des informations cruciales.

Au cours de cet accès prolongé, Salt Typhoon a réussi à collecter des données sensibles, notamment des configurations réseau et des détails sur le trafic de données avec les unités de la Garde nationale de tous les autres États américains et d'au moins quatre territoires américains. Fait crucial, ces informations volées contenaient également des identifiants d'administrateur et des schémas réseau, susceptibles de faciliter de futures attaques contre d'autres unités de la Garde nationale.

Les données volées comprenaient également des cartes de localisation géographique et des informations personnelles identifiables (IPI) de militaires. Dans quelque 14 États, les unités de la Garde nationale travaillent en étroite collaboration avec des « centres de fusion » pour le partage de renseignements, ce qui signifie que la violation pourrait avoir un impact plus large, précise la note.

Il convient de noter que Salt Typhoon (alias GhostEmperor, FamousSparrow, Earth Estries et UNC2286) a pour habitude de cibler le gouvernement américain et les secteurs des infrastructures critiques, notamment l'énergie, les communications, les transports et les systèmes d'eau.

Comme Hackread.com l'avait déjà signalé, en novembre 2024, Salt Typhoon a été associé à un piratage informatique majeur de T-Mobile, mettant en évidence les vulnérabilités des systèmes de télécommunications. À ce jour, le groupe a compromis au moins huit grandes entreprises américaines de téléphonie et d'internet, dont AT&T et Verizon .

Ces points d'accès auraient été utilisés pour surveiller les communications de personnalités politiques de premier plan, notamment les campagnes présidentielles de Harris et de Trump et le bureau du chef de la majorité au Sénat, Chuck Schumer.

Un avis de juin 2025 du FBI et du Centre canadien pour la cybersécurité a mis en garde contre la campagne mondiale de Salt Typhoon contre les réseaux de télécommunications, exploitant des vulnérabilités comme CVE-2023-20198 dans les appareils pour voler des données et maintenir un accès caché.

Compte tenu de la complexité des unités de la Garde nationale, qui opèrent sous l'autorité à la fois fédérale et étatique, cet incident pourrait ouvrir la voie à d'éventuelles cyberattaques. Le ministère de la Défense n'a pas communiqué sur les détails, mais un porte-parole du Bureau de la Garde nationale a confirmé la compromission, précisant qu'elle n'avait pas affecté leurs missions.

« Le DHS continue d'analyser ces types d'attaques et travaille en étroite collaboration avec la Garde nationale et d'autres partenaires pour prévenir de futures attaques et atténuer les risques », a déclaré un porte-parole du DHS.

Parallèlement, le porte-parole de l'ambassade de Chine à Washington n'a pas nié la campagne, mais a souligné que les États-Unis manquaient de preuves concluantes reliant Salt Typhoon au gouvernement chinois. Néanmoins, les experts en cybersécurité recommandent de renforcer les dispositifs réseau, de mettre en œuvre des politiques de mots de passe plus strictes et d'activer un chiffrement puissant pour contrer ces menaces.

« Volt Typhoon se concentre sur le prépositionnement pour la perturbation et la création d'un effet dissuasif basé sur cela, tandis que Salt Typhoon se concentre sur le positionnement pour la collecte de renseignements », a déclaré Casey Ellis , fondateur de Bugcrowd, un leader basé à San Francisco, en Californie, dans le domaine de la cybersécurité participative.

« Une intrusion dans une Garde nationale n'est pas une opération purement militaire. Les États mobilisent régulièrement leur Garde nationale pour contribuer à la cyberdéfense des infrastructures civiles. En tant que cible, elle constituerait une source précieuse de renseignements utiles », a expliqué Casey.

« L'intelligence éclaire l'action. Si l'annonce du Volt Typhoon est encourageante, il est important de garder à l'esprit qu'il s'agit en réalité d'un jeu de taupe géant. La vigilance et la poursuite des efforts de résilience sont essentielles pour les défenseurs nationaux de tous horizons », a-t-il conseillé.