À la fin de l'année 2024, la Cybersecurity and Infrastructure Security Agency (CISA), le FBI, la National Security Agency et les agences partenaires de Nouvelle-Zélande, d'Australie et du Canada ont publié une déclaration commune avertissant que Salt Typhoon, un groupe APT chinois, s'en prenait aux principaux fournisseurs de télécommunications dans le monde. Pas moins de 80 entreprises de télécommunications et fournisseurs de services internet, dont AT&T, Verizon et T-Mobile, auraient été infiltrés dans le cadre de ce piratage.
Selon de hauts responsables du FBI qui ont parlé anonymement à Politico, un "petit nombre d'individus politiques ou liés au gouvernement, qui ont tous été informés par les autorités, ont vu leurs communications privées compromises", y compris les téléphones de Donald Trump et de JD Vance avant l'élection. En conséquence, le président de la commission du renseignement du Sénat, Mark Warner (D-Va.), a qualifié cet incident majeur de "violation la plus grave de notre histoire".
Risques de cybersécurité dans le secteur des télécommunications
Les réseaux de télécommunications sont des cibles prioritaires et à fort impact pour les cyberattaques. Selon le rapport de Microsoft sur la défense numérique, les cyberattaques contre les infrastructures critiques de télécommunications ont augmenté de 40 % en deux ans. À la suite des attaques de Salt Typhoon, un haut fonctionnaire de la Maison Blanche a fait remarquer que le secteur des télécommunications était "dans la ligne de mire des programmes des États-nations", avec des risques allant de la surveillance et de l'espionnage à la possibilité de créer des perturbations en temps de crise ou de conflit.
Les objectifs et les tactiques des attaques télécoms varient, mais l'impact est potentiellement catastrophique quel que soit le motif.
Surveillence
Les attaques Salt Typhoon sont un exemple alarmant d'attaques parrainées par un État et destinées à recueillir des données de renseignement ; leur campagne a duré plus de deux ans et les responsables de la sécurité pensent que les acteurs de la menace ont toujours accès à ces systèmes compromis. La menace qui pèse sur les fournisseurs de télécommunications a le poids d'une menace pour la sécurité nationale, avec des risques pour la propriété intellectuelle, les accords commerciaux, etc.
"Les communications des fonctionnaires américains passent par ces systèmes du secteur privé, ce qui explique pourquoi les Chinois ont pu accéder aux communications de certains hauts fonctionnaires et responsables politiques américains. Tant que les entreprises américaines n'auront pas comblé les lacunes en matière de cybersécurité, il est probable que les Chinois maintiendront leur accès". - Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybernétique et les technologies émergentes
Perturbation des infrastructures
Les attaques des acteurs étatiques ne se limitent pas à la reconnaissance et à l'espionnage. Les mauvais acteurs pourraient potentiellement contrôler des éléments physiques susceptibles d'avoir un impact sur les infrastructures critiques et de manipuler les résultats. Une attaque DDoS contre des opérateurs de télécommunications nord-américains a entraîné des interruptions de la téléphonie cellulaire dans près d'une douzaine de villes, dont Chicago, Los Angeles, New York et Houston. Une coupure prolongée des communications dans les grandes villes pose des risques catastrophiques pour la sécurité publique et les services essentiels : les systèmes d'intervention d'urgence pourraient tomber en panne, les appareils médicaux vitaux pourraient perdre leur connectivité et les infrastructures urbaines essentielles qui dépendent des réseaux 5G pourraient s'arrêter.
En 2023, des pirates informatiques russes ont réussi à infiltrer l'opérateur de télécommunications ukrainien Kyivstar et à interrompre ses services pendant plus de 48 heures. Selon Reuters, plus de 24 millions de clients ont été privés de services mobiles pendant plusieurs jours. La perte de service a également entraîné l'arrêt d'autres services essentiels, notamment les sirènes d'alerte aérienne, certains services bancaires, les distributeurs automatiques de billets et les terminaux de point de vente. Les attaquants auraient également eu accès aux services de localisation, ce qui leur aurait permis de suivre l'emplacement des appareils.
Données
Les données sont une monnaie, et les fournisseurs de télécommunications sont devenus les gardiens de l'empreinte numérique de l'humanité. Les entreprises de télécommunications envoient et stockent des données pour des milliards de personnes et des millions d'organisations à travers le monde, et l'exfiltration de données est un enjeu de taille pour les cybercriminels. Les données récoltées dans le cadre de certaines attaques de télécommunications vont toutefois plus loin que la simple vente d'informations sur le dark web, comme en témoigne une violation de données survenue en 2023 chez Mint Mobile.
Les données exposées dans le cadre de cette attaque particulière contenaient les numéros SIM et IMEI (International Mobile Equipment Identity), ce qui permettrait à un acteur de la menace de mener des attaques par échange de SIM, c'est-à-dire lorsqu'un attaquant transfère le numéro d'une personne sur son propre appareil. Une fois qu'il a accès au numéro, il peut essayer d'infiltrer les comptes d'utilisateurs en réinitialisant les mots de passe et en accédant aux codes texte OTP d'authentification multifactorielle. BleepingComputer note que "les acteurs de la menace utilisent généralement cette technique pour s'introduire dans les comptes des bourses de crypto-monnaies et voler tous les actifs stockés dans le portefeuille en ligne".
Alors que le paysage des menaces est décourageant, les fournisseurs de télécommunications ripostent en adoptant des approches innovantes en matière de sécurité. L'expérience de NOS, l'un des principaux fournisseurs portugais de services de télécommunications, montre comment des solutions de sécurité modernes peuvent protéger efficacement les infrastructures critiques à grande échelle.
NOS et Censys: Un exemple concret de sécurisation de l'infrastructure des télécommunications
NOS est un important fournisseur portugais de télécommunications et de technologies qui gère environ 2 millions d'adresses IP enregistrées, dont beaucoup sont connectées à des infrastructures critiques. La société s'est adressée à Censys pour améliorer son dispositif de sécurité et protéger sa marque.
L'environnement de NOS comprend des services cloud, des systèmes IoT et une infrastructure 5G émergente, ce qui rend vital l'identification des expositions inconnues et la priorisation des vulnérabilités à haut risque. Les outils de sécurité existants créaient des alertes accablantes et des faux positifs, laissant des risques critiques non traités ; ils avaient besoin d'une solution centralisée pour couper à travers le bruit et guider les efforts de remédiation en temps réel.
Censys a permis à NOS d'agréger et d'analyser les actifs internes, en nuage et en contact avec les clients, ce qui a considérablement amélioré la détection des menaces, la réponse et la position globale en matière de cyber-risques. En obtenant une visibilité complète sur tous les actifs en contact avec Internet et la capacité d'enquêter sur l'infrastructure des acteurs de la menace pour minimiser l'exposition, ils sont en mesure d'atténuer les risques à travers leur écosystème et de se protéger contre les menaces émergentes.
"Avec Censys, nous évaluons les risques dans notre domaine et au-delà, en sécurisant nos partenariats et nos environnements de cloud public. " Diogo Gonçalves, chef de l'équipe de cyberdéfense, NOS
Consultez l'article complet de NOS ici pour obtenir plus de détails sur la façon dont Censys aide à résoudre les problèmes de sécurité dans l'industrie des télécommunications.
