Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito : Les télécoms US espionnés par les Chinois ! Et nous ?

Pour les abonnés payants:

• La Tribune : La menace de plus en plus sérieuse de l’exploitation de l’IA par les cybercriminels

• Études : L’analyse et les statistiques des incidents 2024

• A ne pas manquer sur le web : Une opération menée par l’agence européenne de police criminelle

Plusieurs agences américaines dont le FBI recommandent à la population nord-américaine de privilégier l’utilisation de messageries cryptées comme Signal ou WhatsApp plutôt que l’envoi de SMS. Et plus particulièrement lorsqu’il s’agit d’échanges des messages entre un iPhone et un smartphone fonctionnant sous Android. Cette annonce a surpris la plupart des experts cyber tant les autorités américaines ont toujours marqué une grosse défiance vis-à-vis de ces messageries chiffrées. Une défiance qui se reporte désormais directement sur les réseaux télécoms américains qui seraient infiltrés par des « agents logiciels chinois », selon le FBI et la Cisa (l’équivalent de l’Anssi Américaine).

Les télécoms US espionnés par les Chinois ! Et nous ?

Il s’agit peut-être de l’une des plus grandes opérations d’espionnage numérique de l’histoire des Etats Unis – et elle n’est pas encore totalement terminée. Baptisée Salt Typhoon par Microsoft, cette cyberattaque aurait visé les réseaux télécoms des grands opérateurs nord-américains (AT&T, Verizon, Lumen et des dizaines d’autres). Elle semble avoir impacté des nombreux équipements télécoms, sur lesquels il va falloir intervenir, voire en remplacer certains. Principal accusé, La Chine… Un porte-parole de l’ambassade de Chine à Washington a bien entendu nié que son pays soit à l’origine de la campagne de piratage. Il n’empêche, un haut responsable du FBI qui a demandé à ne pas être nommé et Jeff Greene, directeur adjoint exécutif pour la cybersécurité à l'Agence de cybersécurité et de sécurité des infrastructures — ont tous deux cité la Chine et clairement recommandé aux Américains qui souhaitent minimiser les risques d'interception de leurs communications par la Chine d'utiliser des applications de messagerie cryptées.

La campagne présidentielle sur écoute

Les soupçons ont commencé au moment de la campagne présidentielle américaine par la découverte d’accès non autorisés aux plateformes d’écoute légale d’opérateurs (le système Calea, Communications Assistance for Law Enforcement Act). Ces systèmes comportent des portes dérobées auxquelles auraient eu accès les pirates qui, par ce biais auraient récupéré des enregistrements d’appels, aux métadonnées indiquant les numéros appelés, les interlocuteurs, les dates des échanges. Ils auraient ensuite ciblé des personnalités spécifiques dans la région de Washington. Le FBI affirme avoir à l’époque alerté les équipes de campagnes de Donald Trump et Kamala Harris ainsi que le bureau du chef de la majorité au Sénat. Le troisième volet de la cyberattaque aurait donc concerné les centres d’écoutes des opérateurs qui assistent les forces de l’ordre de suivre les communications de suspects lors de leurs enquêtes. Plus grave, seraient également concernées des communications portant sur des décisions judiciaires classifiées de la Cour de surveillance portant sur le renseignement étranger…

Une opération d’espionnage massive menée par la Chine

Bien que la campagne de piratage ait été divulguée publiquement pour la première fois à l'approche des élections, les États-Unis estiment qu'il ne s'agissait pas d'une tentative d'influencer les résultats, a déclaré le responsable du FBI, mais plutôt d'une opération d'espionnage massive mais traditionnelle de la Chine pour recueillir des renseignements sur la politique et le gouvernement américains.

Il n’empêche, l’affaire fait désordre. Ddes têtes pourraient tomber d’autant que cela fait un moment que plusieurs experts cyber en appellent à utiliser davantage des communications chiffrées de bout en bout de type Signal, WhatsApp voire les applications Google Messages et iMessages qui peuvent aussi chiffrer les appels et les messages de bout en bout. Dans une déclaration à NBC News, le sénateur démocrate de l’Oregon Ron Wyden, l'un des plus fervents défenseurs de la vie privée au Sénat, a critiqué la dépendance de l'Amérique à l'égard du système Calea qui laisse ces informations sensibles non cryptées.

L’Europe sous la protection du RGPD et de l’ePrivacy, mais…

Reste à savoir si cette campagne pourrait potentiellement débarquer en Europe. Rien n’a été annoncé, même si les autorités américaines commencent à laisser fuiter quelques noms d’opérateurs européens qui pourraient être touchés.

Nous sommes a priori protégés par nos cadres réglementaires stricts comme le RGPD et la directive ePrivacy qui protègent les citoyens contre la surveillance injustifiée. Ces réglementations limitent ainsi l'introduction de mécanismes comme ceux de CALEA, sauf dans des cas bien définis et encadrés. Reste malgré tout le risque d’importation du modèle américain. L'influence des Big techs, soumis aux lois comme CALEA, peut en effet poser un risque indirect pour nous. Des entreprises américaines opérant en Europe pourraient par exemple être contraintes de coopérer avec les autorités américaines, même si cela contrevient aux lois européennes. Il existe en outre quelques précédents de ce côté-ci de l’Atlantique. Certains pays européens envisagent ou ont déjà mis en place des lois similaires pour faciliter l'accès des autorités aux communications (exemple au Royaume-Uni avec l'Investigatory Powers Act). Des démarches qui soulèvent quelques inquiétudes quant à une éventuelle "américanisation" de la surveillance.

Encourager l’innovation souveraine

Pour éviter de se retrouver dans la situation compromettante que rencontrent les opérateurs américains, il faudrait renforcer les protections légales c’est-à-dire maintenir et faire évoluer des cadres comme le RGPD pour prévenir toute dérive similaire à Calea. Il faudrait encore et toujours encourager l’innovation en cybersécurité, Investir dans des technologies européennes qui protègent les données des utilisateurs sans introduire de vulnérabilités. En matière de transparence et de responsabilité, nos autorités compétentes doivent exiger des mécanismes de surveillance transparents et sous contrôle judiciaire strict. Enfin il faut insister sur la coopération internationale : Travailler avec les États-Unis et d'autres partenaires pour éviter que des outils de surveillance ne soient abusés.

...