Infrastructures critiques sous surveillance : ce que les attaques des groupes Typhoon révèlent de nos vulnérabilités

La première faille en cybersécurité est l’excès de confiance. En d’autres mots c’est la croyance, omniprésente mais fausse, qu’utiliser une solution de cybersécurité suffit à nous mettre l’abri. L’actualité des derniers mois, rapportée dans une série d’articles du Wall Street Journal, met en lumière un ensemble d’attaques informatiques d’une ampleur inédite contre des infrastructures critiques américaines, perpétrées par les groupes chinois Typhoon, Walt Typhoon et Salt Typhoon. Derrière ces noms de code attribués par les agences fédérales américaines, se cache une stratégie offensive savamment préparée, méthodique, ciblée, et extraordinairement discrète.

L’intérêt de cette affaire dépasse largement les frontières des États-Unis. Elle constitue un cas d’usage de cybersécurité à l’échelle mondiale, en particulier pour les opérateurs d’importance vitale, les services publics et les entreprises disposant d’un système d’information complexe ou interconnecté. Ce que révèlent ces attaques, c’est que même les infrastructures dotées de solutions de cybersécurité éditées par les plus grands acteurs du secteur ne sont pas épargnées. Et que l’illusion d’une protection fondée uniquement sur des logiciels réputés ou des procédures standardisées pas toujours bien appliquées est non seulement inefficace, mais dangereuse.

Des attaques silencieuses sur des cibles critiques

Les victimes de ces opérations d’infiltration ne sont pas de simples entreprises commerciales : elles représentent le socle fonctionnel des territoires visés. Ont ainsi été touchés le port de Houston, une usine de traitement des eaux à Hawaï, une raffinerie de pétrole, un aéroport régional, une usine à Los Angeles, ou encore des systèmes de télécommunications utilisés par des tribunaux américains. Les conséquences d’un sabotage ou d’une perturbation ciblée dans de tels environnements pourraient être majeures, tant en termes de sécurité que de continuité de service.

Les groupes à l’œuvre ont privilégié une approche patiente, privilégiant l’accès persistant à la précipitation de l’attaque. Dans l’un des cas les plus emblématiques, celui du port de Houston, les assaillants se sont préparés minutieusement pendant une longue période et sont restés présents dans les systèmes durant plusieurs mois avant de lancer l’attaque. Une fois l’ensemble des accès préparés, les autorisations obtenues et les points de défaillance identifiés, il leur a fallu seulement 31 secondes pour déclencher une opération à impact.

Les investigations du FBI ont mis au jour des techniques d’infiltration d’un raffinement inquiétant. Dans l’aéroport local, les assaillants étaient présents dans le système depuis plusieurs années et testaient tous les six mois leur accès pour s’assurer qu’ils n’avaient pas été découverts. Dans une usine de traitement des eaux, les infiltrés ont collecté des informations sur les processus industriels pendant près de neuf mois, apprenant les réactions de l’entreprise en cas d’incident ou de crise.

Des techniques connues, mais infiniment efficaces

L’un des enseignements majeurs de cette campagne d’attaques est qu’elle ne repose pas nécessairement sur des vulnérabilités dites « zero-day ». Les groupes Typhoon ont misé sur l’exploitation de failles connues, non corrigées, sur la compromission de comptes administrateurs peu ou mal protégés, et sur l’appropriation de comptes partenaires pour s’introduire par effet de levier dans les systèmes d’information.

Les logs ont été effacés dans les infrastructures qui les conservaient, rendant les traces de l’intrusion invisibles aux yeux des équipes en charge. Dans d’autres entités, l’absence de conservation ou d’analyse des journaux système a empêché toute détection, facilitant la persistance de l’attaquant. À cela s’ajoute une compromission des chaînes de confiance : par exemple, l’accès à un compte d’un fournisseur de logiciels du port de Houston a permis de s’introduire dans le serveur applicatif dédié à la réinitialisation des mots de passe, et d’exfiltrer des fichiers chiffrés contenant les credentials des utilisateurs internes.

La surface d’attaque : bien au-delà du périmètre traditionnel

Ce que montre cette série d’attaques, c’est que la surface d’attaque ne se limite plus aux actifs internes d’une organisation où aux points d’accès traditionnels (endpoints, serveurs, réseaux…). Elle inclut aussi ses partenaires, ses prestataires, les comptes techniques oubliés, les systèmes tiers intégrés ou interconnectés, les environnements cloud mal configurés, et les segments du SI trop rarement contrôlés. C’est l’ensemble de l’écosystème numérique d’une entreprise qui peut devenir la porte d’entrée de l’attaque.

La compromission de comptes administrateurs, souvent insuffisamment voire mal protégés, a ainsi permis aux attaquants d’accéder à des équipements réseaux stratégiques. Selon les autorités, plus de 100 000 routeurs ont pu être exploités de cette manière, servant à relayer les attaques ou à dissimuler le trafic malveillant.

Autre point d’alerte majeur : l’intrusion dans les systèmes de télécommunications des tribunaux américains, dans le but explicite d’écouter, collecter et stocker des enregistrements sensibles, y compris des conversations impliquant des hauts responsables politiques. Le groupe Salt Typhoon a ainsi pu s’emparer de données concernant plus d’un million de citoyens américains, ainsi que les ordonnances des tribunaux concernant les agents chinois présents sur le territoire US. 

Un changement de paradigme est nécessaire

Face à ces attaques persistantes, la réponse doit s’adapter. La réalité actuelle impose de compléter les approches classiques par des dispositifs continus d’analyse et de corrélation de plusieurs sources de données sur une période longue, capables de détecter des signaux faibles – ces anomalies discrètes, passant souvent inaperçues, qui trahissent une activité inhabituelle ou un accès non justifié.

Aujourd'hui, les hackers ne passent pas en force, ils entrent en silence. Seule une surveillance en temps réel capable de détecter l'infime écart au comportement habituel permet de déjouer ces attaques avant qu'elles ne produisent des dégâts irréversibles. Il ne suffit plus de sécuriser les portes d’entrée : il faut surveiller chaque mouvement anormal dans l’enceinte numérique de l’organisation.

Ce n’est plus uniquement l’attaque qui doit être détectée, mais l’écart au fonctionnement normal, le signal faible annonciateur de l’attaque. Cela nécessite de remettre en question les solutions standard, de repenser les pratiques de gestion des comptes à privilèges, de durcir les accès administrateurs, de sécuriser les relations inter-entreprises, et surtout, de mettre en œuvre une supervision en temps réel, corrélée à une analyse comportementale poussée.

Les recommandations issues des rapports du FBI sont à cet égard claires : abandon du MFA par SMS au profit d’authentificateurs applicatifs robustes, vérification régulière des comptes à privilèges, sécurisation des flux d’échange, et surtout, capacité à remettre en cause la fiabilité supposée de certains systèmes, même locaux, car contenant des vulnérabilités non corrigées.

L’illusion de la protection doit être combattue

Ce que ces événements nous rappellent de façon brutale, c’est que la cybersécurité n’est pas un état, mais un processus. Aucune organisation, si équipée soit-elle, n’est immunisée. Aucune infrastructure, si critique soit-elle, est impénétrable.

Il est temps d’adopter une posture active, fondée sur la confiance zéro et la détection proactive. Il ne suffit plus de chercher des menaces connues ; il faut apprendre à identifier ce qui sort de l’ordinaire, à reconnaître la préparation silencieuse, à interpréter les signaux faibles pour ce qu’ils sont : les signes avant-coureurs d’un incident majeur. C’est cette approche de surveillance de toute la surface d’attaque grâce à de l’IA et de l’automatisation, conjuguée à  un accompagnement humain afin d’aider les équipes du client et une amélioration continue de l’hygiène de sécurité qui permet de passer d’un modèle défensif à une posture de résilience.