La menace n’est plus théorique : Salt Typhoon, un groupe APT lié à la Chine, vient de franchir un nouveau cap dans ses campagnes de cyberespionnage. En exploitant des failles critiques chez Cisco, Ivanti et Palo Alto Networks, il a réussi à compromettre plus de 600 organisations à travers le monde, couvrant des secteurs stratégiques tels que les télécommunications, les infrastructures gouvernementales, le transport, l’hôtellerie et même des environnements militaires.
🌍 Une campagne à l’échelle mondiale
Salt Typhoon n’en est pas à son premier coup d’éclat, mais l’ampleur de cette campagne interpelle. Les chercheurs en cybersécurité estiment que les attaquants ciblent les “backbone routers” des grands opérateurs télécoms ainsi que les équipements en provider edge (PE).
Pourquoi ces cibles ? Parce que ce sont des points de passage critiques, permettant un accès massif et privilégié aux flux de communication d’entreprises entières, voire de pays.
En clair : celui qui contrôle l’infrastructure réseau contrôle l’information.
🎯 Des secteurs stratégiques dans le viseur
L’APT ne se contente pas de viser des entreprises isolées. Les secteurs touchés révèlent une stratégie globale :
- Télécoms : pour intercepter, manipuler ou bloquer les communications.
- Gouvernement et militaire : pour collecter des renseignements sensibles.
- Transport et hôtellerie : souvent utilisés comme points d’entrée secondaires ou pour suivre les déplacements d’individus ciblés.
- Infrastructures critiques : où chaque faille peut avoir un impact national ou international.
Salt Typhoon ne recherche pas l’effet immédiat d’un ransomware destructeur : il privilégie la persistence silencieuse, l’espionnage et l’exfiltration de données stratégiques.
🛠️ L’exploitation des failles
Les vulnérabilités utilisées ne sont pas nouvelles : elles concernent des équipements réseau majeurs où les correctifs existent, mais où le déploiement tarde parfois. Dans de nombreuses entreprises, la mise à jour d’un routeur backbone ou d’un firewall de production est perçue comme trop risquée ou trop coûteuse en termes de disponibilité. Résultat : des systèmes critiques restent exposés pendant des semaines, voire des mois.
Salt Typhoon exploite précisément cette zone grise de la cybersécurité : les équipements réseau vitaux, souvent négligés dans les plans de patch management.
🔑 Leçons pour les RSSI et équipes sécurité
Cet incident massif rappelle quelques principes essentiels que beaucoup d’organisations peinent encore à appliquer :
- Traiter les équipements réseau comme des actifs stratégiques
Les routeurs, switches et firewalls ne sont pas des “boîtes noires” que l’on configure une fois pour toutes. Ce sont des cibles de choix et doivent être intégrés dans la gouvernance de sécurité. - Réduire la fenêtre de vulnérabilité
Plus une faille reste non corrigée, plus le risque d’exploitation augmente. Les équipes doivent mettre en place des processus de patch rapides et testés. - Segmenter les accès
Un routeur backbone ne devrait jamais donner accès à tout le réseau. La segmentation et l’isolation des infrastructures critiques limitent la portée d’une compromission. - Mettre en place une surveillance proactive
Il ne suffit pas d’attendre une alerte. L’analyse des logs réseau, la détection des comportements anormaux et l’intégration de solutions de détection avancées (NDR, SIEM, XDR) sont indispensables. - Anticiper le pire
En cybersécurité, tout équipement est une porte potentielle. La question n’est pas de savoir si une attaque aura lieu, mais quand et comment elle sera détectée.
🧩 Une attaque qui dépasse l’IT
Cet épisode illustre aussi un point crucial : la cybersécurité n’est pas qu’un sujet technique. Quand un groupe comme Salt Typhoon cible les infrastructures backbone, c’est tout un enjeu de souveraineté nationale et de résilience économiquequi entre en jeu.
Chaque organisation, qu’elle soit publique ou privée, fait partie d’une chaîne d’interconnexion mondiale. Une faille chez un acteur clé peut avoir des répercussions bien au-delà de son périmètre.
⚠️ En conclusion
Salt Typhoon vient de rappeler au monde entier une vérité dérangeante : nos réseaux ne sont pas aussi sûrs qu’on aime à le croire. Tant que les failles réseau critiques resteront traitées comme un “mal nécessaire” plutôt qu’un risque stratégique, les APT continueront d’y trouver un terrain fertile.
🔒 La cybersécurité, ce n’est pas seulement des firewalls et des antivirus : c’est une discipline de vigilance, de rapidité et d’anticipation.
👉 Et vous, votre organisation applique-t-elle des correctifs réseau en moins de 72h ?
