Salt Typhoon cible les télécommunications via des failles de routeur, avertissent le FBI et le Canada

Un avis récemment publié par le FBI et le Centre canadien pour la cybersécurité met en garde contre une campagne de cyberespionnage menée par un groupe lié à la Chine qui cible les réseaux de télécommunications du monde entier. Le rapport, publié le 20 juin 2025, pointe du doigt «  Salt Typhoon », un groupe APT chinois notoire qui exploite les vulnérabilités connues des routeurs et autres périphériques réseau pour voler des données sensibles.

Cette activité, suivie depuis au moins février, consiste à exploiter des dispositifs situés à la périphérie du réseau pour obtenir un accès dissimulé, détourner des données de communication et maintenir un contrôle à long terme. Lors d'un incident documenté, trois dispositifs réseau d'une entreprise de télécommunications canadienne ont été compromis, permettant aux attaquants d'intercepter les enregistrements d'appels et la localisation des utilisateurs.

Le groupe exploite des vulnérabilités comme CVE-2023-20198 pour extraire les fichiers de configuration des appareils ciblés. Cette faille de l'interface utilisateur Web de Cisco a été identifiée pour la première fois en octobre 2023 et a été largement exploitée, affectant plus de 40 000 appareils.

Selon l' avis du FBI (PDF), bien que la campagne cible principalement les fournisseurs de télécommunications, les tactiques utilisées pourraient s'appliquer à un éventail plus large de cibles. Les appareils périphériques tels que les routeurs, les pare-feu et les VPN sont particulièrement vulnérables, notamment s'ils utilisent des micrologiciels obsolètes ou des configurations faibles.

Une fois à l'intérieur, ils déploient des tunnels GRE (encapsulation de routage générique), leur permettant d'acheminer silencieusement le trafic réseau via les systèmes sous leur contrôle. Cette technique leur permet d'observer ou de manipuler les communications tout en échappant aux détections de sécurité traditionnelles.

Contrairement aux cyberattaques de type « smash-and-grab » visant à voler rapidement des données, Salt Typhoon semble privilégier une surveillance discrète et à long terme. Cette approche s'inscrit dans la lignée d'autres campagnes connues liées à des États, qui privilégient la collecte de renseignements stratégiques aux profits financiers.

Les attaquants n'utilisent pas d'exploits zero-day. Ils s'appuient plutôt sur des vulnérabilités connues du public, souvent non corrigées pendant de longues périodes. Cela leur permet de développer progressivement des accès sans déclencher d'alerte.

Le FBI et le Cyber ​​Center préviennent que les réseaux de télécommunications, par nature, véhiculent des données personnelles et commerciales sensibles. En compromettant les appareils qui gèrent ce trafic, les attaquants peuvent obtenir des informations sur le comportement des utilisateurs, leur localisation physique et leurs conversations privées.

L’avis suggère que ces campagnes vont probablement se poursuivre et pourraient s’étendre davantage au cours des deux prochaines années.

L'alerte conjointe ne mentionne pas les entreprises touchées, hormis l'incident canadien, mais souligne que des activités similaires ont été observées à l'échelle mondiale. Par conséquent, les organisations sont invitées à sécuriser leurs appareils périphériques, à vérifier l'activité réseau pour détecter toute activité malveillante et à appliquer sans délai les correctifs disponibles.