Partager

Un article de Sébastien Dumoulin (Copyrights). « Les espions de tout poil n’ont pas attendu la 5G pour fureter dans les réseaux de téléphonie. Les  révélations d’Edward Snowden avaient montré que les services américains en abusaient.

Pourtant, la révélation faite mardi par les chercheurs de Cybereason, à l’occasion de la Cyber Week de Tel-Aviv, a créé la surprise. Le spécialiste israélo-américain de sécurité informatique a expliqué avoir mis à jour une vaste et ancienne opération d’espionnage sur les réseaux de 10 grands opérateurs télécoms d’envergure mondiale.

« A ma connaissance, c’est le piratage de plus grande ampleur jamais détecté dans les télécoms, assure Lotem Guy, un des fondateurs de Cybereason. Il y a encore quelques semaines, nous n’avions identifié qu’une seule victime. Aujourd’hui, nous savons que dix groupes internationaux – comptant plusieurs millions de clients – sont concernés. Et il peut y en avoir d’autres. »

« Les attaquants voulaient pister certains individus en particulier »

Ses équipes se sont inquiétées pour la première fois il y a un an, en découvrant chez un de ses clients un élément logiciel au comportement suspect.

En tirant le fil, les chercheurs en sécurité ont petit à petit découvert que les pirates avaient utilisé une vaste panoplie d’outils inconnus pour s’introduire dans les réseaux et remonter progressivement jusqu’au saint des saints : les CDR (« call detail records »), des registres où sont consignées certaines informations sensibles : qui appelle qui, à quelle heure, et depuis quel endroit.

Savoir quelles sont les connexions entre les individus et surtout leur localisation en temps réel n’est pas un objectif anodin. « En règle générale, les acteurs malveillants cherchent à voler de l’argent ou des secrets industriels. Là, c’était différent, explique Lotem Guy. Les attaquants voulaient pister certains individus en particulier. Nous le savons, car nous avons pu déchiffrer les données extraites du réseau de notre client. »

Il ne peut s’agir que d’un acteur étatique, selon Cybereason

La technicité des moyens mis en oeuvre, la lenteur de l’opération qui aurait débuté en 2012 et l’objectif poursuivi amènent les experts de Cybereason à une conclusion : il ne peut s’agir que d’un acteur étatique. En démontant les armes logicielles utilisées, les chercheurs ont fait une autre découverte.

Elles contenaient des éléments connus et attribués de longue date à un groupe de hackers chinois, baptisé « APT-10 », réputé lié aux autorités de Pékin. « Je ne dis pas qu’il s’agit d’APT-10. Cela ressemble aux techniques d’APT-10. Mais ce peut être quelqu’un d’autre qui veut se faire passer pour la Chine », précise Lotem Guy.

Au moment où le groupe chinois Huawei est ouvertement accusé par les Etats-Unis de servir d’outil d’espionnage à Pékin, via ses antennes de téléphonie dont il est le premier fournisseur mondial, l’affaire ne manque pas de sel.

« C’est un jeu du chat et de la souris »

Dans toute l’attaque complexe décrite par Cybereason, les pirates n’ont jamais eu recours à une vulnérabilité implantée dans les antennes. Cela ne les a pas empêchés de faire une pêche miraculeuse.

Et ce n’est pas fini. Selon Cybereason, les pirates continuent à cette heure d’exploiter leurs sondes. « Les outils évoluent. C’est un jeu du chat et de la souris. Nous avons prévenu de nombreuses autorités à travers le monde, ainsi que les groupes qui ont été attaqués », explique Lotem Guy.

Du côté des opérateurs français, aucun commentaire ne filtre. Quant à la GSM Association, qui regroupe les principaux acteurs mondiaux du secteur, elle suit le sujet de près mais garde également le silence ».

Sébastien Dumoulin pour Les Echos.

Partager