Selon une analyse publiée par RUSI (Royal United Services Institute) et signée par Ciaran Martin, la Chine a profondément transformé ses capacités d’attaque numériques, passant d’un cyber axé sur le vol économique à une posture stratégique et potentiellement disruptive ciblant les intérêts et infrastructures occidentales.

L’article identifie deux opérations majeures révélées en 2023-2024: Salt Typhoon (opération de renseignement d’État) a «comprehensivé» les télécoms américains, au point que Washington a conseillé à ses élites d’utiliser des messageries chiffrées de bout en bout. L’auteur compare l’ampleur de l’accès à un «Snowden à l’envers» pour les États-Unis. Volt Typhoon, conduit par l’Armée populaire de libération, a placé des implants préparatoires furtifs dans de multiples secteurs des infrastructures critiques américaines (fabrication, énergie/utilities, transport, construction, maritime, IT, éducation et gouvernement; pas de santé mentionnée), validé par les Five Eyes, en vue d’une détonation stratégique en cas de confrontation majeure (ex. Taïwan).

Ciaran Martin décrit une évolution en trois axes du cyber chinois: objectifs passés de l’économie vers le politique, opérations d’opportunistes vers stratégiques, et passage d’un rôle passif (espionnage/vol) à actif (prépositionnement disruptif). Il replace cette mutation dans trois «phases»: 1) avant 2013, vol industriel massif et bruyant; 2) 2013-2020, centralisation sous Xi, accalmie partielle après l’accord Obama–Xi de 2015 sur l’espionnage commercial, et «moment Sputnik» post-Snowden accélérant l’ambition techno; 3) depuis ~2020, campagnes covert d’ampleur (Salt/Volt) jouant un rôle stratégique inédit.

L’analyse souligne des méthodes et vulnérabilités clés: exploitation d’équipements télécoms obsolètes (occidentaux, non chinois), furtivité et living off the land pour se fondre dans l’activité légitime et éviter la détection, et prépositionnement d’«engins piégés» numériques visant une perturbation simultanée massive («ransomware sans rançon»), avec impacts économiques, sociaux et de sécurité publique potentiellement énormes. ⚠️

Sur la réponse occidentale, cinq priorités se dégagent: 1) améliorer la détection face aux TTPs furtives (LotL); 2) renforcer la résilience pour opérer malgré des indisponibilités majeures; 3) moderniser l’infrastructure (traiter l’obsolescence et la sécurité des équipements, au-delà du seul débat «kit chinois»); 4) réguler et imposer des obligations de sécurité/résilience aux opérateurs privés critiques (ex. lois UK/EU), à rebours de la tendance dérégulatrice américaine sous la deuxième administration Trump; 5) adopter une dissuasion réaliste: pas de «représailles» symétriques pour l’espionnage (Salt), mais message clair de conséquences sévères en cas d’activation de Volt, et préparation des capacités offensives occidentales. 🛡️

TTPs mentionnées:

  • Living off the land (se faire passer pour un utilisateur légitime)
  • Prépositionnement d’implants furtifs dans les infrastructures critiques
  • Évitement délibéré de la détection sur la durée
  • Exploitation d’équipements obsolètes et vulnérables (télécoms)

Conclusion: il s’agit d’une analyse de menace visant à documenter un changement de paradigme — la Chine constituant désormais une menace cyber plus stratégique et potentiellement disruptive que durant la décennie précédente, avec un accent sur défense, résilience et politique publique.

🧠 TTPs et IOCs détectés

TTP

Living off the land, Prépositionnement d’implants furtifs dans les infrastructures critiques, Évitement délibéré de la détection sur la durée, Exploitation d’équipements obsolètes et vulnérables

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.rusi.org/explore-our-research/publications/commentary/typhoons-cyberspace