Volt Typhoon & Salt Typhoon : la Chine pré-positionne des accès dans les infrastructures critiques US

🗓️ Contexte

Article de perspective senior publié dans The Cyber Defense Review (vol. 11, n°2, 2026), rédigé par Rob Joyce, ancien chef de la Cybersecurity Directorate de la NSA et ancien conseiller à la sécurité intérieure du NSC. L’article est une analyse stratégique et politique, non un rapport technique d’incident.

🎯 Campagnes analysées

Deux campagnes chinoises majeures sont au cœur de l’analyse :

• Volt Typhoon : campagne attribuée à la PLA Strategic Support Force, révélée publiquement en 2023. Cibles : centres de commandement du transport, logistique portuaire de la côte Ouest, infrastructures de communication à Guam, interconnexions fibre critiques pour les opérations militaires dans le Pacifique.
• Salt Typhoon : intrusion dans les plus grandes entreprises de télécommunications américaines, compromettant des communications liées aux candidats présidentiels Trump et Vance. Qualifiée de « violation la plus dommageable du système téléphonique américain ».

🧨 Nature des opérations

Joyce argue que ces campagnes ne relèvent pas de l’espionnage classique mais d’une préparation militaire en temps de paix :

• Pré-positionnement d’accès dans des systèmes vitaux (réseau électrique, eau, transport, pipelines, télécoms)
• Ciblage spécifique des nœuds critiques pour les 72 premières heures d’un conflit autour de Taïwan
• Objectif déclaré par le directeur du FBI Christopher Wray (avril 2024) : « induire la panique et briser la volonté de résistance américaine »

⚠️ Échec de la dissuasion

• Les effets cyber sont invisibles, réversibles et niables, contrairement à la dissuasion nucléaire
• Réponses américaines jugées insuffisantes : inculpations symboliques d’officiers PLA, déclarations sans suite
• Annulation par le DHS de l’étude rétrospective sur Salt Typhoon : perte institutionnelle critique
• Absence de coalition internationale comparable à celle de 2021 (hack Microsoft Exchange, 30 nations)

✅ Précédent positif : accord Obama-Xi 2015

• Après des menaces crédibles d’Obama liant le comportement cyber chinois aux relations commerciales, FireEye/Mandiant a observé une nette baisse des opérations chinoises après septembre 2015
• Leçon : la dissuasion fonctionne par pression économique cross-domaine, pas par contre-opérations cyber

📊 Données statistiques citées

• FBI IC3 2024 : 859 532 plaintes reçues, record absolu
• Dragos 2026 : 3 318 organisations industrielles victimisées en 2025
• Lloyd’s of London et assureurs majeurs : exclusion des cyberattaques étatiques des polices commerciales standard (2022-2023)

📰 Type et objectif

Cet article est une analyse de menace et plaidoyer stratégique rédigé par un ancien haut responsable du renseignement américain. Son but principal est de convaincre les décideurs politiques de traiter les intrusions cyber chinoises comme des actes de guerre nécessitant une réponse présidentielle coordonnée mobilisant tous les instruments de puissance nationale.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Volt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Salt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1078 — Valid Accounts (Persistence)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1071 — Application Layer Protocol (Command and Control)
• T1489 — Service Stop (Impact)
• T1565 — Data Manipulation (Impact)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ cyberdefensereview.army.mil — source non référencée (0pts)
• ✅ 20549 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Volt Typhoon, Salt Typhoon (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cyberdefensereview.army.mil/CDR-Content/Articles/Article-View/Article/4477628/chinas-cyber-explosives-are-in-place-wheres-our-response/