Salt Typhoon

🔍 Contexte Publié le 23 avril 2026 par le Citizen Lab (Université de Toronto), ce rapport de recherche documente deux campagnes distinctes de surveillance télécom menées par des acteurs désignés STA1 et STA2, identifiés comme des vendeurs commerciaux de surveillance (CSV) opérant probablement pour le compte d’États. L’investigation a débuté fin 2024 suite à l’analyse de logs de pare-feu de signalisation mobile, en collaboration avec Cellusys, Telenor Linx, Roaming Audit et P1 Security. ...

📰 Source : NRK (média public norvégien), publié le 15 avril 2026. L’article rapporte la découverte et la divulgation responsable d’une vulnérabilité de configuration dans le réseau mobile de Telia Norvège, opérateur comptant environ 2 millions d’abonnés. 🔍 Découverte de la faille Le 20 mars 2026, le chercheur en sécurité Harrison Sand, employé de la société norvégienne Mnemonic, découvre la faille lors d’investigations sur l’abus du réseau téléphonique à des fins de fraude par SMS. En passant un appel vers un journaliste de NRK, il constate que Telia transmet spontanément l’identifiant de la station de base à laquelle le téléphone appelé est connecté. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

🏛️ Contexte Le 23 mars 2026, le Bureau de la Sécurité Publique et de la Sécurité Intérieure de la Federal Communications Commission (FCC) a publié l’avis DA 26-278 annonçant l’ajout de tous les routeurs produits dans un pays étranger à la Covered List — la liste des équipements et services jugés comme présentant un risque inacceptable pour la sécurité nationale américaine, en vertu du Secure and Trusted Communications Networks Act of 2019. ...

TechCrunch rapporte une campagne mondiale attribuée au groupe chinois Salt Typhoon visant des opérateurs télécoms et fournisseurs d’accès, avec un accent sur les routeurs Cisco et les dispositifs d’interception légale, afin de collecter massivement des données de communications. Le groupe aurait mené l’une des campagnes de piratage les plus étendues de ces dernières années, ciblant des géants des télécoms et d’Internet pour voler des dizaines de millions d’enregistrements d’appels, des SMS et de l’audio de responsables américains de haut niveau. À la suite de ces intrusions, le FBI a encouragé l’usage d’applications de messagerie chiffrées de bout en bout. ...

Selon CyberScoop, le FBI a confirmé avoir identifié et traité des activités suspectes sur ses réseaux et indiqué avoir mobilisé « toutes [ses] capacités techniques » pour y répondre, sans fournir d’autres détails. Des informations de CNN et CBS citées indiquent que l’activité suspecte aurait visé un système numérique utilisé par le FBI pour gérer et conduire des opérations de surveillance, incluant des travaux liés aux mandats de surveillance étrangers (FISA), aux écoutes téléphoniques et aux pen registers (tracés de données comme adresses IP et numéros composés). 🚨 ...

Source: The Record (Recorded Future News), article d’Alexander Martin publié le 6 février 2026. Le service de sécurité intérieure norvégien (PST) confirme que la campagne d’espionnage chinois Salt Typhoon a compromis des appareils réseau au sein d’organisations norvégiennes. Sa directrice, Beate Gangås, décrit une situation « la plus grave depuis la Seconde Guerre mondiale », liée aux pressions de services de renseignement étrangers et à des tactiques hybrides. Salt Typhoon, déjà associé à des intrusions majeures dans les télécoms et d’autres infrastructures critiques à l’international, a été observé en Norvège via l’exploitation d’équipements vulnérables. Selon des responsables américains cités, cette campagne a permis d’intercepter des communications liées à des figures politiques durant la présidentielle américaine de 2024 (dont Donald Trump et JD Vance). Par ailleurs, une alerte conjointe de plus d’une douzaine de pays a accusé trois entreprises technologiques chinoises d’avoir facilité ces opérations, utilisées pour suivre communications et déplacements de cibles spécifiques. ...

Source: The Register — Le média relate des allégations selon lesquelles le groupe étatique chinois présumé « Salt Typhoon » aurait mené une opération d’espionnage prolongée visant les téléphones d’aides de Boris Johnson, Liz Truss et Rishi Sunak, en s’appuyant sur des compromissions d’opérateurs télécoms. Selon des sources renseignées citées, l’accès remonterait à 2021 et irait « au cœur de Downing Street ». La méthode attribuée à Salt Typhoon consiste à pénétrer les réseaux d’opérateurs télécoms pour aspirer métadonnées et communications sans déployer de logiciel sur les terminaux. Même sans contenu complet, les journaux d’appels et données de localisation suffiraient à cartographier les interactions sensibles. Il n’est pas établi si les appareils des premiers ministres eux-mêmes ont été directement touchés. ...

Contexte — Foreign, Commonwealth & Development Office (gov.uk), 9 décembre 2025 : le gouvernement britannique annonce des sanctions contre deux entreprises basées en Chine, accusées de mener ou de faciliter des opérations de cyberattaque à grande échelle. 🛡️ Le Royaume-Uni sanctionne i‑Soon (Sichuan Anxun Information Technology Co. Ltd) pour avoir ciblé plus de 80 systèmes informatiques gouvernementaux et privés à travers le monde, ainsi que pour avoir soutenu d’autres acteurs malveillants. Integrity Technology Group Incorporated (Integrity Tech) est sanctionnée pour avoir contrôlé et géré un réseau clandestin et fourni une assistance technique à des tiers pour mener des cyberattaques, incluant des cibles du secteur public britannique. ...

Selon TechCrunch, le directeur de l’ASIO Mike Burgess a déclaré lors d’une conférence à Melbourne que des pirates soutenus par la Chine « sondent » les réseaux australiens d’infrastructures critiques et, dans certains cas, y ont accédé, afin de se pré-positionner pour des opérations de sabotage et d’espionnage. Ces avertissements rejoignent ceux déjà émis par le gouvernement américain. ⚠️ Burgess cite le groupe Volt Typhoon, qui vise des réseaux d’énergie, d’eau et de transport. Des intrusions réussies pourraient entraîner des coupures massives et des perturbations. Il souligne que, une fois l’accès acquis, la suite dépend surtout de l’intention des attaquants, non de leur capacité. ...