Salt Typhoon frappe encore : un fournisseur télécom canadien compromis via une faille Cisco
Le Centre Canadien pour la cybersécurité et le FBI lancent l'alerte : le groupe de pirates Salt Typhoon, sponsorisé par l'État chinois, cible activement les entreprises de télécommunications canadiennes. Une faille de sécurité critique présente dans les systèmes Cisco a notamment été exploitée. Faisons le point.
Salt Typhoon profite de la CVE-2023-20198 dans Cisco IOS XE
En février 2025, le groupe Salt Typhoon a réussi à s'introduire dans les systèmes d'un fournisseur de services de télécommunications canadien en exploitant la faille de sécurité associée à la référence CVE-2023-20198. Cette vulnérabilité, associée à un score CVSS de 10 sur 10, est considérée comme critique et elle se situe dans le système Cisco IOS XE.
Elle n'est pas nouvelle, puisqu'elle a été divulguée pour la première fois en octobre 2023. En l'exploitant, des attaquants non authentifiés peuvent créer des comptes sur les équipements, et ainsi obtenir des privilèges administrateur. Cette faille représente un véritable risque, notamment sur les équipements en bordure de réseau qui sont toujours une cible privilégiée par les cybercriminels.
Le bulletin publié conjointement par le Centre Canadien pour la cybersécurité et le FBI précise : "Trois équipements réseau enregistrés auprès d'une entreprise de télécommunications canadienne ont été compromis par des acteurs probablement liés à Salt Typhoon à la mi-février 2025." - Sans que le nom de cette entreprise soit précisé.
Lors de cette attaque, les cybercriminels ont pu exploiter cette faille de sécurité pour récupérer la configuration en cours sur les 3 équipements. Ce n'est pas tout, puisque la configuration a été modifiée sur un équipement "pour configurer un tunnel GRE, ce qui a permis de collecter du trafic sur le réseau."
Malgré les alertes de sécurité publiées concernant la CVE-2023-20198, cette attaque montre que ces avertissements ne sont pas toujours pris en compte. Résultat, les pirates en profitent...
Au-delà du secteur des télécommunications...
Cette cyberattaque visant un fournisseur de services de télécommunications n'est pas un événement isolé. Dès octobre 2024, plusieurs opérateurs américains ont déjà été la cible du groupe Salt Typhoon, qui s'en est également pris à d'autres entreprises canadiennes. D'ailleurs, plusieurs entreprises comme AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications et Windstream, ont déjà été affectées par les attaques de Salt Typhoon.
De plus, le Centre Canadien pour la cybersécurité a observé que l'activité de Salt Typhoon ne se limite pas au secteur des télécommunications. Des enquêtes distinctes et des renseignements collectés indiquent que d'autres secteurs sont ciblées, dont les industries.
Si le groupe Salt Typhoon s'intéresse aux secteurs des télécommunications et de l'industrie, ce n'est pas un hasard. Soutenu par l'État chinois, ce groupe est fréquemment impliqué dans des opérations de cyberespionnage, où la compromission d'équipements réseau représente un point d'entrée stratégique. En effet, les opérateurs gèrent des données sensibles telles que les métadonnées d'appels, les données de localisation des abonnés, le contenu des SMS et potentiellement des communications entre gouvernements.
Du côté de l'agence canadienne, on estime que les attaques contre le secteur de la télécommunication se poursuivront au cours des deux prochaines années.
