Volt Typhoon est un groupe de hackers parrainé par l’État chinois. Le gouvernement des États-Unis et ses principaux partenaires mondiaux du renseignement, connus sous le nom de Five Eyes, ont émis un avertissement le 19 mars 2024 concernant les activités du groupe ciblant les infrastructures critiques.
Cet avertissement fait écho aux analyses de la communauté de la cybersécurité sur le piratage informatique parrainé par l’État chinois au cours des dernières années. Comme pour de nombreuses cyberattaques et attaquants, Volt Typhoon a de nombreux pseudonymes et est également connu sous les noms de Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite et Insidious Taurus. Suite à ces derniers avertissements, la Chine a de nouveau nié se livrer à un cyberespionnage offensif.
Volt Typhoon a compromis des milliers d’appareils dans le monde depuis qu’il a été publiquement identifié par les analystes de sécurité de Microsoft en mai 2023. Cependant, certains analystes du gouvernement et de la communauté de la cybersécurité pensent que le groupe cible les infrastructures depuis la mi-2021, et peut-être beaucoup plus. plus long.
Volt Typhoon utilise des logiciels malveillants qui pénètrent dans les systèmes connectés à Internet en exploitant des vulnérabilités telles que des mots de passe d’administrateur faibles, des connexions par défaut et des appareils qui n’ont pas été mis à jour régulièrement. Les pirates ont ciblé les systèmes de communication, d’énergie, de transport, d’eau et de traitement des eaux usées aux États-Unis et dans leurs territoires, comme Guam.
À bien des égards, Volt Typhoon fonctionne de la même manière que les opérateurs de botnets traditionnels qui sévissent sur Internet depuis des décennies. Il prend le contrôle des appareils Internet vulnérables tels que les routeurs et les caméras de sécurité pour se cacher et établir une tête de pont avant d’utiliser ce système pour lancer de futures attaques.
En opérant de cette manière, il est difficile pour les défenseurs de la cybersécurité d’identifier avec précision la source d’une attaque. Pire encore, les défenseurs pourraient accidentellement exercer des représailles contre un tiers qui ignore qu’ils sont pris dans le botnet de Volt Typhoon.
Pourquoi Volt Typhoon est important
La perturbation des infrastructures critiques peut potentiellement causer des dommages économiques dans le monde entier. L’opération de Volt Typhoon constitue également une menace pour l’armée américaine en perturbant potentiellement l’alimentation en électricité et en eau des installations militaires et des chaînes d’approvisionnement critiques.
Le rapport 2023 de Microsoft indiquait que Volt Typhoon pourrait « perturber les infrastructures de communication critiques entre les États-Unis et la région Asie lors de crises futures ». Le rapport de mars 2024, publié aux États-Unis par la Cybersecurity and Infrastructure Security Agency, prévenait également que le botnet pourrait conduire à « une interruption ou une destruction de services critiques en cas d’augmentation des tensions géopolitiques et/ou de conflit militaire avec les États-Unis et leurs alliés ». alliés. »
L’existence du Volt Typhoon et l’escalade des tensions entre la Chine et les États-Unis, en particulier à propos de Taiwan, soulignent le dernier lien entre les événements mondiaux et la cybersécurité.
Se défendre contre le typhon Volt
Le FBI a signalé le 31 janvier 2024 avoir perturbé les opérations de Volt Typhoon en supprimant les logiciels malveillants du groupe de centaines de routeurs de petits bureaux et de bureaux à domicile. Cependant, les États-Unis sont encore en train de déterminer l’étendue de l’infiltration du groupe dans les infrastructures critiques américaines.
Le 25 mars 2024, les États-Unis et le Royaume-Uni ont annoncé avoir imposé des sanctions aux pirates informatiques chinois impliqués dans la compromission de leurs infrastructures. Et d’autres pays, dont la Nouvelle-Zélande, ont révélé des cyberattaques remontant à la Chine ces dernières années.
Toutes les organisations, en particulier les fournisseurs d’infrastructures, doivent mettre en pratique une informatique sécurisée et éprouvée, centrée sur la préparation, la détection et la réponse. Ils doivent s’assurer que leurs systèmes d’information et leurs appareils intelligents sont correctement configurés et corrigés, et qu’ils peuvent enregistrer l’activité. Et ils doivent identifier et remplacer tous les périphériques situés en périphérie de leurs réseaux, tels que les routeurs et les pare-feu, qui ne sont plus pris en charge par leur fournisseur.
Les organisations peuvent également mettre en œuvre des mesures d’authentification strictes des utilisateurs, telles que l’authentification multifacteur, pour rendre plus difficile la tâche des attaquants comme Volt Typhoon qui souhaitent compromettre les systèmes et les appareils. Plus largement, le cadre de cybersécurité complet du NIST peut aider ces organisations à développer des postures de cybersécurité plus solides pour se défendre contre Volt Typhoon et d’autres attaquants.
Les particuliers peuvent également prendre des mesures pour se protéger eux-mêmes et protéger leurs employeurs en s’assurant que leurs appareils sont correctement mis à jour, en permettant l’authentification multifactorielle, en ne réutilisant jamais les mots de passe et en restant vigilants face aux activités suspectes sur leurs comptes, appareils et réseaux.
Pour les praticiens de la cybersécurité et la société en général, des attaques comme Volt Typhoon peuvent représenter une énorme menace géopolitique pour la cybersécurité. Ils rappellent à chacun de surveiller ce qui se passe dans le monde et de réfléchir à la manière dont les événements actuels peuvent affecter la confidentialité, l’intégrité et la disponibilité de tout ce qui est numérique.
