L'essentiel
- Salt Typhoon a compromis les systèmes CALEA (surveillance légale) d'AT&T, Verizon et T-Mobile.
- Les attaquants ont eu accès pendant plusieurs mois aux communications de personnalités politiques américaines.
- L'opération est attribuée au groupe APT40, lié au ministère de la Sécurité d'État chinois.
- La CISA américaine a émis des recommandations de sécurité sans précédent pour les opérateurs télécom.
CALEA : la porte dérobée devenue porte d'entrée
En 1994, le Congrès américain adoptait le Communications Assistance for Law Enforcement Act (CALEA), obligeant les opérateurs télécom à intégrer des "portes dérobées" permettant aux forces de l'ordre d'intercepter légalement les communications sur présentation d'un mandat judiciaire.
Salt Typhoon a fait exactement ce que les experts en sécurité craignaient depuis 30 ans : utiliser ces accès légaux comme point d'entrée pour un acteur malveillant étatique. En compromettant les systèmes d'interception légale, les attaquants ont obtenu non pas l'accès à une communication particulière, mais à l'infrastructure complète de surveillance — et donc à un accès potentiel sur l'ensemble des communications ciblables.
Qui était visé ?
Selon les révélations du FBI et de la CISA, les attaquants ont ciblé prioritairement les communications de personnalités politiques de haut rang — membres du Congrès, collaborateurs de la Maison Blanche, officiers de renseignement. L'objectif n'était pas le vol de données massif, mais le renseignement de haute valeur : accès aux métadonnées d'appels, aux SMS non chiffrés, aux communications des équipes de campagne électorale.
"Ils ne cherchaient pas des millions d'enregistrements. Ils cherchaient les 300 bonnes personnes, au bon moment, dans les bonnes conversations."
La durée de l'intrusion : l'élément le plus inquiétant
Ce qui distingue Salt Typhoon d'une cyberattaque classique, c'est sa durée. Les attaquants seraient restés présents dans les réseaux ciblés pendant 18 à 24 mois avant d'être détectés. Cette persistance est la marque des APT (Advanced Persistent Threats) étatiques : l'objectif n'est pas un vol rapide, mais une présence durable pour collecter du renseignement sur le long terme.
Implications pour l'Europe et pour la France
Les opérateurs européens utilisent des architectures similaires à celles des opérateurs américains pour les interceptions légales. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié une note de sensibilisation en janvier 2026, sans confirmer d'intrusions similaires sur le territoire français.
Mais le message structurel est clair : toute porte dérobée légale est une porte dérobée potentielle pour n'importe quel acteur suffisamment capable. Le débat sur le chiffrement de bout en bout — régulièrement relancé par les gouvernements européens au nom de la lutte antiterroriste — prend une dimension nouvelle à la lumière de Salt Typhoon.