Des mouchards sur des panneaux solaires chinois
Des appareils de communications secrets auraient été découverts sur des dispositifs vendus à l'Ouest.
Hola.
Et oui, je suis TOUJOURS VIVANT.
Désolé pour le silence radio des dernières semaines, life happened, comme qui disent… À la demande générale (i.e., trois personnes), voici la plus récente édition d’(in)sécurité, l’infolettre qui me permet de canaliser ma misanthropie en format digeste pour tout le monde.
Cette semaine: des nouvelles de Salt Typhoon; des agences gouvernementales importantes pour la transparence et la sécurité se font amputer leur budget; des mouchards pourraient se trouver dans des panneaux solaires chinois; et le décès d’un acteur important dans le combat contre la surveillance gouvernementale.
Have phun.
🌀 Des nouvelles de Salt Typhoon
La semaine dernière, j’étais l’invité des Décrypteurs (encore une fois). Nous avons discuté de Salt Typhoon et des compromissions en cascade de cet acteur étatique de menaces chinois envers des entreprises de télécommunications états-uniennes. Je me suis fait demander si l’absence de nouvelles récentes sur cette histoire n’était pas, en soi, une nouvelle.
Suffisait bien sûr d’en parler pour que quelque chose de nouveau débloque à ce niveau, courtoisie de DefenseOne:
The National Security Agency [NSA] determined that Comcast had likely been affected by Salt Typhoon, according to two of the people. The Cybersecurity and Infrastructure Security Agency believes Digital Realty may have been compromised, the third person said.
Deux autres entreprises viendraient donc de s’ajouter à la liste grandissante des victimes de cette APT (advanced persistent threat), qui n’est pas la même selon qu’on demande à la CISA ou au FBI… Mais voici ce qui a particulièrement attiré mon attention dans l’article de DefenseOne:
At two major U.S. telecom providers, incident-response staff have been instructed by outside counsel not to look for signs of Salt Typhoon, said one of the people, declining to name the firms because the matter is sensitive.
Intéressant… J’imagine que c’est pour éviter d’interférer dans une enquête ouverte? J’ose à peine imaginer la frustration des professionnel·les qui travaillent dans l’équipe de réponse aux incidents de ces deux entreprises et qui se font dire « pas touche! ».
Il semblerait aussi que les activités de Salt Typhoon dépasseraient le secteur des télécommunications. En effet, des CENTAINES d’autres entreprises auraient potentiellement été visées (ou compromises?) par cette entité.
Les informations sur cette histoire sortent au compte-goutte, mais soyez assuré·e que je vais suivre tout ça de près (si je reprends pas un autre deux mois de sabbatique).
Pour les curieux·euses, l’épisode des Décrypteurs avec yours truly est disponible en intégralité sur YouTube:
💀 L’hécatombe se poursuit pour la CISA
Donald Trump ne finit plus d’en découdre avec toute agence qui pourrait mettre en lumière des agissements douteux au sein de l’appareil étatique américain. J’ai déjà mentionné par le passé que la Cybersecurity Infrastructure Security Agency (CISA) était dans la mire du président et je ne parlais pas à travers mon chapeau: des coupures massives vont cibler cette agence fédérale dans le budget 2026.
Voici des extraits de l’article de Cybersecurity Dive à ce sujet:
The $495 million cut would slash $216 million, or 18% of current funding, from CISA’s Cybersecurity Division, which leads efforts to protect government networks and help defend critical infrastructure. The plan cuts $46.2 million, or 20%, from the Integrated Operations Division, which coordinates CISA’s distribution of support and services to companies and local governments across the country. […]
Two other divisions would face much bigger cuts: the Stakeholder Engagement Division, which leads CISA’s partnerships with critical infrastructure organizations, would lose $62.2 million, 62% of current funding, while the National Risk Management Center, which analyzes and predicts threats to infrastructure, would lose $97.4 million, a 73% reduction.
Ainsi, c’est environ 33 % des postes à la CISA qui seraient en voie d’être abolis…
Souvenons-nous qu’une table de concertation de la CISA, le Cyber Security Review Board, a aussi été flushée, alors qu’elle était en train d’enquêter sur Salt Typhoon…
♟️ Une tension masquée entre Pékin et Moscou
Il est commun de croire que, sur l’échiquier mondial, la Russie et la Chine sont buddy-buddy, ne serait-ce que parce que ces deux pays ont sensiblement les mêmes adversaires (c.-à.-d. la fameuse «communauté internationale»). Par contre, en coulisses, tout n’est pas rose entre ces deux alliés de circonstances.
En effet, le New York Times a obtenu un document du FSB russe qui décrit la Chine comme étant carrément « l’ennemi », notant que ces derniers espionnent activement les Russes sur le champ de bataille ukrainien pour obtenir du renseignement sur l’armement occidental. À cela s’ajoute le fait que Pékin serait aussi très actif du côté recrutement d’espions russes dans le milieu académique.
Henry Kissinger avait déjà dit que les États-Unis n’avaient pas d’alliés ou d’ennemis, seulement des intérêts. C’est clairement le cas aussi pour la Russie et la Chine.
🪲 Des mouchards chinois sur des panneaux solaires?
Parlant de la Chine: l’Empire du Milieu aurait, comme l’a révélé Reuters il y a trois semaines, placé des dispositifs d’écoute et/ou de communication sur des onduleurs qui sont utilisés sur des panneaux solaires, certaines batteries, des chargeurs d’automobile électrique et des chauffe-eaux.
Pour le moment, aucun manufacturier n’a été pointé du doigt, mais:
Huawei is the world's largest supplier of inverters, accounting for 29% of shipments globally in 2022, followed by Chinese peers Sungrow and Ginlong Solis, according to consultancy Wood Mackenzie.
La crainte ici est essentiellement la même qu’avec les dispositifs 5G, soit que la Chine puisse contrôler subrepticement d’immenses pans d’infrastructures critiques en Occident. Il y a beauuuucoup de spéculations et très peu de faits en lien avec ce genre de craintes, mais cette histoire continue d’apporter de l’eau au moulin sur un moyen temps, disons.
(Je tiens à rappeler que l’entreprise Huawei s’est développée en éventrant Nortel Networks via des opérations d’espionnage industriel au début des années 2000.)
~ ~ ~
Parallèlement, toujours dans Reuters, l’Inde commence à trouver que les webcams chinoises cheaps en valent de moins en moins la peine, au point où c’est devenu un sujet tendu entre les deux pays:
In 2021, Modi's then-junior IT minister told parliament that 1 million cameras in government institutions were from Chinese companies and there were vulnerabilities with video data transferred to servers abroad. […]
Indian officials met on April 3 with executives of 17 foreign and domestic makers of surveillance gear, including Hanwha, Motorola, Bosch, Honeywell and Xiaomi, where many of the manufacturers said they weren't ready to meet the certification rules and lobbied unsuccessfully for a delay, according to the official minutes.
Les appareils bon marché de ce type le sont parce que le contrôle de la qualité est, disons, expéditif. En plus, leur développement se fait sans grande considération pour la sécurité, quand leur design n’est pas carrément volé d’autres entreprises… Bref, ces dernières années, cela a contribué à augmenter la méfiance envers tout ce qui est développé et produit en Chine.
✂️ Coupures importantes à la CAI
La Commission d’accès à l’information (CAI) vient de voir 20 % de ses postes (non comblés) être coupés par son ministre, Jean-François Roberge. La Fédération professionnelle des journalistes du Québec (FPJQ) ne l’a trouvé pas drôle:
« La Commission croule sous les demandes de révision, les délais sont excessivement longs. C’est assez évident à sa face même qu’il y a des besoins criants. Je n’ai aucun doute que ces postes-là seraient fort utiles », explique [Éric-Pierre] Champagne [président de la FPJQ].
Bref, ce n’est pas une bonne nouvelle pour la transparence gouvernementale, qui en arrache autant au provincial qu’au fédéral. Pour rappel, il y a dix ans, Ed Snowden affirmait que le Canada avait l’un des moins bons systèmes de surveillance (oversight)au monde relativement à ses propres activités de renseignement. La CAI est un outil de transparence essentiel et ces coupures n’augurent rien de bon.
🪦 RIP, John Young
Je tiens à souligner le décès de John Young, l’architecte (littéralement) de Cryptome, un site de publication de documents sensibles ayant une emphase sur la protection de la vie privée et la dénonciation de la surveillance de masse. Le travail de Young a accompagné mon développement professionnel et a grandement façonné ma vision du monde.
Cet homme intègre n’a jamais plié l’échine devant la forte pression imposée par l’État américain au fil de sa carrière. Véritable champion de la transparence radicale, comme le prêchait d’ailleurs à ses débuts Julian Assange, Young laisse derrière lui une immense archive de documents déclassifiés et un précieux site Web, dont l’avenir demeure toutefois incertain.
Le décès de Young a été rapporté initialement par la journaliste Emma Best de Distributed Denial Of Secrets en avril dernier, mais le décès de l’homme n’a été couvert que tout récemment par The Register et l’EFF.
Repose en paix, John, et merci de m’avoir ouvert les yeux.
Pour terminer, Microsoft et CrowdStrike ont récemment annoncé vouloir normaliser la nomenclature utilisée pour désigner des acteurs étatiques de menaces. Microsoft a d’ailleurs publié un excellent guide de référence à ce sujet.
Par ailleurs, ce tweet m’a beaucoup fait rire:
Voyez, je détiens pas le monopole du cynisme.
Bonne semaine!
Merci pour ces infolettres autant divertissantes de par le ton qu'intéressantes et éducatives de par le contenu. Keep up the good work!
Si John Young t'a ouvert les yeux, toi, tu as ouvert les miens! :-)
(Qui aurait cru que Thomas Levac serait à la source d'un changement de comportement positif dans ma vie)