Une infiltration qui s'étend au cœur des systèmes fédéraux
L'activité anormale a été détectée pour la première fois le 17 février 2026. Les attaquants n'ont pas capturé le contenu des communications, mais ont accédé aux métadonnées révélant les cibles et les méthodes des enquêtes en cours. La divulgation publique complète a eu lieu début avril, classant l'incident comme "majeur" au sens du FISMA, la loi fédérale sur la sécurité des systèmes d'information.
Cinq grands opérateurs américains sont désormais confirmés comme victimes : AT&T, Verizon, Lumen Technologies, Charter Communications et Consolidated Communications. La CISA a publié une directive d'urgence en avril 2026, obligeant tous les opérateurs à corriger immédiatement leurs équipements réseau, notamment les routeurs Cisco touchés par la faille CVE-2023-20198. Cette situation s'inscrit dans un contexte plus large où la FCC a durci ses règles de sécurité sur les équipements réseau cloud en 2026, forçant l'ensemble du secteur à revoir son infrastructure.
Une menace persistante malgré les sanctions et les avertissements
Salt Typhoon est actif depuis au moins 2019. Selon la sénatrice Maria Cantwell, les intrusions initiales représentent "le pire piratage de télécoms de l'histoire du pays". Le groupe aurait compromis au total plus de 200 entreprises dans 80 pays, dont des systèmes de messagerie du Congrès américain.
Le FBI a notifié environ 600 organisations susceptibles d'avoir été ciblées. En janvier 2025, le Trésor américain avait sanctionné la société chinoise Sichuan Juxinhe Network Technology Co., et le FBI avait offert une prime de 10 millions de dollars pour toute information sur les responsables en avril 2025. Ces mesures n'ont pas suffi à stopper les opérations du groupe.
La Chine nie toute implication et qualifie les accusations de "désinformation". Côté technique, les attaquants utilisent des backdoors personnalisés comme GhostSpider et des techniques dites "living-off-the-land", qui imitent le trafic légitime pour passer inaperçus. Les serveurs de commande sont localisés en Chine et à Hong Kong.
Pour les entreprises qui s'appuient sur des solutions de téléphonie cloud comparées pour PME en 2026, l'affaire Salt Typhoon rappelle que le choix de l'opérateur et de l'architecture réseau est désormais une décision stratégique autant que technique. Les experts recommandent une architecture zero-trust et des audits réguliers des équipements en bordure de réseau. Cette cybermenace s'étend bien au-delà des États-Unis, comme en témoigne la Commission Européenne, victime d'une cyberattaque sur son infrastructure cloud avec 350 Go de données téléphoniques compromis.
Au 16 avril 2026, aucun élément ne permet de confirmer que la menace a été totalement neutralisée. La CISA et le FBI maintiennent leur cellule de crise, tandis qu'AT&T et Verizon poursuivent l'isolation des segments de réseau compromis.