La Chine n’a pas pénétré les réseaux télécoms américains grâce à des cyberarmes futuristes — elle est simplement passée par des portes laissées ouvertes.
Washington présente souvent le conflit cybernétique avec Pékin comme un affrontement sophistiqué entre grandes puissances, une sorte de jeu d’échecs complexe fait d’espions audacieux et d’exploits zero-day. Ce récit est flatteur, mais il est erroné. Comme le révèlent les récentes révélations autour de Salt Typhoon, les États-Unis ne perdent pas la partie face aux hackers chinois. Ils échouent à un contrôle de sécurité qu’ils ont eux-mêmes négligé.
Assurer la sécurité des réseaux américains implique de considérer la cybersécurité des télécommunications non comme un partenariat volontaire, mais comme une discipline de sécurité critique : imposer des normes opérationnelles obligatoires, exiger des vérifications exécutives rigoureuses de l’hygiène des réseaux, et verrouiller les systèmes de surveillance légale que les adversaires ciblent activement.
Le mythe de la sophistication
En décembre 2025, le Comité du Commerce du Sénat a formulé un constat sans ambages au sujet de Salt Typhoon, la campagne d’espionnage cyber parrainée par l’État chinois contre les réseaux télécom et les infrastructures critiques américaines : les réseaux demeurent vulnérables, et les opérateurs comme Verizon, AT&T ou T-Mobile n’ont toujours pas démontré de manière convaincante qu’ils ont évincé les intrus. L’audition sénatoriale a cité des défaillances basiques telles que l’usage d’équipements obsolètes, des mots de passe faibles, et des correctifs vieux de plusieurs années jamais appliqués, comme raisons principales de la réussite de l’attaque.
Cette réalité opérationnelle est cruciale. À Washington, la réaction instinctive est souvent de chercher des solutions spectaculaires. Certains élus et anciens responsables réclament plus de sanctions et un durcissement des restrictions technologiques vis-à-vis de la Chine. D’autres suggèrent des opérations offensives de type « hack back » pour perturber les infrastructures attaquantes. Ces mesures peuvent infliger des coûts et montrer la détermination, mais comme l’ont démontré les nombreuses inculpations et sanctions contre des hackers chinois, elles modifient rarement les comportements quand l’accès aux réseaux peut être rapidement rétabli.
La leçon inconfortable de Salt Typhoon n’est pas que Pékin possède des capacités cyber futuristes, mais que Washington interprète souvent ces intrusions majeures comme le signe d’une sophistication écrasante de l’adversaire, alors que des failles élémentaires et évitables expliquent en grande partie la vulnérabilité. Un avis conjoint publié en 2025 par les agences de renseignement américaines et alliées avertissait que les menaces chinoises ciblent globalement les réseaux — en particulier les télécoms — sans recourir aux vulnérabilités zero-day. Elles exploitent plutôt des failles publiques bien connues et des faiblesse évitables.
Du point de vue de Pékin, un accès durable aux infrastructures télécom américaines ouvre des options stratégiques : non seulement la collecte d’informations, mais aussi la capacité, en temps de crise, à perturber les services, saper la confiance, ou intercepter et exposer sélectivement des communications privées. Ce levier est valable qu’il soit destiné principalement à l’espionnage ou à préparer des opérations militaires.
Cette distinction est importante. Si Salt Typhoon s’apparente principalement à une campagne d’espionnage basée sur l’accès aux communications, Volt Typhoon a été présenté comme une mise en position préalable pour une potentielle disruption des infrastructures critiques avant une attaque militaire. La lettre adressée en novembre 2025 par la sénatrice Maria Cantwell à la Federal Communications Commission souligne les enjeux stratégiques toujours en jeu : la compromission a permis aux adversaires de géolocaliser des millions d’Américains et d’accéder aux interfaces d’interception légale utilisées par les forces de l’ordre fédérales, étatiques et locales.
Le piège politique
La réponse officielle américaine à Salt Typhoon s’est fragmentée selon des lignes bien établies. Fin 2025, la FCC a annulé des ordres contraignants de cybersécurité pour les opérateurs télécoms et les a remplacés par un cadre de collaboration volontaire avec l’industrie. Parallèlement, l’administration Trump a renforcé les mesures punitives externes, étendant les listes noires à l’export et imposant de nouvelles sanctions contre les entreprises technologiques chinoises et des sociétés-écrans du Ministère de la Sécurité d’État chinois. Cette approche illustre la difficulté à concilier deux positions opposées : le volontarisme et le techno-protectionnisme.
D’une part, les grandes associations télécoms estiment que le gouvernement américain doit éviter les obligations réglementaires contraignantes et miser sur le partage d’informations et la coopération volontaire. Ils craignent que des réglementations mal conçues ne conduisent à une conformité formelle et ralentissent l’adaptation face à des menaces mouvantes. Ces préoccupations sont fondées : de mauvaises règles peuvent pousser les entreprises à prioriser la paperasserie au détriment du renforcement concret de la sécurité. Par exemple, après l’attaque ransomware contre Colonial Pipeline en mai 2021, les directives d’urgence émises par la Transportation Security Administration ont été critiquées pour avoir imposé des protocoles rigides inadaptés aux systèmes de gestion spécialisés des infrastructures pétrolières. En réponse, la TSA a adopté des normes basées sur la performance, fixant des objectifs de sécurité tout en laissant la liberté technique aux opérateurs.
D’autre part, un groupe conservateur au Congrès considère la vulnérabilité des réseaux essentiellement comme un problème de chaîne d’approvisionnement : retirer le matériel chinois, renforcer les contrôles à l’exportation, et tournée terminée. Ce raisonnement se reflète dans les débats récents concernant la politique dite de « rip-and-replace ». Le président de la FCC Brendan Carr ainsi que les sénateurs Ted Cruz et Deb Fischer ont mis en avant les lois existantes imposant le retrait des équipements Huawei et ZTE comme preuve que les États-Unis répondent fermement à Salt Typhoon. Pourtant, la sécurité de la chaîne d’approvisionnement n’explique pas entièrement comment Salt Typhoon a pu réussir. Les rapports publics ont confirmé que l’attaque n’utilisait pas de matériel chinois, mais exploitait des défauts d’entretien élémentaires dans des équipements américains, notamment des vulnérabilités non corrigées depuis sept ans dans des routeurs Cisco.
Verrouiller la porte dérobée
Entre ces deux extrêmes, une troisième voie est nécessaire. Le gouvernement américain doit traiter la cybersécurité des télécoms comme une discipline de sécurité publique et réglementer ces réseaux en tant qu’infrastructures critiques. Cela implique de dépasser les cadres volontaires et d’imposer des normes de sécurité obligatoires, comparables aux inspections structurelles réalisées sur les ponts ou aux vérifications avant vol dans l’aviation commerciale. Concrètement, cela se traduit ainsi :
- Instaurer un socle minimal de cybersécurité pour les opérateurs télécoms et les infrastructures de base, à l’instar des normes en aviation ou sur la qualité de l’eau potable. Ce socle ne doit pas consister en un long manuel de procédures, mais en un ensemble succinct de standards appliqués et contrôlés par la FCC, utilisant à terme les objectifs de performance cybersécurité intersectoriels existants émis par la Cybersecurity and Infrastructure Security Agency (CISA). Ces objectifs répondent aux faiblesses fréquemment soulignées : authentification multifactorielle pour tous les comptes à privilèges, suppression totale des accès partagés d’administrateur, application rapide des correctifs sur les systèmes exposés à internet, et plan réaliste de retrait des équipements obsolètes.
- Mettre en place des protocoles de vérification. Le public doit pouvoir cesser de croire sur parole que les intrus ont été expulsés alors que les opérateurs peinent à le démontrer. La vérification ne nécessite pas la publication de schémas réseau ou la divulgation de vulnérabilités, mais doit reposer sur des procédures de contrôle et des méthodes d’audit sécurisées en lien avec les autorités de régulation. Les grandes entreprises comme Verizon ou AT&T doivent réaliser des tests d’intrusion par des tiers et des simulations où l’on part du principe que l’attaquant est déjà présent, afin d’évaluer leur capacité à détecter et contenir des intrusions rapidement. Les responsables doivent aussi attester par écrit à la FCC de la sûreté de leurs systèmes de contrôle essentiels, ce qui introduirait une responsabilité pénale en cas de fausse déclaration, à l’image des lois contre la fraude financière.
- Protéger les libertés civiles, car les failles dans les télécoms peuvent susciter des réponses disproportionnées. Après une cyberattaque majeure, les politiques tendent à élargir la surveillance intérieure ou à réclamer des failles dans le chiffrement. Cela a été le cas après l’attaque terroriste de San Bernardino en 2015, lorsque le FBI a exigé des portes dérobées, puis après l’attaque SolarWinds en 2020 où le débat a porté sur un renforcement des pouvoirs de surveillance des agences de renseignement. Cela représenterait un cadeau stratégique aux adversaires, en créant un point unique de défaillance exploitable par les services étrangers. Salt Typhoon a prouvé que les intrus ont profité des capacités d’interception légale utilisées par les forces de l’ordre. Une meilleure politique serait de renforcer la sécurité des équipements qui traitent les ordres d’interception et des passerelles administratives, notamment à travers un stockage sécurisé des identifiants matériels et un système d’autorisation à double contrôle pour empêcher toute compromission par un seul utilisateur.
- Cesser de démanteler les rares contrôles applicables. La lettre de la sénatrice Cantwell rappelle que la FCC avait utilisé son autorité de reclassification pour interpréter la Communications Assistance for Law Enforcement Act (CALEA) de manière contraignante, exigeant une cybersécurité robuste des interfaces d’interception, rendant les manquements passibles de sanctions. Cependant, sous la pression de lobbyistes et de commissaires dissidents dénonçant cet excès réglementaire, la FCC a annulé cette décision quelques mois plus tard. Cela constitue une erreur stratégique majeure, car cette décision a privé les régulateurs de la capacité d’imposer des sanctions sur les vulnérabilités exploitées par Salt Typhoon. Cette autorité contraignante ne doit pas être perçue comme une bureaucratisation, mais comme une déclaration que la cybersécurité des réseaux télécoms, en tant qu’infrastructures critiques, n’est pas optionnelle.
Pour l’heure, Washington continue de discuter de la gravité de l’engagement chinois en cyberespionnage. Pourtant, Salt Typhoon a déjà apporté la réponse essentielle : lorsque les fondamentaux de la défense échouent à grande échelle, l’intention adverse importe peu. Dans la compétition stratégique dans le cyberespace, l’avantage revient souvent au camp qui considère la sécurité comme un entretien de routine — financé, audité et appliqué — et non comme un correctif d’urgence après coup.
Shaoyu Yuan est professeur associé en sécurité globale au Centre des Affaires Globales de l’Université de New York et chercheur à l’Université Rutgers. Il travaille sur les implications stratégiques de la politique technologique chinoise, la protection des infrastructures critiques et la compétition sino-américaine.