Le piratage de Salt Typhoon est un véritable coup de semonce

De récentes révélations ont ébranlé le secteur des télécommunications aux États-Unis. Selon des articles publiés par de grands médias comme le New York Times et le Wall Street Journal, ainsi que des confirmations d'agences gouvernementales américaines, un groupe de pirates informatiques hautement qualifiés, connu sous le nom de Salt Typhoon et soutenu par le gouvernement chinois, s'est introduit dans des éléments clés de l'infrastructure de communication des États-Unis. La cible du groupe ? Les systèmes de communication qui permettent les écoutes téléphoniques obligatoires, dans le but apparent de surveiller les hauts fonctionnaires américains.

E2EE : une défense essentielle contre les menaces telles que Salt Typhoon

À la lumière de ces événements, la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) exhortent les citoyens américains, les fonctionnaires et les chefs d'entreprise à adopter des outils de communication cryptés de bout en bout (E2EE) pour leurs conversations quotidiennes. Pourquoi ? L'E2EE garantit que seuls les destinataires prévus des communications peuvent accéder au contenu. Même si des pirates informatiques s'introduisent dans les serveurs d'un fournisseur de communications, le contenu des messages, des appels ou des fichiers cryptés reste illisible.

Mais que signifie le cryptage de bout en bout ? Malheureusement, il existe de nombreux produits qui prétendent être sécurisés, mais qui souffrent d'importants compromis de conception non sécurisés. Pour commencer, il faut se rappeler que des portes dérobées similaires à celles qui sont visées par Salt Typhoon sont intégrées dans de nombreux produits de communication et de collaboration développés aux États-Unis, afin de se conformer aux exigences du gouvernement.

Le "chiffrement de bout en bout" ne peut pas être simplement une ou deux fonctions supplémentaires, ou un langage marketing, si vous voulez qu'il vous protège. Il doit être sérieux et complet. Par exemple, chez Wire, notre plateforme de communication et de collaboration a été conçue dès le départ pour protéger la vie privée et la sécurité. Grâce au cryptage de bout en bout de Wire, seuls les utilisateurs finaux impliqués dans une conversation peuvent décrypter les données. Jamais. Cela signifie que même si nos serveurs - ou tout autre système intermédiaire - sont compromis, le contenu des messages, des appels et des fichiers reste protégé des regards indiscrets.

Un signal d'alarme pour les responsables gouvernementaux et les chefs d'entreprise

Il est essentiel que les hauts fonctionnaires et les hommes politiques, ainsi que les chefs d'entreprise américains, prennent conscience de l'ampleur de cette menace. Salt Typhoon semble avoir ciblé les communications gouvernementales, mais la profondeur de l'intrusion signifie que tout le monde - qu'il s'agisse ou non d'un fonctionnaire - pourrait potentiellement être vulnérable.

Les organisations qui travaillent sur des projets sensibles, que ce soit dans le domaine de la technologie, de la propriété intellectuelle, de la recherche et du développement ou dans d'autres domaines critiques, sont particulièrement exposées. Le piratage de Salt Typhoon n'est peut-être qu'un début, et nous encourageons tous les dirigeants de ces secteurs à prendre des mesures proactives pour sécuriser leurs communications.

Comment Wire peut protéger vos communications aux États-Unis

Chez Wire, nous créons des technologies E2EE de pointe qui garantissent la protection de vos communications, même dans un environnement numérique contesté comme celui du secteur des télécommunications aux États-Unis.

• Transparence des sources ouvertes: La base de code de notre plateforme est disponible sur GitHub et peut être examinée par tout le monde, y compris les chercheurs en sécurité et les experts en cryptage, ce qui permet de garantir la transparence et de rassurer sur nos revendications en matière de sécurité. Il est essentiel que tout fournisseur de technologie prétendant offrir l'E2EE prouve également ces affirmations en ouvrant son code. En effet, sans la transparence d'un code source ouvert, les clients et les utilisateurs finaux retombent dans le même vieux paradigme basé sur la confiance, dans lequel des vulnérabilités inconnues ou des affirmations exagérées ou fausses sur la sécurité mettent les données des clients en danger.
  
• Confiance zéro: Dans le paysage actuel des menaces, il est essentiel d'adopter une approche de confiance zéro. La plateforme E2EE à code source ouvert de Wire élimine le besoin de faire confiance à une entité ou à un système unique, même le nôtre. En mettant notre code à disposition pour inspection, nous permettons à quiconque de vérifier l'intégrité de notre cryptage. Cela garantit que seuls les destinataires prévus peuvent accéder aux communications, ce qui rend impossible l'écoute des conversations ou l'interception des données par des pirates, des personnes malveillantes ou même des infrastructures compromises.
  
  
• Sécurité de la couche de messagerie (MLS): Nous prenons en charge les dernières technologies de communication chiffrée, telles que MLS, ce qui garantit la sécurité des messages, même lorsque les groupes d'utilisateurs passent de quelques dizaines ou centaines d'utilisateurs à des milliers ou des dizaines de milliers d'utilisateurs, pour de véritables déploiements prêts pour l'entreprise.
  
  
• Sécurité post quantique: Wire a exploité la propriété de crypto-agilité de MLS pour mettre en œuvre la prise en charge des méthodes de cryptage sécurisé post-quantique. Cette même propriété de crypto-agilité permet à Wire de maintenir une position prospective grâce à la capacité de mettre rapidement en œuvre la prise en charge de méthodes de cryptage nouvelles et émergentes dans la course à la protection des données contre l'arrivée imminente d'ordinateurs quantiques qui devraient compromettre gravement les technologies de cryptage conventionnelles.
  
  
• Communication E2EE fédérée: Wire permet une communication sécurisée entre plusieurs déploiements, que vous utilisiez notre service basé sur le cloud ou des solutions sur site pour les industries sensibles.
  
  
• Hébergement de données souveraines: Pour les entités gouvernementales et les industries réglementées, Wire offre des options de déploiement sur site et en nuage privé, garantissant que les données restent à l'intérieur des frontières nationales et soumises aux lois et réglementations locales.
  
  
• Options de cloud sécurisées: Les organisations qui préfèrent une solution SaaS peuvent toujours bénéficier des normes les plus élevées de l'E2EE grâce à nos déploiements en nuage sécurisés.

Outre les offres payantes destinées aux gouvernements et aux clients du secteur privé, nous sommes convaincus de l'importance d'une communication sécurisée pour tous. C'est pourquoi nous proposons Wire Free, notre service E2EE accessible à tous gratuitement. Que vous soyez fonctionnaire, chef d'entreprise ou simplement quelqu'un qui tient à sa vie privée, Wire Free permet aux particuliers de bénéficier de la même protection de classe mondiale que celle dont jouissent nos entreprises clientes.

Restez vigilant, restez protégé

Le piratage de Salt Typhoon nous rappelle que les menaces de cybersécurité sont en constante évolution et que personne n'est à l'abri. Cependant, en adoptant les bons outils, nous pouvons garder une longueur d'avance sur ces menaces. Wire s'engage à fournir les solutions de communication les plus sûres, et nous sommes fiers de contribuer à la protection de votre vie privée dans un monde de plus en plus connecté. Pour en savoir plus, rendez-vous sur wire.com, ou si vous savez que vous êtes prêt à explorer, contactez-nous.