Salt Typhoon : pourquoi le diagnostic terrain est devenu un impératif de cybersécurité télécom
Le FBI confirme que Salt Typhoon reste actif dans les réseaux télécoms. Analyse des vecteurs d'attaque Layer 3 et méthodologie de détection terrain par diagnostic réseau mobile.
Le contexte : une menace persistante confirmée par le FBI
En février 2026, le FBI a réitéré son avertissement : le groupe Salt Typhoon, attribué à des acteurs étatiques chinois, reste actif au sein des infrastructures de télécommunications américaines. Neuf opérateurs ont été compromis, parmi lesquels AT&T, Verizon, T-Mobile et Lumen Technologies. Les données interceptées incluent des métadonnées d’appels, des SMS en clair et, dans certains cas, des enregistrements audio de conversations.
Ce qui frappe les analystes, ce n’est pas la sophistication des exploits utilisés. C’est leur banalité. Salt Typhoon a exploité des vulnérabilités connues depuis des années : interfaces SS7 non cloisonnées, protocoles Diameter mal configurés, accès administratifs avec des identifiants par défaut sur des équipements de commutation. Le CISA (Cybersecurity and Infrastructure Security Agency) a publié un guide de durcissement spécifique aux télécoms, soulignant que la plupart des compromissions auraient pu être détectées par une surveillance active de la signalisation.
Le marché de la cybersécurité télécom reflète cette urgence : estimé à 56,77 milliards de dollars d’ici 2029 selon Allied Market Research, il croît à un rythme annuel de 12,3 %. Mais une part critique de cette sécurisation reste sous-investie : la vérification terrain.
Anatomie des vecteurs d’attaque sur l’interface radio
Les attaques contre les réseaux mobiles ne se limitent pas aux data centers. L’interface radio constitue un vecteur d’intrusion directement observable depuis un terminal de diagnostic. Voici les principales menaces détectables par analyse Layer 3 sur le terrain.
IMSI Catchers (fausses stations de base)
Un IMSI catcher se fait passer pour une station de base légitime afin de forcer les terminaux à s’y connecter. En 2G, l’absence d’authentification mutuelle rend l’attaque triviale. En 4G et 5G NSA, des variantes exploitent les messages RRC (Radio Resource Control) pour déclencher un repli vers le 2G avant capture.
Indicateurs Layer 3 détectables :
| Indicateur | Message NAS/RRC concerné | Seuil d’alerte |
|---|---|---|
| Rejet d’authentification anormal | Authentication Reject | > 2 occurrences/heure sur même cellule |
| Redirection inter-RAT non sollicitée | RRC Connection Release avec redirectedCarrierInfo | Redirection vers 2G sans congestion |
| Changement de PLMN inattendu | PLMN reselection vers MCC/MNC inconnu | Tout PLMN non listé par l’opérateur |
| Chiffrement dégradé | Security Mode Command avec EEA0 (pas de chiffrement) | Toute session sans chiffrement en zone couverte |
| LAC/TAC éphémère | Location Area Update / Tracking Area Update | TAC non référencé dans la base opérateur |
Attaques SS7 et Diameter
Les protocoles de signalisation SS7 (réseaux 2G/3G) et Diameter (4G/5G) permettent des attaques à distance : localisation d’abonnés, interception de SMS, détournement d’appels. Salt Typhoon a précisément exploité ces vecteurs pour accéder aux métadonnées de millions d’abonnés.
Sur le terrain, ces attaques laissent des traces observables dans la signalisation NAS (Non-Access Stratum) :
| Type d’attaque | Trace Layer 3 observable | Méthode de détection terrain |
|---|---|---|
| Localisation (SRI-SM) | Paging inhabituel sans service demandé | Analyse des messages Paging sur l’interface radio |
| Interception SMS (MT-Forward-SM) | Délai anormal de réception SMS | Mesure du délai entre envoi et réception de SMS test |
| Détournement d’appel (ISD/Cancel Location) | Désenregistrement inattendu du réseau | Surveillance du Detach/Attach involontaire |
| Suivi de mobilité (PSL/ATI) | Augmentation fréquence TAU | Comptage des Tracking Area Updates non motivées |
Messages OTA malveillants
Les messages Over-The-Air (OTA) permettent aux opérateurs de mettre à jour la configuration des cartes SIM à distance. Un attaquant qui compromet la plateforme OTA peut envoyer des commandes silencieuses : modification du Ki, changement d’IMSI, installation d’applets malveillants.
Détection terrain : tout message SMS de classe 2 (destiné à la carte SIM) non sollicité, identifiable dans le décodage NAS des messages courts, constitue une anomalie à investiguer. La présence de SMS binaires avec des en-têtes SIM Toolkit (STK) hors contexte opérationnel normal est un signal d’alerte critique.
Pourquoi le diagnostic terrain comble un angle mort
Les opérateurs disposent de sondes réseau (probes) sur leurs interfaces internes : S1-MME, S6a, S11, Gx. Mais ces sondes ont trois limites fondamentales face aux menaces de type Salt Typhoon.
Limite 1 : couverture partielle. Les sondes couvrent le cœur de réseau, pas la périphérie. Un IMSI catcher déployé en zone urbaine dense n’est visible sur aucune sonde opérateur, puisqu’il opère en dehors de l’infrastructure légitime.
Limite 2 : perspective inversée. Les sondes voient le trafic côté réseau. Elles ne voient pas ce que le terminal perçoit : une fausse cellule avec un signal plus fort, une redirection suspecte, un chiffrement absent. Seul un outil de diagnostic embarqué sur smartphone capture cette perspective abonné.
Limite 3 : latence de détection. Les systèmes SIEM (Security Information and Event Management) télécom agrègent les données de signalisation avec un délai de minutes à heures. Un audit terrain en temps réel détecte une anomalie de signalisation en quelques secondes.
Le diagnostic terrain ne remplace pas les sondes réseau. Il les complète par une capacité de vérification indépendante, côté terminal, en temps réel, sur n’importe quel point du territoire.
Méthodologie d’audit de sécurité terrain en 6 phases
Voici une méthodologie structurée pour conduire un audit de sécurité réseau depuis le terrain, applicable aux opérateurs, régulateurs et entreprises critiques (OIV).
Phase 1 : Cartographie de référence
Avant de chercher des anomalies, il faut établir une ligne de base. Cette phase consiste à scanner toutes les cellules visibles dans la zone d’audit et à constituer une base de données de référence.
Données collectées : EARFCN/ARFCN de chaque cellule, PCI (Physical Cell ID), TAC (Tracking Area Code), PLMN, puissance de signal (RSRP/RSCP/RxLev), identifiant de cellule (Cell ID).
Critère de complétude : au moins 3 passages sur chaque zone à des horaires différents (matin, midi, soir) pour capturer les variations de charge et les configurations temporaires.
Phase 2 : Détection de cellules non référencées
Comparer la cartographie terrain avec la base de données officielle des cellules de l’opérateur (disponible auprès de l’ANFR en France, ou fournie par l’opérateur dans le cadre d’un audit contractuel).
Toute cellule présente sur le terrain mais absente de la base officielle est suspecte. Cela inclut les cellules avec un MCC/MNC valide mais un Cell ID inconnu, les cellules avec un TAC ne correspondant à aucune zone de routage déclarée, et les cellules émettrices sur des fréquences non attribuées à l’opérateur dans la zone.
Phase 3 : Analyse de la signalisation NAS
Décoder en temps réel les messages NAS échangés entre le terminal et le réseau. Les points de contrôle critiques :
| Point de contrôle | Ce qu’il faut vérifier | Anomalie type |
|---|---|---|
| Authentication Request/Response | Présence systématique dans chaque attachement | Absence = pas d’authentification mutuelle |
| Security Mode Command | Algorithme de chiffrement proposé | EEA0 (chiffrement nul) en zone couverte |
| Attach Accept | Liste des TAC dans la TAI List | TAI List inhabituellement courte ou longue |
| EMM Information | Nom du réseau affiché | Nom différent du nom officiel de l’opérateur |
| Paging | Fréquence et contexte | Paging sans service demandé par l’abonné |
Phase 4 : Test de résilience aux redirections
Provoquer délibérément des scénarios de mobilité pour observer le comportement du réseau : passage en zone de couverture marginale, forçage de handover, test de fallback inter-RAT.
Un réseau sain ne redirige vers le 2G que dans des conditions de couverture dégradée réelles. Une redirection vers le 2G en pleine couverture 4G/5G, sans congestion mesurable, signale soit une mauvaise configuration, soit une attaque de type downgrade.
Phase 5 : Audit OTA et SMS silencieux
Envoyer des SMS de test et surveiller les messages entrants au niveau NAS. Tout SMS binaire non sollicité, tout message de classe 2 non lié à une opération de provisioning connue, toute commande STK inattendue doit être capturée, horodatée et géolocalisée.
Phase 6 : Rapport et corrélation
Consolider les données de toutes les phases dans un rapport géoréférencé. Corréler les anomalies terrain avec les journaux réseau (si disponibles) pour distinguer les faux positifs (configurations temporaires, travaux de maintenance) des vraies menaces.
Livrable type : carte de couverture annotée avec les anomalies, export des traces Layer 3 complètes au format standard (PCAP, QMDL), tableau de synthèse des indicateurs de compromission (IoC) terrain.
Les leçons de Salt Typhoon pour le diagnostic terrain
Salt Typhoon n’est pas un cas isolé. C’est la manifestation visible d’une réalité structurelle : les réseaux de télécommunications sont des infrastructures critiques dont la sécurité dépend autant de la surveillance côté terminal que de la protection côté cœur de réseau.
Les implications pour les professionnels du diagnostic terrain sont directes :
Pour les opérateurs : intégrer un volet sécurité dans chaque campagne de drive test. Les mêmes outils qui mesurent la couverture et la qualité de service peuvent détecter les anomalies de signalisation. Le coût marginal est quasi nul ; le gain en posture de sécurité est considérable.
Pour les régulateurs : exiger des audits de sécurité terrain dans les obligations de licence. L’ARCEP en France, le BNetzA en Allemagne, l’OFCOM au Royaume-Uni disposent déjà du cadre réglementaire. Il manque la méthodologie standardisée et l’obligation de résultat.
Pour les entreprises critiques (OIV, OSE) : ne pas se reposer uniquement sur les garanties contractuelles de l’opérateur. Un audit indépendant de la signalisation radio autour des sites sensibles (sièges sociaux, data centers, sites industriels) est une mesure de due diligence proportionnée à la menace.
Pour les intégrateurs et consultants : le diagnostic de sécurité réseau terrain est un marché de niche en pleine expansion. Les compétences requises (analyse Layer 3, connaissance des protocoles NAS/RRC, interprétation des vecteurs d’attaque radio) sont rares. C’est un avantage concurrentiel durable.
Ce que révèle un smartphone de diagnostic que les sondes ne voient pas
Un point mérite d’être souligné : les outils de diagnostic embarqués sur smartphone Android, lorsqu’ils accèdent aux couches basses du chipset (interface DIAG Qualcomm, messages Layer 3 bruts), offrent une capacité d’analyse que ni les sondes réseau ni les scanners passifs traditionnels ne proposent.
Le smartphone est le seul outil qui simule exactement le comportement d’un abonné réel. Il s’attache au réseau, négocie l’authentification, reçoit les messages de paging, subit les redirections. Chaque anomalie qu’il détecte est une anomalie que tout abonné de la zone subirait.
C’est cette perspective côté terminal, combinée au décodage Layer 3 en temps réel et à la géolocalisation des événements, qui fait du diagnostic terrain un complément indispensable aux systèmes de sécurité réseau centralisés.
Le marché de la cybersécurité télécom à 56,77 milliards de dollars ne se gagnera pas uniquement dans les SOC (Security Operations Center). Il se gagnera aussi sur le terrain, smartphone en main, en vérifiant cellule par cellule que le réseau fait bien ce qu’il prétend faire.
Dans un monde où des groupes étatiques exploitent des vulnérabilités de signalisation vieilles de vingt ans, la question n’est plus de savoir si le diagnostic terrain est utile à la cybersécurité télécom. La question est de savoir combien de temps on peut encore se permettre de ne pas l’intégrer systématiquement.
Fondatrice HiCellTek. +15 ans dans les télécoms, côté opérateur, côté éditeur, côté terrain. Construit l'outil terrain que les ingénieurs RF méritent.
Demandez une démo personnalisée de HiCellTek, diagnostic réseau 2G/3G/4G/5G sur Android.