CTI & OSINT

Démantèlement par l’U.S. Secret Service d’un réseau de menaces télécom à New York

by  • 

Résumé exécutif

Le Secret Service américain a démantelé un réseau d’équipements électroniques répartis dans la région tri-États de New York. Selon l’agence, ces dispositifs servaient à mener des menaces liées aux télécommunications visant des hauts responsables fédéraux, constituant une menace imminente pour les opérations de protection. L’enquête a mis au jour plus de 300 serveurs SIM co-localisés et 100 000 cartes SIM sur plusieurs sites. Les équipements, situés dans un rayon d’environ 35 miles du siège de l’Assemblée générale de l’ONU en cours à New York, auraient également permis divers scénarios d’attaques télécom et de communications anonymes chiffrées. L’« Advanced Threat Interdiction Unit » mène une enquête toujours en cours.

Faits établis (source officielle)

  • Périmètre et nature de la menace : réseau d’équipements utilisé pour des menaces télécom dirigées contre des responsables gouvernementaux américains, identifié comme une menace imminente pour les opérations de protection.
  • Ampleur matérielle : découverte de > 300 serveurs SIM co-localisés et 100 000 cartes SIM sur plusieurs sites.
  • Capacités potentielles : appels anonymes malveillants ; possibilités de désactivation d’antennes cellulaires, attaques par déni de service, et communications anonymes chiffrées entre acteurs menaçants et organisations criminelles.
  • Contexte temporel et géographique : dispositifs concentrés à ~35 miles du rassemblement mondial de l’Assemblée générale des Nations Unies en cours à New York ; action rapide de l’agence pour neutraliser le réseau.
  • Attributions organisationnelles : enquête conduite par l’Advanced Threat Interdiction Unit du Secret Service, avec l’appui du DHS/HSI, du DOJ, de l’ODNI, du NYPD et d’autres partenaires.
  • Indicateurs préliminaires : analyses initiales signalant des communications cellulaires entre acteurs étatiques et des individus connus des forces de l’ordre fédérales.
  • Déclaration officielle : le Directeur Sean Curran souligne l’ampleur du risque pour les télécommunications et rappelle la priorité donnée à la prévention et au démantèlement rapide des menaces.

Lecture technique

Les infrastructures dites SIM server / SIM box permettent d’orchestrer à grande échelle l’usage de cartes SIM, avec rotation, multiplexage et basculement pour masquer l’origine des communications ou diluer les charges. Couplées à des passerelles IP, elles peuvent soutenir des campagnes d’appels, de SMS, voire des flux de signalisation télécom difficiles à attribuer. Dans un contexte opérationnel, la co-localisation de centaines de serveurs et de dizaines de milliers de cartes SIM dans un rayon restreint augmente la bande passante opérationnelle et réduit la latence de coordination entre sites.

Les capacités évoquées par l’agence incluent des attaques susceptibles d’affecter la disponibilité (jusqu’à la désactivation locale d’infrastructures cellulaires et des scénarios de déni de service), ainsi que des canaux chiffrés anonymes pour la coordination entre acteurs malveillants. Ces usages exploitent des surfaces réseau et des chaînes d’accès opérateur dont la supervision et la corrélation inter-domaines sont complexes à l’échelle d’une métropole.

Implications pour la défense (analyse)

  • Corrélation spatio-temporelle : la concentration dans un périmètre de 35 miles autour de l’ONU suggère une optimisation de portée radio et la volonté de synchroniser des actions durant un évènement à haute visibilité.
  • Attribution complexe : la fragmentation SIM/IMSI, la rotation et le cloisonnement topologique rendent l’attribution multi-source (opérateurs, LE, renseignement technique) indispensable.
  • Surface d’attaque télécom : même en l’absence d’IOCs publics, l’événement confirme la pertinence d’une veille télécom-cyber conjointe sur les artefacts voix/SMS/données et les anomalies de signalisation.

Points ouverts

  • IoCs et TTPs détaillés : non publiés à ce stade.
  • Chaînes de commande/contrôle : modalités techniques et fournisseurs de transit non divulgués.
  • Périmètre judiciaire : suites pénales et qualification des infractions en cours d’instruction.

Source

U.S. Secret Service — U.S. Secret Service dismantles imminent telecommunications threat in New York tristate area, 23 septembre 2025.

Quelques photos de l’investigation