Cyberespionnage du groupe Velvet Ant durant dix ans : une infiltration discrète et sophistiquée
Par L'équipe Web à Lille
Publié le juin 15, 2026

Imaginez une organisation croyant ses systèmes parfaitement protégés, alors qu’en réalité, une menace invisible a rôdé dans l’ombre pendant près d’une décennie. C’est exactement ce qui est arrivé lorsqu’un groupe de cyberespionnage, lié à la Chine, a infiltré un réseau isolé, échappant à toute détection. Comment ce réseau prétendument inviolable a-t-il pu être compromis si longtemps ? Découvrez les détails fascinants de cette intrusion, orchestrée avec une précision digne d’un thriller technologique.
Les 3 infos clés
- Le groupe Velvet Ant, associé à la Chine, a accédé clandestinement à un réseau isolé pendant près de dix ans.
- Les attaquants ont utilisé des versions modifiées de logiciels Linux pour capturer des identifiants sans éveiller de soupçons.
- Sygnia, la société de cybersécurité, a découvert et baptisé cette opération sous le nom de Highland.
Infiltration du réseau isolé par Velvet Ant
Depuis 2016, Velvet Ant a maintenu un accès clandestin à un réseau sans connexion Internet, connu sous le nom de « air-gapped ». Ce réseau, censé être à l’abri des intrusions extérieures, a été compromis par l’exploitation de failles dans les systèmes Linux. Les attaquants ont usé de techniques sophistiquées, remplaçant des composants d’authentification par des versions piégées.
La stratégie de dissimulation des attaquants
Pour éviter la détection, Velvet Ant a intégré des processus malveillants en les dissimulant sous des noms de services légitimes. Par exemple, un proxy SOCKS5 fonctionnait sous le nom « smbd -D », un alias courant pour un service Samba authentique. Cette approche a permis aux attaquants de faire transiter le trafic sans être découverts.
Sygnia et la découverte de l’opération Highland
Les experts de Sygnia ont mis au jour l’opération Highland après avoir analysé les artefacts forensiques remontant à 2016. La sophistication de l’intrusion a nécessité la création d’un laboratoire de test pour valider les procédures de nettoyage sans interrompre les opérations critiques de l’organisation victime.
Les recommandations de Sygnia pour renforcer la sécurité
Sygnia préconise une surveillance accrue des système d’authentification tels que PAM et OpenSSH. Ils recommandent également l’implémentation de l’authentification multifacteur en amont de l’accès aux systèmes pour empêcher les attaques similaires.
Groupe Velvet Ant et les avancées en cybersécurité de 2026
Depuis la découverte de l’opération Highland, le secteur de la cybersécurité a dû s’adapter et évoluer. Les entreprises investissent davantage dans la détection proactive des menaces, utilisant l’intelligence artificielle pour identifier des comportements anormaux en temps réel. Les technologies de blockchain commencent également à être utilisées pour garantir l’intégrité des données, rendant plus difficile la falsification des traces numériques.
Les défis de la sécurité des réseaux isolés en 2026
La problématique de la sécurisation des réseaux isolés reste un défi majeur en 2026. Bien que ces réseaux soient conçus pour être inaccessibles depuis l’extérieur, des attaques sophistiquées comme celle de Velvet Ant montrent qu’aucun système n’est invulnérable. Des entreprises comme Cisco et IBM travaillent sur des solutions de détection des intrusions plus avancées, cherchant à combler les failles avant qu’elles ne soient exploitées par des acteurs malveillants.
La sécurité des infrastructures critiques est devenue une priorité pour les gouvernements et les entreprises, nécessitant une collaboration internationale et des investissements continus pour rester en avance sur les cybermenaces. Les leçons tirées des incidents passés, telles que l’opération Highland, servent de guide pour renforcer les stratégies de cybersécurité à l’avenir.