La Commission européenne n’est pas vraiment fan de la 5G et le fait savoir. L’institution a en effet prévenu, dans le cadre d’un rapport publié ce mercredi avec l’Agence européenne pour la cybersécurité, les Etats membres de l’UE de la dangerosité de la nouvelle technologie de télécommunications sans fil, qui augmentera les risques d’attaque pour l’ensemble des pays l’ayant adopté. Pour la Commission, le déploiement de la 5G, dont le marché atteindra un chiffre d’affaires mondial estimé à 225 milliards d’euros en 2025, risque de “créer un nouveau paradigme de sécurité rendant nécessaire une réévaluation de la politique actuelle et du cadre de sécurité applicable au secteur et à son écosystème et indispensable pour que les États membres prennent les mesures d’atténuation nécessaires”.
Dans le détail, ce rapport, qui décrit les questions de sécurité liées à la 5G, préconise de revoir la conception des réseaux 3G et 4G actuels et met particulièrement en garde contre le recours à un fournisseur unique, en particulier ceux qui ne sont pas basés dans l’Union européenne, sans toutefois prononcer une fois le nom du constructeur chinois Huawei, au coeur d’une bataille géopolitique et commerciale entre Pékin et Washington. “Le rôle accru des logiciels et des services fournis par des fournisseurs tiers dans les réseaux 5G conduit à une plus grande exposition à un certain nombre de vulnérabilités qui peuvent découler du profil de risque des fournisseurs individuels”, explique le rapport, qui préconise donc de multiplier les équipementiers, parmi lesquels deux européens, Ericsson et Nokia.
“Si la technologie et les normes des réseaux 5G apporteront également certaines améliorations en matière de sécurité par rapport aux générations précédentes, plusieurs défis importants découlent des nouvelles caractéristiques de l’architecture du réseau et de la vaste gamme de services et d’applications, qui pourraient à l’avenir dépendre largement des réseaux 5G”, explique également la Commission, pour qui les réseaux 5G ne sauraient garantir à eux seuls une sécurité en béton armée. “D’importantes failles de sécurité, telles que celles qui découlent de mauvais processus de développement de logiciels chez les fournisseurs d’équipement, pourraient faciliter l’insertion malveillante par les acteurs de portes dérobées intentionnelles dans les produits et les rendre plus difficiles à détecter. Cela peut accroître la possibilité que leur exploitation ait un impact négatif particulièrement grave et généralisé”, relève ainsi l’organe européen.
Huawei au banc des accusés
Le rapport ajoute que les pays membres de l’UE ne devraient pas juger les fournisseurs de réseaux 5G à leurs seules qualités techniques et les évaluer sur la base des “vulnérabilités non techniques liées aux réseaux 5G”, telles qu’un lien fort entre le fournisseur et le gouvernement, que le pays du fournisseur n’ait “aucun contrôle et équilibre législatif ou démocratique en place, ou en l’absence d’accords de sécurité ou de protection des données entre l’UE et le pays tiers donné”, la structure du propriétaire du fournisseur et la capacité pour son propre pays à “exercer toute pression, notamment par rapport à la fabrication du matériel”. Encore une fois, si le nom de Huawei – dont les qualités techniques ne sont plus à mettre en doute – n’est pas prononcé, impossible de ne pas y penser alors que l’administration américaine accuse depuis de nombreux mois la firme de Shenzhen d’être sous la coupe de Pékin.
Dans un communiqué de presse publié dans la foulée, Huawei s’est une nouvelle fois défendue de toute ingérence par les autorités chinoises. “Nous sommes une entreprise 100% privée, détenue à 100% par ses employés, et la cybersécurité est une priorité absolue : notre système d’assurance de la cybersécurité de bout en bout couvre tous les domaines de processus, et notre solide expérience prouve qu’il fonctionne”, a ainsi fait savoir le constructeur chinois, qui presse l’UE de ne pas se résoudre à des solutions hâtives à son égard et se dit prête “à fournir une connectivité sûre et rapide pour les besoins futurs de l’Europe”.
Nul ne dit que la Commission saura pourtant répondre à cette main tendue, alors que son rapport pointe du doigt le danger représenté par des “pays tiers hostiles peuvent exercer des pressions sur les fournisseurs 5G afin de faciliter les cyberattaques au service de leurs intérêts nationaux”.
Des mesures seront prises d’ici à la fin d’année
Alors que Huawei avait indiqué pouvoir se contenter de n’intervenir que sur des parties jugées moins sensible des futurs réseaux 5G des pays membres de l’UE, la Commission a semble-t-il décidé de balayer également cette option. “Dans les prochaines phases de développement de la 5G, les parties traditionnellement moins sensibles du réseau gagneront en importance et deviennent plus sensibles, comme par exemple certains éléments de la partie accès radio du réseau, en fonction de la mesure dans laquelle ils traitent les données utilisateur ou exécutent des fonctions intelligentes ou sensibles”, a ainsi fait l’organe européen, qui juge que l’ensemble des réseaux 5G nécessiteront une sécurisation sans précédent, que ne pourrait peut-être pas garantir Huawei.
Bien que le rapport ne nomme pas explicitement Huawei, Nate Synder, ancien fonctionnaire du Département de la sécurité intérieure des États-Unis et aujourd’hui conseiller principal pour la lutte contre le terrorisme et la sécurité intérieure chez Cambridge Global Advisors, était plus qu’heureux de s’y atteler.
“Les réseaux de Huawei peuvent être comparés à un château de cartes soutenu par un codage de mauvaise qualité et une chaîne d’approvisionnement pleine de trous, avec d’innombrables points d’entrée pour les acteurs étatiques et non étatiques, le crime organisé et les groupes terroristes – cybernétiques et autres – à exploiter”, a-t-il indiqué, interrogé par ZDNet. “Le rapport de l’UE confirme qu’un réseau conçu par Huawei à travers l’UE (et les États-Unis) serait un cauchemar pour les services de contre-espionnage”, a fait savoir l’expert. Et d’enfoncer le clou. “Parce que le réseau 5G est basé sur un logiciel et qu’il est si vaste, tenter d’atténuer ces vulnérabilités serait comme boucher des trous dans une roue infinie de fromage suisse. La meilleure façon de gérer les risques ici, c’est de ne pas les prendre”, a-t-il fait savoir.
A noter que les prochaines étapes de la réflexion de l’UE concernant la sécurisation des réseaux 5G débouchera, d’ici au 31 décembre 2019, sur la publication d’une panoplie de mesures d’atténuation pour faire face aux risques identifiés en matière de cybersécurité aux niveaux national et de l’Union. Enfin, d’ici au 1er octobre 2020, les États membres – en coopération avec la Commission – devraient évaluer les effets de la recommandation afin de déterminer s’il y a lieu de prendre de nouvelles mesures. Cette évaluation devrait tenir compte des résultats de l’évaluation européenne coordonnée des risques et de l’efficacité des mesures.
Comments