DOSSIERS
Sécurité : faut-il avoir peur du matériel chinois ?
Par La rédaction, publié le 24 mai 2013
[ENQUETE] Les équipementiers Huawei et ZTE sont accusés de mettre en péril la sécurité des Etats. Les entreprises qui utilisent leurs produits courent-elles un risque? Le point sur la réalité de la menace.
Vingt milliards de dollars. C’est le prix qu’a déboursé Softbank (troisième opérateur de téléphonie mobile japonais) pour acheter 70 % de Sprint Nextel (troisième opérateur mobile américain) le 15 octobre dernier. Le rapprochement de ces deux géants, qui sera finalisé dans les prochaines semaines, donnera naissance au troisième acteur du secteur en termes de chiffres d’affaires, derrière le Chinois China Mobile et l’Américain AT&T.
Une fois concrétisée, cette acquisition permettra à Sprint Nextel d’investir 8 milliards de dollars, notamment pour étendre et moderniser son réseau. Mais les services de renseignements américains ont posé une condition à cette ambitieuse opération boursière. Interdiction est faite à Sprint Nextel de recourir à du matériel fabriqué par les équipementiers télécoms Huawei et ZTE. Ce n’est pas tout : l’Américain a également dû s’engager à remplacer le matériel Huawei exploité dans le réseau de Clearwire, un autre opérateur texan, dont il est actionnaire majoritaire. Raison invoquée : la lutte contre le cyberespionnage.
Pour le constructeur chinois doublement mis en cause, c’en est trop ! Après des années passées à tenter en vain de percer le marché américain, Huawei renonce. Depuis plusieurs mois, les Etats-Unis l’avaient dans le collimateur, le percevant comme une menace pour sa sécurité intérieure. Les autorités américaines le soupçonnent, ainsi que son compatriote ZTE, d’être sous l’influence directe de l’Etat chinois. En tant que fournisseurs de produits de télécommunications pour les opérateurs, ils seraient susceptibles de laisser accéder leurs services de renseignements aux réseaux qu’ils équipent, avec toutes les conséquences que cela représente.
Simples présomptions. Dans un rapport rendu public en octobre 2012, le comité de supervision des services de renseignements américains recommande ainsi aux opérateurs télécoms de se fournir chez des équipementiers non chinois. Il conseille également aux entreprises de toute nature d’évaluer les risques pris à long terme en travaillant avec du matériel Huawei ou ZTE.
On connaît la prudence des autorités américaines dès que leur sécurité est en jeu. Le problème, c’est que d’autres pays partagent leur méfiance. En France, le sénateur PS Jean-Marie Bockel pousse ainsi le gouvernement à adopter une posture identique envers ces deux fabricants. Dans un rapport publié il y a un an, il demande l’interdiction de l’utilisation de matériel chinois dans les réseaux des opérateurs télécoms hexagonaux. Même s’il reconnaît qu’il est très difficile de trouver des preuves du moindre lien entre une quelconque affaire de cyberespionnage et les constructeurs de l’empire du Milieu. “ Nous devons nous baser sur des présomptions, puis tenter de faire la part des choses ”, estime-t-il.
Bien sûr, en tant que clients de Huawei et de ZTE, les opérateurs télécoms sont les premiers concernés par ces suspicions. Mais les autres secteurs pourraient être amenés à se poser également des questions. En effet, même si les Chinois sont, pour l’heure, peu présents dans les systèmes d’information (SI) des entreprises classiques, ils affichent également de larges ambitions sur ce marché. Huawei projette de vendre pour 10 milliards de dollars de routeurs, de commutateurs téléphoniques, de solutions de vidéosurveillance, de produits de sécurité et de logiciels collaboratifs à l’horizon 2017, contre 1,9 milliard en 2012. Les entreprises doivent-elles vraiment craindre pour la sécurité de leurs données stratégiques ? A l’heure actuelle, rien ne permet d’affirmer qu’elles prennent davantage de risques en achetant du matériel d’origine chinoise plutôt qu’en se fournissant chez des équipementiers occidentaux.
Produits interdits. Il faut en effet savoir que dans son rapport, le sénateur Bockel met en cause des matériels bien précis : en l’occurrence les routeurs de cœur de réseau pour équipementiers télécoms, qui servent à aiguiller des milliers de flux de données.
Ces mêmes machines sont pointées du doigt par les autorités américaines. En France, les produits de ce type construits par Huawei ou ZTE ne peuvent tout simplement pas être exploités, car ils n’ont pas encore obtenu les autorisations prévues par le code pénal français. Les articles R226-1 à R226-10 imposent en effet que ces appareils soient équipés d’un dispositif permettant aux autorités d’intercepter certaines communications dans des cas bien précis. Baptisé interface d’interception, il peut être utilisé sur ordre d’un juge pour connaître le contenu d’un échange, son origine ou les deux.
Mauvaise communication. “ Cela fait plus de deux ans que nous sommes évalués par l’Agence nationale de la sécurité des systèmes d’information (Anssi) afin d’obtenir la certification relative à la loi R226. Depuis le début des auditions, nous nous sommes montrés coopératifs et nous avons répondu à toutes ses demandes, explique la direction de ZTE. Nous souhaiterions davantage d’ouverture de la part des autorités françaises. Mais nous n’avons jamais vraiment réussi à travailler de façon constructive avec l’Anssi. ” A ce jour, donc, aucune autorisation n’a été délivrée à ZTE, pas plus qu’à Huawei. Autrement dit, les communications des entreprises hexagonales ne transitent à aucun moment par des routeurs de cœur de réseau fabriqués par les deux industriels de l’empire du Milieu.
Les autres produits pour les réseaux vendus directement aux entreprises classiques ne sont pas soumis aux articles R226. Mais aucun chiffre ne permet aujourd’hui de dire que les équipements de marque Huawei ou ZTE sont plus ou moins sujets aux cyberattaques que ceux des autres constructeurs. Ce qui est certain, c’est que toutes marques confondues, les appareils concernés peuvent être dotés d’interfaces de gestion à distance, exploitées par les équipementiers pour pratiquer des opérations de maintenance et de mise à niveau.
Quand un vendeur ou un revendeur s’y connecte, il a donc potentiellement accès aux données qu’ils contiennent. “ Il est impératif d’utiliser des systèmes de traçabilité et de gestion des journaux de bord afin d’avoir connaissance de la moindre opération de maintenance ”, recommande Théodore-Michel Vrangos, président d’i-Tracing, une société de conseil en sécurité des systèmes d’information.
En effet, de façon générale, les entreprises n’enregistrent pas les opérations réalisées sur leurs équipements, qu’elles soient fondées ou frauduleuses. En cas de vol de données, il leur est alors impossible de justifier le vol auprès des autorités et, donc, d’identifier un responsable. “ Mais tous les équipements sont concernés, pas uniquement ceux de Huawei et de ZTE ”, précise l’expert. Cependant, un ancien employé de l’une de ces deux marques révèle ne pas avoir toujours expliqué à ses clients que les produits disposaient d’un accès dédié à la maintenance à distance.
“ En cas de panne, mon employeur ne voulait pas dire à son client comment il déboguait le produit ”, raconte-t-il. Etait-il en faute pour autant ? Non. Aujourd’hui, aucune loi n’impose aux équipementiers d’intégrer par défaut des systèmes de traçabilité (ou solutions de rebond) en cas de connexion à l’interface de maintenance. De même, rien n’oblige les entreprises à s’équiper de ces systèmes par leurs propres moyens. Pour lever leurs inquiétudes, certaines sociétés sollicitent i-Tracing afin qu’il vérifie l’intégrité de leurs routeurs et commutateurs, chinois ou non.
“ Beaucoup veulent savoir s’ils ne renferment pas des portes dérobées ou des commandes cachées activables au cours d’une opération de maintenance ”, explique Théodore-Michel Vrangos. Deux techniques permettent alors de s’en assurer. La première consiste à mener des tests d’intrusion, en simulant une attaque ; la seconde à analyser de façon détaillée le code informatique des produits. Confrontés aux soupçons, les constructeurs chinois font preuve de bonne volonté. Pour rassurer les autorités gouvernementales, Huawei a décidé de travailler avec elles en leur soumettant ses matériels et les logiciels les faisant fonctionner.
Huawei en avance. C’est notamment le cas au Royaume-Uni où l’équipementier, le gouvernement et plusieurs Anssi ont ouvert un centre d’études (Cyber Security Evaluation Center – CSEC) capable d’autoriser ou d’interdire les technologies destinées aux infrastructures télécoms critiques. Ainsi, dans le cadre du déploiement en cours du réseau national de fibre optique de British Telecom, Huawei apporte les garanties de sécurité exigées sur les équipements qu’il fournit à l’opérateur britannique. Au Canada, en Espagne ou encore en Italie, le constructeur multiplie les coopérations avec des organisations tierces pour réaliser des audits de sécurité indépendants et obtenir les certifications nécessaires telles que les “ Critères Communs ”, un standard international de sécurité des systèmes d’information.
En Australie également, Huawei a décidé de jouer la carte de la transparence en mettant à disposition des autorités ses équipements et leurs codes informatiques. Il faut dire qu’au mois d’octobre dernier, le gouvernement australien avait empêché l’opérateur National Broadband Network de s’équiper chez Huawei, évoquant, là encore, la possible mise en péril de la sécurité nationale. “ Dans sa démarche de visibilité et de prise en compte du modèle occidental, Huawei a une longueur d’avance sur ZTE ”, estime Jean-Marie Bockel.
Pourtant selon ZTE, le sénateur n’aurait jamais pris contact avec ses représentants, ni lors de la rédaction de son rapport, ni depuis sa publication. Et tandis que les coopérations se multiplient à l’étranger, rien de tel n’a été annoncé dans l’Hexagone entre l’Anssi et les équipementiers chinois. “ Certes, la sécurité de certains de nos produits est jugée insuffisante, mais dans le même temps, nous n’avons reçu aucun détail sur ce que nous devions améliorer pour être certifié par les autorités françaises ”, s’étonne la direction de ZTE.
Une incompréhension révélant en creux que le sujet n’est pas seulement technique. Et que la question de la sécurité pourrait bien masquer d’autres enjeux, de nature macroéconomique cette fois.
Crédit photos : Huawei
Huawei
35,6 milliards de dollars de chiffre d’affaires en 2012
2,5 milliards de dollars de bénéfice net en 2012
150 000 salariés, dont 70 000 en R&D
13,70 % du chiffre d’affaires d’investissement en R&D
16 centres de R&D dans le monde
Le chiffre d’affaires de la division “ entreprises ” a crû de 26 % en 2012, à 1,9 milliard de dollars. Envers elles, Huawei affine sa communication sur la cybersécurité.
ZTE
13,5 milliards de dollars de chiffre d’affaires en 2012
0,32 milliard de dollars de pertes nettes en 2012
65 000 salariés, dont 29 000 en R&D
10 % du chiffre d’affaires d’investissement en R&D
19 centres de R&D dans le monde
En plus des équipements pour opérateurs, ZTE vend des smartphones. En 2012, il a atteint la quatrième place mondiale en volume, avec 3,9 % de parts de marché, juste derrière Apple(3).
Le protectionnisme avance masqué
Derrière les enjeux de sécurité nationale avancés par Jean-Marie Bockel (photo) se cache, en filigrane, la volonté de protéger les intérêts des équipementiers historiques, dont ceux d’un Alcatel-Lucent moribond. En décembre 2012, l’entreprise française a mis en gage ses 29 000 brevets contre une ligne de crédit de 2 milliards d’euros attribuée par les banques Goldman Sachs et le Crédit suisse. Son sauvetage est donc devenu une priorité, car si dans les mois à venir sa situation économique ne s’améliorait pas, ses biens tomberaient définitivement dans l’escarcelle des banques.
L’une des stratégies consisterait donc à mettre sur la touche ses concurrents chinois Huawei et ZTE qui, sauf contraintes “ légales ”, finiront par obtenir les faveurs des opérateurs télécoms et des entreprises européens dans les mois, voire les années à venir. “ La France n’est pas un pays culturellement protectionniste, estime le sénateur Bockel. Cela dit, je suis solidaire d’une entreprise comme Alcatel-Lucent qui se bat pour sa survie. ”
Mais cette guerre économique se joue aussi au niveau communautaire. Karel De Gucht, commissaire européen au Commerce, tente de fédérer les Etats membres dans le but de bloquer la progression des équipementiers chinois, accusés de vendre leurs produits en moyenne 35 % moins cher que ceux de leurs concurrents. Les équipementiers concurrents de Huawei et ZTE soupçonnent, eux aussi, leurs rivaux de dumping (vente à perte de leurs produits grâce au soutien des banques chinoises), mais ils n’ont à ce jour pas porté plainte.
La mairie de Lyon fait confiance à ZTE
Pendant deux ans, Thierry Courtot (photo), responsable technique de la mairie de Lyon, et son équipe ont testé les caméras de vidéosurveillance de ZTE. Pour lui, le choix de cet équipementier s’est imposé : “ Leurs produits nous restituent la meilleure qualité d’image pendant la nuit. ” Un critère primordial pour faire la chasse à la délinquance nocturne. Avec une douzaine d’années de recul dans la vidéosurveillance, la mairie de Lyon a pu juger en experte les matériels proposés par ZTE et ses concurrents. Parmi ces derniers, figuraient notamment Mardel Image, Axis ou encore Bosch. Plus performantes, les caméras de ZTE étaient aussi les moins chères.
Peu de temps après son choix, début 2012, Thierry Courtot a entendu parler des doutes que le sénateur Bockel et d’autres pays ont émis envers certains équipements chinois. Il a immédiatement pris contact avec les équipes de ZTE en France. “ Nous nous sommes posé la question de la fiabilité de notre système de vidéosurveillance car, bien qu’il ne soit pas constitué d’équipements de communication chinois, il est entièrement bâti sur un réseau IP, raconte le responsable technique. A un moment, nous avons pensé que les caméras pouvaient y créer une faille de sécurité. Il est impensable que des images soient détournées de notre système d’information. ”
ZTE a réagi très vite et répondu en quelques jours par courrier, lui expliquant que les produits mis en cause par les autorités étaient des routeurs de cœur de réseau pour opérateurs. Depuis six mois, le système de vidéosurveillance basé sur les caméras ZTE est opérationnel. Une vingtaine de caméras dômes sont disséminées un peu partout dans la ville. “ Nous avons une totale confiance en ZTE, et allons installer une centaine de leurs caméras supplémentaires dans les six mois à venir, principalement en centre-ville ”, annonce Thierry Courtot.