Mais un rapport du gouvernement britannique publié en juillet de l’année dernière a révélé que des problèmes techniques affectant la chaîne d’approvisionnement des équipements du groupe chinois avaient exposé les réseaux de télécoms nationaux à de nouveaux risques de sécurité. Après plusieurs mois d’observation, un nouveau compte rendu suggère que les responsables britanniques ne sont toujours pas satisfaits des progrès réalisés par Huawei qui avait pourtant promis des investissements importants pour résoudre ces problèmes, notamment en décembre dernier avec une enveloppe de 2 milliards de dollars étalée sur cinq ans pour la cybersécurité afin de rassurer ses clients occidentaux.
Dans le rapport de 46 pages publié récemment, le Comité de surveillance du HCSEC, composé de représentants du Centre national de cybersécurité, du GCHQ et d’autres agences, ainsi que d’un haut responsable de Huawei, a averti que Huawei n’avait pas apporté les modifications promises depuis longtemps au niveau de son logiciel et de ses pratiques d’ingénierie, des modifications pourtant indispensables à l’amélioration de la sécurité.
« Les travaux de HCSEC ont continué à identifier les problèmes liés à l’approche de Huawei en matière de développement de logiciels, entraînant une augmentation significative des risques pour les opérateurs britanniques », ont noté les membres du Comité de surveillance. Ils estiment en outre qu’aucun progrès matériel n’a été accompli pour remédier à ces problèmes depuis leur constatation, précisant que des audits et des examens conduits par le HCSEC ont permis de mettre en évidence « d’autres problèmes techniques importants dans les pratiques d’ingénierie de Huawei ».
Envoyé par le Comité de surveillance du HCSEC
La Grande-Bretagne a malgré tout refusé de céder aux pressions US pour bannir Huawei, affirmant qu’aucun élément de preuve susceptible de confirmer une quelconque activité malveillante de la part de l’entreprise technologique Huawei n’existe et qu’elle est en mesure de gérer les risques de sécurité liés à l’utilisation des équipements de télécommunications fournis par ladite entreprise. Les problèmes mis au jour par le HCSEC suggèrent que la plus grande menace vis-à-vis de Huawei est que l’équipement fourni par cette entreprise pourrait être piraté par à peu près tout le monde qui s’en donnerait la peine. Et à cause de la manière dont le géant chinois gère son développement logiciel, il est impossible d’accorder une certification générale pour la sécurité de n’importe quel produit.
Un problème majeur cité par le rapport est qu’une grande partie de l’équipement réseau de Huawei repose toujours sur la version 5.5 du système d’exploitation en temps réel (RTOS) VxWorks de Wind River, qui est arrivée en « fin de vie » et ne sera bientôt plus prise en charge. Huawei a acheté une licence premium pour le support à long terme de VxWorks qui expire en 2020. Cela pourrait mettre en péril le matériel installé par les entreprises de télécommunications.
Même si Huawei développait son propre RTOS pour éventuellement remplacer VxWorks, la sécurité de ce système d’exploitation suscite des inquiétudes, car le processus de développement logiciel de Huawei n’était pas vraiment fiable. HCSEC a indiqué que le processus de conception de logiciel utilisé par l’entreprise donnait lieu à des incohérences entre les images logicielles. En d’autres termes, les produits sont livrés avec des logiciels dont les empreintes digitales varient considérablement. Il est donc impossible de déterminer si le code est le même sur la base de sommes de contrôle. En outre, le RTOS interne de Huawei est basé sur le noyau Linux, et son intégration au code Huawei existant n’est pas claire.
Malgré les efforts déployés par le Royaume-Uni pour amener Huawei à améliorer ses processus de gestion de la configuration depuis 2010, le géant chinois a appliqué la gestion de la configuration de manière incohérente d’un produit à l’autre. Par exemple, lors d’une visite sur le terrain au centre de développement de Huawei à Shanghai, le Comité de surveillance s’est rendu compte qu’un « nombre ingérable » de versions de la bibliothèque OpenSSL pouvait être utilisé dans des produits, y compris certains avec des vulnérabilités connues. « La conclusion rapportée au Conseil de surveillance est que le processus d’ingénierie de base de Huawei ne gère pas correctement l’utilisation des composants ni les problèmes de maintien du cycle de vie, laissant les produits impossibles à prendre en charge en général », indique le rapport.
En conséquence, le Comité conclut qu’il est « difficile d’être certain que différents déploiements d’équipements Huawei similaires sont globalement sécurisés ». L’absence de versions logicielles cohérentes signifie qu’il est difficile (au mieux) de déterminer si un bogue trouvé dans une version du logiciel a été entièrement corrigé dans une autre version.
Envoyé par un porte-parole de Huawei
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Après l'Allemagne, la Grande-Bretagne refuse de céder aux pressions US pour bannir Huawei, citant l'absence d'élément de preuves d'espionnage
Le blocus Huawei de Trump fléchit en Europe qui ne veux pas prendre de retard dans le déploiement de la 5G
Les USA menacent l'Allemagne de diminuer la quantité de données partagées par ses services de renseignements si elle collabore avec Huawei
Huawei poursuit le gouvernement des USA pour ce qu'il appelle une interdiction injuste, l'obligeant à rendre publiques ses accusations à son encontre