L'équipement réseau de Huawei fait toujours courir des risques de sécurité « importants »Selon le Royaume-Uni
En novembre 2010, le géant chinois des réseaux et des télécommunications Huawei a conclu un accord avec le gouvernement du Royaume-Uni afin de permettre des examens approfondis de la sécurité du matériel et des logiciels du géant chinois. Cette mesure visait à dissiper les craintes selon lesquelles la société poserait un risque de sécurité pour les réseaux du Royaume-Uni. Depuis lors, le Centre d’évaluation de la cybersécurité de Huawei (HCSEC) a donné aux responsables britanniques un aperçu des pratiques de l’entreprise en matière de sécurité de l’information.
Mais un rapport du gouvernement britannique publié en juillet de l’année dernière a révélé que des problèmes techniques affectant la chaîne d’approvisionnement des équipements du groupe chinois avaient exposé les réseaux de télécoms nationaux à de nouveaux risques de sécurité. Après plusieurs mois d’observation, un nouveau compte rendu suggère que les responsables britanniques ne sont toujours pas satisfaits des progrès réalisés par Huawei qui avait pourtant promis des investissements importants pour résoudre ces problèmes, notamment en décembre dernier avec une enveloppe de 2 milliards de dollars étalée sur cinq ans pour la cybersécurité afin de rassurer ses clients occidentaux.
Dans le rapport de 46 pages publié récemment, le Comité de surveillance du HCSEC, composé de représentants du Centre national de cybersécurité, du GCHQ et d’autres agences, ainsi que d’un haut responsable de Huawei, a averti que Huawei n’avait pas apporté les modifications promises depuis longtemps au niveau de son logiciel et de ses pratiques d’ingénierie, des modifications pourtant indispensables à l’amélioration de la sécurité.
« Les travaux de HCSEC ont continué à identifier les problèmes liés à l’approche de Huawei en matière de développement de logiciels, entraînant une augmentation significative des risques pour les opérateurs britanniques », ont noté les membres du Comité de surveillance. Ils estiment en outre qu’aucun progrès matériel n’a été accompli pour remédier à ces problèmes depuis leur constatation, précisant que des audits et des examens conduits par le HCSEC ont permis de mettre en évidence « d’autres problèmes techniques importants dans les pratiques d’ingénierie de Huawei ».
Envoyé par le Comité de surveillance du HCSEC
« À l’heure actuelle, le Comité de surveillance n’a encore rien vu qui puisse lui donner confiance dans la capacité de Huawei à mener à bien les éléments de son programme de transformation qu’il a proposé comme moyen de remédier à ces défauts sous-jacents. Le Comité exigera des preuves soutenues de l’amélioration de la qualité de l’ingénierie logicielle et de la cybersécurité, vérifiées par HCSEC et le NCSC. Dans l’ensemble, le Conseil de surveillance ne peut donner qu’une assurance limitée que tous les risques pour la sécurité nationale du Royaume-Uni découlant de la participation de Huawei aux réseaux critiques du Royaume-Uni peuvent être suffisamment atténués à long terme ».
La Grande-Bretagne a malgré tout refusé de céder aux pressions US pour bannir Huawei, affirmant qu’aucun élément de preuve susceptible de confirmer une quelconque activité malveillante de la part de l’entreprise technologique Huawei n’existe et qu’elle est en mesure de gérer les risques de sécurité liés à l’utilisation des équipements de télécommunications fournis par ladite entreprise. Les problèmes mis au jour par le HCSEC suggèrent que la plus grande menace vis-à-vis de Huawei est que l’équipement fourni par cette entreprise pourrait être piraté par à peu près tout le monde qui s’en donnerait la peine. Et à cause de la manière dont le géant chinois gère son développement logiciel, il est impossible d’accorder une certification générale pour la sécurité de n’importe quel produit.
Un problème majeur cité par le rapport est qu’une grande partie de l’équipement réseau de Huawei repose toujours sur la version 5.5 du système d’exploitation en temps réel (RTOS) VxWorks de Wind River, qui est arrivée en « fin de vie » et ne sera bientôt plus prise en charge. Huawei a acheté une licence premium pour le support à long terme de VxWorks qui expire en 2020. Cela pourrait mettre en péril le matériel installé par les entreprises de télécommunications.
Même si Huawei développait son propre RTOS pour éventuellement remplacer VxWorks, la sécurité de ce système d’exploitation suscite des inquiétudes, car le processus de développement logiciel de Huawei n’était pas vraiment fiable. HCSEC a indiqué que le processus de conception de logiciel utilisé par l’entreprise donnait lieu à des incohérences entre les images logicielles. En d’autres termes, les produits sont livrés avec des logiciels dont les empreintes digitales varient considérablement. Il est donc impossible de déterminer si le code est le même sur la base de sommes de contrôle. En outre, le RTOS interne de Huawei est basé sur le noyau Linux, et son intégration au code Huawei existant n’est pas claire.
Malgré les efforts déployés par le Royaume-Uni pour amener Huawei à améliorer ses processus de gestion de la configuration depuis 2010, le géant chinois a appliqué la gestion de la configuration de manière incohérente d’un produit à l’autre. Par exemple, lors d’une visite sur le terrain au centre de développement de Huawei à Shanghai, le Comité de surveillance s’est rendu compte qu’un « nombre ingérable » de versions de la bibliothèque OpenSSL pouvait être utilisé dans des produits, y compris certains avec des vulnérabilités connues. « La conclusion rapportée au Conseil de surveillance est que le processus d’ingénierie de base de Huawei ne gère pas correctement l’utilisation des composants ni les problèmes de maintien du cycle de vie, laissant les produits impossibles à prendre en charge en général », indique le rapport.
En conséquence, le Comité conclut qu’il est « difficile d’être certain que différents déploiements d’équipements Huawei similaires sont globalement sécurisés ». L’absence de versions logicielles cohérentes signifie qu’il est difficile (au mieux) de déterminer si un bogue trouvé dans une version du logiciel a été entièrement corrigé dans une autre version.
Envoyé par un porte-parole de Huawei
« Les problèmes identifiés dans le rapport OB (comité de surveillance) apportent une contribution essentielle à la transformation en cours de nos capacités d’ingénierie logicielle ».
Et vous ?
Qu’en pensez-vous ?Voir aussi
Après l'Allemagne, la Grande-Bretagne refuse de céder aux pressions US pour bannir Huawei, citant l'absence d'élément de preuves d'espionnage Le blocus Huawei de Trump fléchit en Europe qui ne veux pas prendre de retard dans le déploiement de la 5G Les USA menacent l'Allemagne de diminuer la quantité de données partagées par ses services de renseignements si elle collabore avec Huawei Huawei poursuit le gouvernement des USA pour ce qu'il appelle une interdiction injuste, l'obligeant à rendre publiques ses accusations à son encontre
Vous avez lu gratuitement 2 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
