L’équipement Huawei serait beaucoup plus vulnérable au piratage que les produits de ses concurrents

Par Epoch Times
29 juin 2019 Mis à jour: 13 juillet 2019

Les produits fabriqués par le géant chinois des télécommunications Huawei contiennent une série de lacunes qui les rendent plus vulnérable aux cyberattaques que ceux de ses concurrents, d’après une nouvelle étude (pdf) réalisée par des experts en cybersécurité.

L’étude, publiée le 26 juin par l’entreprise de cybersécurité Finite State, a analysé environ 10 000 images de microprogrammes prenant en charge plus de 550 appareils provenant de la gamme de produits du réseau d’entreprise de Huawei, et a constaté que 55 % de ceux-ci contenaient au moins une porte dérobée potentielle. Le progiciel [firmware] de votre système est un logiciel qui permet au matériel informatique de fonctionner dans un ordinateur.

De telles portes dérobées potentielles pourraient permettre à Huawei ou à un attaquant malveillant de pirater l’équipement, selon le rapport.

Le rapport a conclu que « les dispositifs Huawei posent un risque quantitatif élevé pour leurs utilisateurs ».
« Dans pratiquement toutes les catégories que nous avons examinées, les dispositifs Huawei se sont révélés moins sûrs que ceux d’autres fournisseurs fabriquant des dispositifs similaires. »

En moyenne, on a constaté 102 vulnérabilités dans chacun des dispositifs Huawei testés, ajoutant que le plus grand nombre de vulnérabilités détectées dans un firmware était de 1 419.

Le rapport indique également que les ingénieurs de Huawei ont « systématiquement » pris de mauvaises décisions en matière de sécurité dans tous les dispositifs testés.

« Malgré les affirmations de Huawei sur son investissement dans la sécurité, ils semblent être en retard sur le reste de l’industrie à presque tous les égards », a réitéré Matt Wyckhouse, fondateur de Finite State, le 26 juin.

« Ce faible niveau de sécurité est inquiétant et augmente évidemment les risques de sécurité associés à l’utilisation des dispositifs Huawei. »

Le rapport ne s’est pas préoccupé de savoir si les failles de sécurité avaient été introduites intentionnellement ou accidentellement.

Un fonctionnaire anonyme de la Maison-Blanche qui a examiné le rapport a déclaré au Wall Street Journal que l’étude « appuie notre évaluation selon laquelle, depuis 2009, Huawei a maintenu un accès secret à certains des systèmes que Huawei a installés pour ses clients internationaux ».

« Huawei ne divulgue pas cet accès secret à ses clients ni aux autorités locales. Cet accès secret permet à Huawei d’enregistrer des informations et de modifier les bases de données de ces systèmes locaux », a ajouté le fonctionnaire.

M. Wyckhouse a déclaré que cette conclusion était « particulièrement préoccupante étant donné la domination de Huawei à la veille de la mise en œuvre de la 5G » et a suggéré que les gouvernements qui déploient des réseaux 5G tiennent compte de ces risques.

« Fondamentalement, les décideurs politiques devraient prendre des décisions fondées sur des données concernant les risques qu’ils sont prêts à endosser et ceux qu’ils ne sont pas prêts à prendre », a-t-il déclaré.

Un représentant de Huawei a dit au Wall Street Journal qu’il ne pouvait pas commenter les détails de la recherche car celle-ci n’était pas entièrement partagée avec l’entreprise.

Réticence mondiale

Ces conclusions s’ajoutent aux préoccupations croissantes en matière de sécurité de la part des fonctionnaires, des législateurs et des experts occidentaux, qui affirment que l’équipement de Huawei pourrait être poursuivi pour espionnage ou pour avoir perturbé les réseaux de communication.

La société, principal fournisseur mondial d’équipements de réseau 5G, s’est vu interdire ou restreindre la fourniture de technologie pour les réseaux 5G aux États-Unis, en Australie, en Nouvelle-Zélande et au Japon.

Le 25 juin, la commission sénatoriale des Affaires étrangères du Sénat américain a adopté une résolution lors d’un vote par acclamation reconnaissant Huawei et son homologue chinois ZTE comme une menace à la sécurité nationale.

En mai, l’administration américaine a inscrit le fournisseur de télécommunications et 69 de ses filiales sur une liste noire pour des raisons de sécurité, leur interdisant ainsi de faire affaire avec des entreprises américaines.

Pendant ce temps, l’entreprise lutte également contre deux mises en accusation fédérales aux États-Unis. Dans la première affaire, le ministère de la Justice accuse Huawei d’avoir volé des secrets commerciaux à l’opérateur de téléphonie mobile américain T-Mobile, tandis que dans la deuxième, l’entreprise est accusée de violations des sanctions américaines contre l’Iran.

Dans un rapport de mars, un organisme de surveillance de la cybersécurité du gouvernement britannique a critiqué le géant chinois de la technologie pour « des défauts majeurs et systématiques dans les compétences de Huawei en Ingénierie logicielle et en cybersécurité ».

Le rapport ajoute que l’association de surveillance de consommateurs n’avait plus confiance en la capacité de Huawei à remédier à ces « défauts sous-jacents », malgré l’engagement de l’entreprise à dépenser plus de 1,75 milliards d’euros pour les corriger.

Un responsable britannique de la cybersécurité a récemment précisé que la sécurité de Huawei est « médiocre » et « objectivement pire » que celle de ses concurrents internationaux.

« En tant que société, Huawei construit des choses très différemment de ses homologues occidentaux. Cela s’explique en partie par la rapidité avec laquelle elle a grandi, et cela pourrait être en partie culturel qui sait », a déclaré Ian Levy, directeur technique du National Cyber Security Centre de Grande-Bretagne, lors d’une conférence en juin à Londres, selon Reuters.

Lors d’une conférence tenue le 25 juin à Londres, Woody Johnson, l’ambassadeur des États-Unis au Royaume-Uni, a mis en garde la Grande-Bretagne contre le fait de permettre à Huawei de construire son réseau 5G.

« C’est comme laisser un cleptomane emménager chez vous, dans votre domicile », dit-il à The Times.

RECOMMANDÉ