Une mise en œuvre inadéquate des normes de télécommunications, les menaces de la chaîne d’approvisionnement et les faiblesses de l’architecture des systèmes pourraient présenter des risques majeurs de cybersécurité pour les réseaux 5G, ce qui en ferait potentiellement une cible lucrative pour les cybercriminels et les adversaires des États-nations à exploiter pour obtenir des renseignements précieux.
L’analyse, qui vise à identifier et à évaluer les risques et les vulnérabilités introduits par l’adoption de la 5G, a été publiée lundi par la National Security Agency (NSA) des États-Unis, en partenariat avec le Bureau du directeur du renseignement national (ODNI) et le Department of Homeland. Agence de cybersécurité et de sécurité des infrastructures (CISA) de la sécurité (DHS).
« Au fur et à mesure que de nouvelles politiques et normes 5G sont publiées, il reste un potentiel de menaces qui affectent l’utilisateur final », indique le rapport mentionné. « Par exemple, les États-nations peuvent tenter d’exercer une influence indue sur les normes qui profitent à leurs technologies propriétaires et limiter les choix des clients d’utiliser d’autres équipements ou logiciels. »
Plus précisément, le rapport cite une influence indue des pays adverses sur l’élaboration de normes techniques, ce qui pourrait ouvrir la voie à l’adoption de technologies et d’équipements exclusifs non fiables qui pourraient être difficiles à mettre à jour, à réparer et à remplacer. Selon le rapport, les contrôles de sécurité optionnels intégrés aux protocoles de télécommunication sont également préoccupants, qui, s’ils ne sont pas mis en œuvre par les opérateurs de réseau, pourraient laisser la porte ouverte à des attaques malveillantes.
Un deuxième domaine de préoccupation mis en évidence par la NSA, l’ODNI et la CISA est la chaîne d’approvisionnement. Les composants achetés auprès de fournisseurs, de fournisseurs et de prestataires de services tiers peuvent être contrefaits ou compromis, avec des failles de sécurité et des logiciels malveillants injectés au début du processus de développement, permettant aux acteurs de la menace d’exploiter les vulnérabilités à un stade ultérieur.
« Des composants contrefaits compromis pourraient permettre à un acteur malveillant d’avoir un impact sur la confidentialité, l’intégrité ou la disponibilité des données qui transitent par les appareils et de se déplacer latéralement vers d’autres parties plus sensibles du réseau », selon l’analyse.
Cela pourrait également prendre la forme d’une attaque de la chaîne d’approvisionnement logicielle dans laquelle un code malveillant est délibérément ajouté à un module livré aux utilisateurs cibles soit en infectant le référentiel de code source, soit en détournant le canal de distribution, permettant ainsi aux clients sans méfiance de déployer les composants compromis leurs réseaux.
Enfin, les faiblesses de l’architecture 5G elle-même pourraient être utilisées comme point de départ pour exécuter diverses attaques. Le principal d’entre eux concerne la nécessité de prendre en charge l’infrastructure de communication héritée 4G, qui présente son propre ensemble de lacunes inhérentes qui peuvent être exploitées par des acteurs malveillants. Un autre problème est lié à une mauvaise gestion des tranches qui pourrait permettre aux adversaires d’obtenir des données à partir de différentes tranches et même de perturber l’accès aux abonnés.
En effet, une étude publiée par AdaptiveMobile en mars 2021 a révélé que des failles de sécurité dans le modèle de découpage pouvaient être réutilisées pour permettre l’accès aux données et mener des attaques par déni de service entre différentes tranches de réseau sur le réseau 5G d’un opérateur mobile.
«Pour atteindre leur potentiel, les systèmes 5G nécessitent un complément de fréquences spectrales (basses, moyennes et hautes) car chaque type de fréquence offre des avantages et des défis uniques», détaille le rapport. «Avec un nombre croissant d’appareils en concurrence pour accéder au même spectre, le partage du spectre devient de plus en plus courant. Le partage du spectre peut offrir aux acteurs malveillants la possibilité de brouiller ou d’interférer avec des voies de communication non critiques, affectant ainsi négativement des réseaux de communication plus critiques.
En identifiant les politiques et les normes, la chaîne d’approvisionnement et l’architecture des systèmes 5G comme les trois principaux vecteurs de menaces potentiels, l’idée est d’évaluer les risques posés par la transition vers la nouvelle technologie sans fil et d’assurer le déploiement d’une infrastructure 5G sécurisée et fiable.
« Ces menaces et vulnérabilités pourraient être utilisées par des acteurs malveillants pour avoir un impact négatif sur les organisations et les utilisateurs », ont déclaré les agences. « Sans une concentration continue sur les vecteurs de menaces 5G et une identification précoce des faiblesses de l’architecture du système, de nouvelles vulnérabilités augmenteront l’impact des cyberincidents. »