Le fournisseur de technologie chinois Huawei était récemment accusé de pouvoir surveiller tous les appels passés avec l’opérateur mobile néerlandais KPN. Les révélations proviennent d’un rapport secret 2010 réalisé par le cabinet de conseil Capgemini, que KPN a mandaté pour évaluer les risques de travailler avec l’infrastructure Huawei.
Bien que le rapport complet sur la question n’ait pas été rendu public, journalistes rapportant l’histoire ont souligné des préoccupations spécifiques concernant le fait que le personnel de Huawei aux Pays-Bas et en Chine avait accès à des parties essentielles à la sécurité du réseau de KPN – y compris les données d’appel de millions de citoyens néerlandais – et que le manque d’enregistrements signifiait que KPN ne pouvait pas établir à quelle fréquence cela se produisait.
KPN et Huawei ont nié toute irrégularité, bien que dans les années qui ont suivi le rapport de 2010, Huawei se soit de plus en plus souvent qualifié de fournisseur à haut risque pour les entreprises de télécommunications avec lesquelles travailler, y compris par les Centre national de cybersécurité.
Pour mieux comprendre cette histoire et pour déterminer si d’autres réseaux de télécommunications peuvent avoir eu des vulnérabilités de sécurité similaires à celles de KPN, nous devons examiner la complexité des réseaux mobiles. KPN a essentiellement accordé à Huawei « droits d’administrateur»À son réseau mobile en sous-traitant les travaux à la firme chinoise. La législation ne fait que rattraper son retard pour éviter des vulnérabilités similaires en matière de sécurité des télécommunications.
Pressions commerciales
Huawei est l’un des trois fournisseurs d’équipements radio dominants dans le monde, aux côtés d’Ericsson et de Nokia. Ces sociétés technologiques géantes fournissent les stations de base et les équipements qui fournissent des signaux de téléphonie mobile. Les opérateurs comme KPN paient de plus en plus ces entreprises non seulement pour acheter l’équipement, mais aussi pour qu’elles le soutiennent et l’entretiennent.
Le marché des télécommunications dans lequel KPN opère est l’un des plus compétitifs au monde en termes de prix. Les opérateurs mobiles européens ont vu revenus moyens par utilisateur en 2019 de 14,90 € (12,85 £) par mois, contre 36,90 € par mois aux États-Unis. Les dépenses européennes en services de télécommunications sont également réduire d’année en année alors que les opérateurs se font concurrence pour proposer les meilleures offres aux consommateurs
La baisse des revenus oblige les opérateurs à gérer soigneusement les coûts. Cela signifie que les opérateurs ont tenu à externaliser une partie de leurs activités à des tiers, surtout depuis la fin des années 2000.
Un grand nombre d’ingénieurs hautement qualifiés est un passif coûteux à avoir sur le bilan et peut souvent apparaître sous-utilisé lorsque les choses se passent bien. Ces emplois sont souvent externalisés, avec transfert de personnel au prestataire externalisé, pour aider les opérateurs à réduire leurs coûts salariaux.
L’externalisation est allée trop loin
Lorsque tout fonctionne, très peu de gens remarquent l’externalisation. Mais lorsque les choses tournent mal, l’externalisation peut souvent compliquer considérablement la reprise, ou créer un grand «point de défaillance unique» ou un problème de sécurité.
Au Royaume-Uni, par exemple, l’opérateur mobile O2 a vu au moins une panne qui a été liée à l’utilisation de fonctions externalisées. Là où un grand nombre d’opérateurs s’appuyer sur le même partenaire d’externalisation, tout problème ou toute faille de sécurité affectant le fournisseur externalisé peut avoir un impact étendu.
Pourtant, l’externalisation par les opérateurs de téléphonie mobile est répandue. Et les entreprises du Royaume-Uni et de toute l’Europe se sont souvent tournées vers Huawei pour fournir services informatiques et pour aider à construire réseaux centraux. En 2010, Huawei gérait les fonctions critiques de sécurité du réseau central de KPN.
Accès administrateur
Dans le même temps, les fournisseurs d’équipement comme Huawei essaient de s’éloigner de la simple vente d’équipement et de fournir un service géré, y compris l’installation, la maintenance et le support. Cela les aide à générer des revenus récurrents dans une industrie qui a généralement été dominée par de grands cycles d’achat de cinq ou dix ans.
Mais à mesure que ces fournisseurs ajoutent des services à leur répertoire, ils obtiennent un accès plus large aux réseaux mobiles avec lesquels ils travaillent. Cela pourrait inclure certaines pièces critiques pour la sécurité des réseaux de télécommunications, qui sont souvent conçus pour fonctionner dans des environnements fiables et sécurisés.
Dans le scénario où un fournisseur comme Huawei fournit également un service géré, ils se retrouvent dans une position privilégiée unique, avec une connaissance approfondie de leur propre équipement et un accès direct à des interfaces de gestion fiables.
Cela crée l’équivalent high-tech de mettre tous vos œufs dans le même panier. Cela revient à donner les combinaisons du coffre-fort de la banque au même gardien de sécurité en charge des images de la caméra CCTV. Il est difficile de surveiller de manière fiable les opérations effectuées par le fournisseur sans s’appuyer sur son propre logiciel.
Dans les cas où un fournisseur a été désigné comme à haut risque en raison de son propres pratiques de sécurité des produits, il est très difficile de savoir si ce fournisseur n’a rien fait de mal. C’est la situation dans laquelle KPN s’est apparemment trouvée avec Huawei en 2010.
Des changements sont-ils nécessaires?
Avec au moins un opérateur visant à réduire les dépenses de fonctionnement européennes de 1,2 milliard d’euroset les déploiements 5G offrant de nouvelles opportunités pour les services gérés et les solutions logicielles à utiliser dans les réseaux, les décisions concernant l’externalisation continueront de jouer un rôle important pour les opérateurs mobiles à l’avenir.
Mais la législation rattrape rapidement son retard. Le Royaume-Uni a proposé une facture de sécurité des télécoms, et associé projet de législation dérivée inclut des exigences pour les opérateurs de réseau de surveiller toutes les activités exercées par des fournisseurs tiers, d’identifier et de gérer les risques liés à leur utilisation et de mettre en place un plan pour maintenir les opérations normales du réseau si le service de leur fournisseur est interrompu.
Pour certains opérateurs, il est concevable que cela implique de ramener des compétences clés en interne pour s’assurer que quelqu’un surveille les gardiens (externalisés). Dans le cas de KPN, ces mesures auraient probablement empêché Huawei d’avoir un accès apparemment non contrôlé et privilégié aux données mobiles de ses clients.