Les responsables gouvernementaux qui cherchent à assurer la sécurité des réseaux 5G doivent prendre en compte non seulement les normes de sécurité qu’ils promeuvent et exigent, mais également qui ils tiennent pour responsable en cas de problème, ont déclaré des experts du secteur lors de la récente conférence virtuelle RSA.

Les opérateurs de réseau ont commencé à déployer la 5G en 2019 et expansion la couverture et la construction d’infrastructures et de plus en plus de fabricants ont introduit des appareils capables de se connecter. Les réseaux 5G ont actuellement tendance à utiliser l’infrastructure 4G existante, mais devraient à terme être en mesure d’offrir une couverture complète sans une telle dépendance.

L’Agence de la cybersécurité et de la sécurité des infrastructures (CISA) dit Il est peu probable que la 5G atteigne ce stade avant 2022. Mais quand elle le fera, cela changera les types de risques et de priorités de cybersécurité auxquels il faut faire face, a déclaré Scott Charney, vice-président de la politique de sécurité chez Microsoft, lors de la conférence.

«Nous passons d’un endroit où la 5G se trouve principalement dans les points de terminaison et le spectre radio – si vous utilisez une dorsale 4G – à un endroit où elle sera vraiment compatible avec le cloud, de bout en bout avec virtualisation , les réseaux définis par logiciel – et cela pose un tout autre modèle de menace », a-t-il déclaré.

QUI EST RESPONSABLE?

Les cybermenaces sont désormais une réalité de la vie, et certains membres de l’industrie veulent savoir qui sera obligé d’empêcher quelque chose de mal tourner avec les offres basées sur la 5G Les cas d’utilisation 5G peuvent s’appuyer sur le réseau réunissant un tas de services différents. fournisseurs – par exemple, une application de conduite autonome peut dépendre d’une plate-forme MAC (Multi-Access Edge Computing) fonctionnant sur un réseau 5G, a déclaré Marchand Shehzad, directeur technique de la société d’analyse et de sécurité cloud Gigamon.

Un exemple concret de ceci est un projet de test annoncé en avril 2021 par Verizon et Honda. Dans un essai, les caméras d’intersection de la circulation sont destinées à détecter les piétons traversant les rues, puis à transmettre ces informations sur le réseau 5G à une plate-forme informatique de périphérie mobile. Cette plate-forme – avec l’aide d’une plate-forme de communication véhicule-tout – traite les données pour déterminer la proximité des piétons avec les voitures connectées à proximité et émet un avertissement aux conducteurs.

La variété des pièces mobiles incite certaines parties à suggérer que chaque fournisseur de services devrait être tenu responsable de certaines fonctions de sécurité, ce que l’on appelle un modèle de «sécurité partagée», a déclaré Merchant. Mais des questions demeurent – et les régulateurs devront peut-être aplanir les détails.

«S’il y a un compromis, dans ce [shared security] modèle, qui est responsable de l’échec? Est-ce le fournisseur de cloud? Est-ce le fournisseur de l’application? Est-ce le fournisseur de services mobiles? » A dit le marchand.

De l’avis de Merchant, les fournisseurs 5G sont ceux qui offrent le service de base – et devraient donc avoir les plus grandes obligations de sécurité – et il a déclaré que les régulateurs devraient rendre cela officiel.

«Je n’aime pas plus de réglementation, mais je pense que c’est une situation qui doit probablement être plus réglementée du côté de la sécurité», a-t-il déclaré.

Certains fournisseurs 5G ont articulé leur propre vision d’une approche de sécurité partagée, avec Theresa Lanowitz, directrice de la division des solutions de cybersécurité d’AT & T, AT&T Cybersecurity, récemment. l’écriture que les fournisseurs de réseau devraient être responsables de la construction d’une «architecture de réseau» sécurisée tandis que les clients assument la responsabilité de sécuriser les appareils auxquels ils se connectent et les données qu’ils stockent sur les réseaux. Les fournisseurs de cloud seraient tenus de répondre à leurs propres exigences de sécurité et de surveiller l’activité et les données envoyées sur le cloud.

LES DÉFIS DE SÉCURITÉ

La 5G sera plus difficile à sécuriser que les réseaux cellulaires antérieurs, a déclaré Merchant. Il rassemble beaucoup plus de composants logiciels, donnant aux acteurs malveillants plus de cibles potentielles à attaquer.

«Nous sommes passés d’un système monolithique intégré verticalement à un système logiciel entièrement distribué», lors du passage à la 5G, a déclaré Merchant. «Et cela conduit à une expansion et une explosion massives de la surface d’attaque. La 5G est essentiellement une architecture basée sur les services où ces services proviennent désormais de composants open-source, ils proviennent de fournisseurs commerciaux, ils proviennent de sous-traitants. »

Charney a déclaré que, par conséquent, une attention accrue était accordée à la sécurité des codes et à l’utilisation de systèmes basés sur l’apprentissage automatique pour surveiller les réseaux afin de détecter d’éventuelles menaces. Les responsables gouvernementaux ont également été particulièrement préoccupés par les risques pour la sécurité liés à l’utilisation des offres 5G d’entreprises basées dans des pays avec lesquels ils ont des tensions.

PAYS D’ORIGINE

Les responsables américains ont examiné la Chine en particulier, et le Congressional Research Service (CRS) a noté dans un rapport il a mis à jour en avril 2021 que certains experts craignent que le gouvernement chinois ne profite de toute vulnérabilité de la technologie – qu’elle soit introduite volontairement ou involontairement – pour espionner ou lancer des cyberattaques. CRS a déclaré que les opinions variaient sur le point de savoir si certaines technologies posaient un niveau de risque acceptable ou si l’utilisation de solutions 5G fournies par la Chine serait excessive.

Charney a déclaré qu’il était logique que les pays évitent d’utiliser la technologie des pays adverses dans les capacités gouvernementales et les services critiques, comparant la situation à la dépendance de l’armée américaine sur les avions de combat russes. Mais, a-t-il ajouté, la mise en pratique de cette approche pourrait être exceptionnellement difficile.

« Il n’y a pas de pays sur la planète qui puisse tout créer … il restera donc une dépendance les uns envers les autres, même si cela rend les pays mal à l’aise dans certains contextes », a déclaré Charney, affirmant que le gouvernement devrait plutôt penser à gérer plutôt qu’à éliminer complètement ces risques.

Éviter les offres faites dans certains pays est une chose quand on parle de matériel, mais garantir que le logiciel n’implique aucun code développé dans ces pays est un défi beaucoup plus difficile, a déclaré Merchant. C’est également un défi central pour la sécurité 5G, car ces réseaux cellulaires impliquent à la fois un réseau d’accès radio (RAN) et un réseau central basé sur un logiciel. Il serait difficile de retracer les origines de tous les composants open-source utilisés dans ce réseau central, a déclaré Merchant.

Même les logiciels propriétaires créés par une société basée aux États-Unis sont souvent amenés à engager une main-d’œuvre dispersée géographiquement, a ajouté Charney, et il a donné le système d’exploitation Windows de Microsoft comme exemple.

«Les logiciels, qu’ils soient open source ou propriétaires, peuvent être créés par la communauté internationale. C’est juste la réalité », a déclaré Charney.

Charney et Merchant ont débattu de la question de savoir s’il suffirait pour les gouvernements d’éviter les appareils et solutions 5G des pays clés ou s’il est important de bloquer également l’utilisation de ces offres par les consommateurs par des interdictions réglementaires ou des incitations.

Le commerçant a déclaré que tout point faible peut introduire des risques pour le système plus large, tandis que Charney s’est demandé si l’exigence d’un niveau de normes de sécurité pourrait rendre les offres suffisamment sûres pour un usage personnel. La réalisation de cette dernière proposition comporte ses propres obstacles, a noté Charney, et elle obligerait les gouvernements à établir des mesures solides pour vérifier les produits 5G, puis à être en mesure d’évaluer rapidement et efficacement les offres par rapport à ces normes.