Régulièrement soupçonnée de pratiquer du cyber-espionnage par l'intermédiaire d'entreprises, la Chine est aujourd'hui dans le collimateur de la Commission européenne. Le commissaire au Marché intérieur Thierry Breton a appelé les 27 pays membres et les opérateurs télécoms à exclure les équipements télécoms Huawei et ZTE de leurs réseaux mobiles.
La raison : « Nous ne pouvons pas nous permettre de maintenir des dépendances qui pourraient devenir des armes contre nos intérêts. Ce serait un trop grand risque pour notre sécurité commune », a-t-il déclaré lors d'une conférence de presse à Bruxelles. L'exécutif européen a estimé dans un communiqué que Huawei et ZTE « représentaient des risques matériellement plus élevés que d'autres fournisseurs de 5G ». La Commission a ajouté qu'elle allait « prendre les mesures de sécurité nécessaires pour ne pas acquérir de nouveaux services de connectivité reposant sur les équipements de ces fournisseurs ».
Sous pression des Etats-Unis
L'Europe est sous pression des États-Unis pour exclure ces entreprises chinoises accusées de permettre des activités d'espionnage pour le compte de Pékin. Washington a déjà interdit la vente d'équipements de cinq fournisseurs chinois, dont Huawei et ZTE.
Des interdictions pour la fourniture d'équipements 5G ont également déjà été mises en place au Royaume-Uni et au Canada, mais les pays européens sont divisés sur l'approche à adopter. Dans une « boîte à outils » adoptée en janvier 2020, les États membres et la Commission avaient formulé des recommandations destinées à prémunir les réseaux 5G dans l'UE des risques d'espionnage ou de sabotage.
Des mesures n'ont pas de force juridique contraignante
Mais ces mesures n'ont pas de force juridique contraignante et les fournisseurs à haut risque n'y sont pas nommés. Ces derniers sont définis comme les équipementiers susceptibles d'être soumis à l'ingérence d'un pays tiers, par exemple en raison de l'existence d'un lien étroit avec le gouvernement de ce pays ou de la législation du pays, en particulier lorsqu'aucun accord sur la protection des données n'a été conclu avec l'UE.
Trois ans après, vingt-quatre des vingt-sept États membres ont transposé les recommandations de la boîte à outils dans leur législation nationale. « Mais à ce jour, seuls dix d'entre eux ont utilisé ces prérogatives pour restreindre ou exclure des fournisseurs à haut risque. C'est trop lent, et cela pose un risque de sécurité majeur et expose la sécurité collective de l'Union », a estimé Thierry Breton. Le gouvernement allemand a décidé en avril de passer en revue tous les composants chinois présents dans les réseaux 5G. La possibilité d'une interdiction pour des raisons de sécurité n'est plus un tabou.
Une campagne d'espionnage vise des agences gouvernementales de pays représentant un intérêt stratégique pour Pékin
Cette déclaration intervient alors qu'un groupe de cyberattaquants, visiblement lié à l'Etat chinois, est responsable d'une vaste campagne d'espionnage informatique visant notamment des agences gouvernementales de plusieurs pays représentant un intérêt stratégique pour Pékin, selon un rapport d'une filiale de Google dévoilé jeudi. « Il s'agit de la plus large campagne de cyberespionnage connue menée par un acteur malveillant lié à la Chine depuis l'exploitation massive de Microsoft Exchange début 2021 », a déclaré dans un communiqué Charles Carmakal, directeur technique de Mandiant, spécialiste en cybersécurité qui dépend du géant américain de la tech.
Les victimes sont pour « près d'un tiers » des agences gouvernementales selon Mandiant, ce qui soutient, selon le spécialiste, l'hypothèse selon laquelle cette attaque a été menée à des « fins d'espionnage ». Le choix des cibles est d'ailleurs directement lié aux « questions hautement prioritaires pour la Chine, tout particulièrement dans la région Asie-Pacifique, dont Taïwan, » relève la filiale de Google Cloud. Les victimes sont notamment des ministères des Affaires étrangères des pays de l'Association des nations de l'Asie du Sud-Est (Asean), ainsi que des organisations de recherche et des missions commerciales étrangères installées à Taïwan et à Hong Kong.
L'attaque, menée via des emails infectés, est parvenue à déceler une brèche dans des outils de filtre et d'analyse des courriels et de leurs pièces jointes, des logiciels de l'entreprise Barracuda. La Chine dit régulièrement être elle-même victime de nombreuses cyberattaques. En septembre, elle avait notamment accusé les Etats-Unis d'en avoir mené des « dizaines de milliers » contre ses intérêts, certaines ayant permis selon elle de dérober des données sensibles, notamment d'une université chinoise de recherche.
(Avec AFP)
