Avec son rapport sur la sécurité des réseaux 5G, la Commission européenne a mis un baume d'objectivité sur tout ce qu'on entend à propos de Huawei et ZTE et les activités de ces fournisseurs chinois sur les réseaux 5G qu'ils déploieront en Europe. Pour y arriver, la Commission s'est basée sur l'analyse de risque que chaque Etat membre a dû mener sur la base de sa recommandation sur la cybersécurité des réseaux 5G au début 2019.

Nouveaux risques

Les réseaux 5G ont trois concepts innovants mais avec leur part de nouveaux risques : le premier consiste à déployer le réseau 5G avec des équipements multifonctions qui, selon le logiciel qui l'équipe, aura tel ou tel rôle dans le réseau. Le pilotage se fera aussi par logiciel. A priori, c'est une bonne chose puisque les mises à jour et la correction de bugs (de sécurité) se font facilement par voie logicielle. Mais justement, la mise à jour et le déploiement des dernières versions de logiciels à temps, c'est un talon d'Achille de la sécurité informatique dans les grandes organisations. Cette virtualisation (par voie logicielle) des réseaux va confronter les opérateurs télécom à ce même talon d'Achille mais à une échelle plus grande, sur leur réseau même. Il n'est pas dit, de surcroit, que ce logiciel a été écrit en pensant à la sécurité dès le début. Un acteur perdu dans la chaîne d'intermédiaires peut aussi avoir mis un backdoor qui passera inaperçu et il ne le fera pas forcément sur les ordres d'un Etat d'ailleurs.

Compartimentage en sous-réseaux indépendants

Une autre innovation des réseaux 5G, c'est son compartimentage en sous-réseaux indépendants les uns des autres (network slicing) sur lesquels des services très différents en exigence pourront fonctionner. Il faudra, pour cela, que la 5G se déploie profondément dans le réseau et pas uniquement au niveau de l'accès radio, comme c'est prévu dans une première phase. Enfin, troisième innovation, les services clés du réseau ou sa gestion seront de plus en plus assurés aussi à la périphérie du réseau, par des équipements spécialisés et pas uniquement dans le cœur du réseau comme avant (mobile edge computing). Cela veut dire beaucoup plus de contrôle de sécurité à effectuer à cette même périphérie. Ce sont autant de points d'entrée de criminels ou hackers qui prendront le contrôle de ces parties périphériques du réseau.

Chaîne de valeur

Cela fera aussi beaucoup de nouveaux acteurs, et donc une complexification de la chaîne de valeur. Si on ne contrôle pas tous ses fournisseurs, si ceux-ci se fournissent et se livrent les uns les autres, le risque de compromission à un moment donné va augmenter. Beaucoup de ces nouveaux acteurs, dit la Commission, n'auront pas la maturité pour s'aligner avec le caractère critique d'une fonction télécom.

Ceci dit, la 5G a aussi été conçue avec des améliorations substantielles de sécurité : l'une d'entre elles sera une procédure plus stricte d'authentification sur l'interface radio mais il y en a d'autres... qui ne doivent pas être activées par défaut. Ce qui fait dire à la Commission qu'un grand rôle est donc dévolu au soin avec lequel l'opérateur configurera son réseau.

Le déploiement des réseaux 5G sera graduel : c'est d'abord au niveau de l'accès radio qu'on la verra. Cette 5G fonctionnera sur un cœur de réseau 4G. Les performances seront améliorées mais la sécurité de ce premier réseau 5G dépendra de ses prédécesseurs, 4G et même 3G. Les faiblesses certes connues de la 3G et de la 4G s'appliqueront à ces premiers réseaux 5G mais à une échelle plus grande. L'interaction entre la 5G et ces vulnérabilités connues pourraient générer des effets collatéraux non prévus. Ce n'est que dans un deuxième temps qu'on verra un réseau 5G jusque dans le cœur du réseau avec, cette fois, les innovations et les nouveaux risques du network slicing, de la conduite des réseaux par logiciel et du mobile edge computing.

Objets connectés

Il n'y a pas que l'opérateur mobile ou son fournisseur d'équipement 5G à être concerné par la sécurité du réseau. Il y aura aussi, dit la Commission, la myriade de fabricants d'appareils qui se connecteront au réseau 5G et ce ne seront pas que des smartphones mais des voitures autonomes, des villes avec le concept de smart cities, bref tout ce que le monde comptera d'objets connectés. Et puis il y a les utilisateurs finaux et tous les intermédiaires, industriels ou non, qui utiliseront le réseau.

Opérateurs et équipementiers réseau restent les principaux acteurs pour proposer un réseau 5G sûr, insiste la Commission. Or, ces derniers ne sont pas nombreux : il y a Ericsson, Nokia et Huawei. ZTE, Samsung et Cisco sont aussi de la partie. Il n'y a donc pas plus de 5 acteurs qui concentrent les risques. Car, dit la Commission, il y a une grande diversité dans leur gouvernance. Si Ericsson et Nokia répondent aux critères de bonne gouvernance (transparente) du monde occidental, ZTE et Huawei restent opaques. Et il y a d'autres fournisseurs que ceux-là : qu'on songe à tous les autres sous-traitants des opérateurs (ou des équipementiers) qui fournissent les data centers, l'infrastructure pour gérer le réseau, des fonctions de support... La virtualisation du réseau 5G et la mainmise du logiciel va avoir pour conséquence qu'on confiera plus facilement la gestion de services clés du réseau à des externes. Le veut-on vraiment ? Enfin les usines où se fabriquent en dur les équipements à installer sont aussi hors Europe. Qui contrôle ?

Analyse de risque

Une analyse de risque IT impose de regarder la triade confidentialité, disponibilité et intégrité comparativement à la 5G. Vu la place qu'elle est appelée à prendre dans notre vie, c'est la disponibilité et l'intégrité qui compteront d'abord. La confidentialité, importante, est moins critique.

Qui peut en vouloir aux réseaux 5G ? Pour la Commission, sur la base des retours des Etat membres, c'est la menace d'Etats tiers ou d'acteurs soutenus par des Etats tiers qui arrive en premier. Le raisonnement est simple : ce sont des acteurs qui ont les moyens, les compétences et la motivation d'attaquer des réseaux jusqu'au moment où ils réussissent. Ceci dit les menaces des insiders chez l'opérateur mobile ou les sous-contractants, en relation avec la confidentialité ou la disponibilité, sont une autre grande menace, d'après les Etats membres.

L'introduction de la 5G est une transition plus importante pour les réseaux par rapport au passage à la 3G et à la 4G. La normalisation des réseaux 5G effectuée par le 3GPP ne se préoccupe que de deux familles de fonction les composant : les fonctions cœurs de réseau et la fonction d'accès au réseau radio lui-même. Bien d'autres fonctions, comme le transport, la manière d'interconnecter les réseaux, sa gestion et les services de support comme l'orchestration, la facturation ou le suivi des performances ne sont pas normalisés pour la 5G. Or ils feront tourner aussi la 5G.

Utilisateurs critiques

Il faut aussi identifier les groupes d'utilisateurs critiques de la 5G : on veut utiliser la 5G pour faire tourner les villes, des industries entières, des services publics critiques car la performance de la 5G le justifie. Mais il faudra sécuriser ces utilisations : on songe aux opérateurs de service essentiels définis par la directive NIS, la protection civile, les services d'urgence, les infrastructures critiques, les services de sécurité,... Prévoiront-ils tous une solution de secours si la 5G tombe en panne ?

Comme pour les clouds, le manque de personnel qualifié pour gérer les réseaux 5G est un autre risque tout comme les faiblesses dans l'implémentation des points de contrôle adéquat ou même la culture de la gestion du risque au sein de l'opérateur mobile. Si les normes 5G du 3GPP ne sont suivies qu'approximativement, c'est un autre risque. Du côté de l'opérateur mobile, les risques portent sur un design et une architecture faiblarde du réseau (absence de mesure d'urgence ou de continuité, faible sécurité physique qui permet d'accéder au réseau en différents points du réseaux, politique trop légère d'accès à distance des composants du réseau pour la maintenance,....). Il faudra aussi sérieusement renforcer les procédures dites de change management pour éviter les erreurs humaines et de configuration.

Enfin, il y a les risques liés aux fournisseurs : c'est là que l'allusion à Huawei est la plus évidente, preuve que son fantôme hante la plupart des Etats membres qui ont répondu. C'est l'interférence entre le fournisseur et son pays d'origine qui est pointée du doigt comme risque majeur : pression du pays sur son fournisseur, absence de contrôle démocratique, lien fort entre le gouvernement et le fournisseur. Dépendre d'un seul fournisseur est aussi un problème pour pouvoir passer à un autre fournisseur en cas de souci. Enfin, la présence d'un nombre limité de fournisseurs peut diminuer l'incitation à développer des produits plus sûrs. Et surtout elle a un impact sur le pouvoir qu'auront les Etats membres et leur autorités nationales. Un petit Etat membre va-t-il vraiment pouvoir faire pression sur un fournisseur mondial pour lui fournir les garanties qu'il exige en sécurité ?

Il y a du pain sur la planche pour la Commission mais c'est la première fois que la préoccupation de sécurité apparaît à un niveau politique à si haut niveau et de manière coordonnée.

_____

Pour en savoir plus :

EU coordinated risk assessment of the cybersecurity of 5G networks, Report 9 October 2019, disponible ici : https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=62132