La 5G pose-t-elle un problème de sécurité nationale ?
L’arrivée imminente de la 5G crée la panique au sein du gouvernement, qui souhaite absolument auditer les futurs équipements de réseaux mobiles au nom de la sécurité nationale. Mais cette démarche est-elle vraiment justifiée ?
« La 5G est au cœur d’un enjeu de souveraineté et de sécurité », a asséné avec gravité la secrétaire d’État auprès du ministre de l’Économie et des Finances Agnès Pannier-Runacher aux vœux de l’Arcep le 31 janvier dernier. Le ton du gouvernement a subitement changé : plutôt que de mettre en avant les bénéfices à venir de cette technologie, il ne perd plus une occasion depuis le mois de décembre d’insister sur les dangers supposés du futur standard de téléphonie mobile. Qui ferait à la fois planer une menace sur la souveraineté nationale mais aussi sur des applications critiques.
« Chacun doit avoir conscience que les risques de captation des données sont réels. Chacun doit aussi avoir conscience que l’enjeu, c’est la sécurité de technologies de rupture comme le véhicule autonome », a encore averti Agnès Pannier-Runacher lors de son discours.
Joignant le geste à la parole, le gouvernement a déposé un amendement à la loi Pacte (plan d’action pour la croissance et la transformation des entreprises). Le texte a pour objectif de mettre en place un régime d’autorisation préalable aux équipements radioélectriques. Concrètement, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pourrait examiner les nouveaux équipements des réseaux mobiles avant leur installation et les interdire si elle juge qu’ils mettent en péril « les intérêts de la défense et de la sécurité nationale ». L’amendement a été rejeté par les sénateurs ce 6 février. Mais le gouvernement ne désarme pas. « Nous restons déterminés à renforcer la sécurité des réseaux mobiles. Nous allons maintenant travailler avec les parlementaires pour clarifier les règles du jeu avant l’ouverture des enchères pour la 5G », nous a déclaré un porte-parole de Bercy.
Il existait déjà un régime d’autorisations pour les équipements télécoms, mais il était limité : il ne concernait que les appareils de cœur de réseau et visait surtout à vérifier que ces derniers permettaient aux autorités françaises de réaliser des interceptions légales (article R226 du code pénal). De son côté, la loi de programmation militaire de 2013 contraint déjà les « opérateurs d’importance vitale » (OIV) – dont les opérateurs télécoms font partie – de sécuriser leurs systèmes d’information critiques.
« Mais il est vrai qu’il n’y a pas de loi qui permette d’analyser de manière plus poussée la sécurité des équipements télécoms disponibles sur le marché » souligne Philippe Langlois, PDG de P1 Security, une société spécialisée dans la sécurité des réseaux télécoms. Un trou dans la raquette que ce nouveau texte est donc censé combler. L’idée, au final, est de pouvoir vérifier que les équipements de réseaux mobiles ne comportent pas de portes dérobées, ni de faiblesses pouvant être exploitées par des attaquants, notamment d’origine étatique.
Un amendement anti-Huawei ?
Le problème, c’est que cet amendement intervient en pleine guerre commerciale américano-chinoise et au moment où l’équipementier Huawei fait l’objet d’une hostilité marquée de la part d’un nombre grandissant de pays occidentaux. Tous redoutent que le poids lourd des télécoms ne serve de cheval de Troie à la Chine et l’aide à espionner les puissances étrangères. Les Etats-Unis, l’Australie, la Nouvelle-Zélande et le Japon ont carrément banni l’entreprise du marché de la 5G. L’Allemagne, la République tchèque, la Norvège, la Pologne et la Grande-Bretagne y réfléchissent sérieusement. La position de la France est plus nuancée. Officiellement, il n’est pas question d’aboutir à de telles extrémités.
Mais pour les opérateurs français, l’amendement est directement lié à ce climat de défiance. « Le gouvernement prend prétexte de cet amendement pour cibler Huawei sans le nommer explicitement, ni se froisser avec les autorités chinoises », nous a confié un observateur du marché. Aujourd’hui, seul Free ne fait pas appel à cet acteur pour son réseau mobile. Orange est déjà client de Huawei, mais a annoncé ne pas utiliser ses services en France dans le cadre de la 5G. Bouygues Telecom et SFR n’émettent aucune réserve, bien au contraire, et veulent continuer à collaborer avec l’équipementier. Ils appellent donc à ne pas stigmatiser Huawei : le mettre hors-jeu pourrait avoir de lourdes conséquences pour leurs activités et retarder le déploiement de la 5G.
Par ailleurs, la Fédération française des télécoms se pose des questions sur ces fameuses menaces sur la sécurité nationale. « La 5G, c’est nous qui l’achetons et la déployons. Nous estimons actuellement qu’elle ne pose pas de problème de sécurité supplémentaire. Si le gouvernement pense le contraire, il faut que l’on en parle techniquement », nous confie Didier Casas, président de la Fédération française des télécoms et secrétaire général de Bouygues Telecom.
Le traitement des informations se fera près des antennes
Pourtant, les experts en sécurité partagent certaines inquiétudes du gouvernement. « Avec la 5G, les réseaux deviennent beaucoup plus complexes. Avec ce nouveau standard, les opérateurs vont ajouter des équipements et généraliser la virtualisation à tous les étages. Tous ces matériels et logiciels supplémentaires vont faire augmenter la surface d’attaque. A cela s’ajoute le fait que le standard 5G intègre de plus en plus de technologies bien connus comme HTTP/2 et JSON. Pour les hackers, cela va faciliter le travail », estime Philippe Langlois.
En effet, contrairement aux réseaux 4G, les réseaux 5G seront beaucoup moins centralisés. Des fonctions essentielles comme le routage, la mise en communication ou le suivi de l’abonné (hand-over) ne seront plus uniquement gérés au niveau du cœur de réseau, mais pourront être déportées en périphérie, à proximité des stations de base. Cette architecture est appelée Mobile Edge Computing. Son but est de permettre aux opérateurs de gagner en performance. En particulier, elle devrait abaisser les temps de latence et favoriser les usages critiques ou à temps réel.
Cette décentralisation s’appuie notamment sur le network slicing, une nouveauté technologique qui permet de créer des réseaux de bout en bout dédiés, personnalisés et virtualisés à partir d’une même infrastructure partagée. Cela revient à découper le réseau en tranches logicielles. On pourra ainsi dédier une couche spécifique à chaque usage et en faire varier les paramètres à l’envie.
Concrètement, au lieu des lourds équipements dédiés à une seule fonction que l’on trouve actuellement dans les cœurs de réseau, des sortes de mini data centers seront installés à proximité des antennes-relais. Ce sont autant de nouveaux points d’accès qui pourraient permettre à des pirates ou des espions de prendre le contrôle sur des flux de données très sensibles.
S’ils étaient retenus dans les futurs appels d’offres, les équipements 5G de Huawei pourraient donc, du coup, gérer des fonctions avancées du réseau mobile. Ce qui n’a jamais été le cas jusqu’à présent, car l’entreprise chinoise ne fournissait pas les cœurs de réseau des opérateurs français.
Admettons que le gouvernement parvienne à imposer une nouvelle réglementation : l’ANSSI pourrait s’en servir pour refuser l’installation d’équipements Huawei près de sites sensibles comme les ministères, par exemple.
Le risque potentiel de la 5G provient également du fait que ces nouveaux réseaux sont censés connecter beaucoup plus d’appareils, et pour des usages très variés: des voitures, des bus, des usines, des robots, des appareils de santé, etc. « Cet accroissement du nombre d’objets connectés augmente mécaniquement les risques d’attaques par déni de service distribué ou de création de botnets », explique Jimmy Jones, responsable Telecom Business EMEA chez Positive Technologies, une société également spécialisée dans la sécurité des réseaux télécoms.
Voitures et usines, bientôt toutes connectées en 5G ?
Cet aspect est particulièrement important pour les futurs services critiques dans l’automobile ou l’industrie. Les constructeurs automobiles, par exemple, se sont d’ores et déjà regroupés dans le consortium 5GAA pour développer des services de transport intelligent. De la même manière, les acteurs de l’industrie manufacturière ont créé le groupement 5G-ACIA pour imaginer les nouveaux services que pourraient apporter la 5G au niveau des chaînes de fabrication ou du pilotage d’usine. Une cyber-attaque pilotée depuis les réseaux mobiles pourrait faire très mal.
Mais à croire les équipementiers, tous ces dangers sont déjà pris en compte. « Cette architecture déportée au niveau des antennes n’est pas une découverte ! Elle a été anticipée dès la conception avec notamment la mise en place d’algorithmes de chiffrement fonctionnant comme autant de petits coffres-forts dans chaque site exposé. Il n’y aura pas moins de sécurité avec la 5G… mais beaucoup plus », estime Gwénaël Rouillec, le directeur de la cyber-sécurité de Huawei Technologies France.
Au final, la sécurité de la 5G sera surtout une question d’implémentation, car on ignore encore quelle sera l’architecture finale mise en œuvre par les opérateurs mobiles. C’est donc l’expertise de ces derniers qui fera la différence.