Les technologies 5G sont loin d'être neutres en matière de sécurité et présentent des cyber-risques qu'il convient de bien évaluer avant toute mise en oeuvre. C'est justement sur cet enjeu, aussi complexe qu'épineux, que l'Union européenne s'est penchée en demandant à ses membres d'exprimer leurs craintes liées à la cybersécurité des infrastructures 5G. La synthèse des résultats a été rendue publique le 9 octobre dans un rapport. Ce dernier identifie les principales menaces et acteurs de ces menaces, les actifs les plus sensibles, les principales vulnérabilités (y compris techniques) et un certain nombre de risques stratégiques découlant du recours aux technologies 5G. A noter que dans un second temps, d'ici le 31 décembre 2019, les membres de l'Union européenne devraient se mettre d'accord sur des mesures visant à atténuer ces risques de sécurité.

Les menaces touchent aussi bien la confidentialité, la disponibilité que l'intégrité des infrastructures 5G. Parmi les différents scénarios d'attaques identifiés par l'Union européenne, on trouve aussi bien les risques en matière d'interruption de réseau, d'espionnage du trafic et des données, de modification ou de reroutage de ce trafic et de ces données que l'altération voire la destruction des infrastructures ou des systèmes d'information soutenant les réseaux 5G. « La gravité de certains scénarios de menace pour les réseaux 5G peut donc varier selon les pays en fonction d'un nombre de facteurs, en particulier le nombre et le type d'utilisateurs touchés, la durée de l'événement avant la détection ou la correction, le type de services concernés (sécurité publique, services d’urgence, santé, activités gouvernementales, électricité, eau, etc.) et l’ampleur des dommages ou pertes économiques, le type d'informations violées », peut-on lire dans le rapport.

Le manque de transparence des fournisseurs télécoms hors UE pointé 

En termes d'origine des menaces portant atteinte à la sécurité des infrastructures et des réseaux 5G, l'UE accorde une vigilance toute particulière aux Etats situés hors de l'Union européenne. « Une menace particulière provient d'offensives cyber de pays tiers. Plusieurs États membres ont indiqué que certains pays non membres de l'UE représentent une cybermenace particulière pour leurs intérêts nationaux », indique le rapport. « Du point de vue des parts de marché, les principaux fournisseurs sont Huawei, Ericsson et Nokia. Les autres fournisseurs incluent ZTE, Samsung et Cisco. Certains d'entre eux ont un siège social situé dans l’Union européenne (Ericsson et Nokia), les autres fournisseurs ont un siège social hors de l’UE. Leur gouvernance d’entreprise présente des différences, par exemple en termes de niveau de transparence et sur leur structure capitalistique ». 

Une classification de la gravité de l'atteinte portée à la sécurité des infrastructures et des réseaux 5G en Europe a par ailleurs été effectuée. Sont ainsi considérées comme critiques les fonctions coeur de réseau (équipement d'authentification utilisateur, gestion des règles d'accès, stockage des données réseau et des utilisateurs...) ainsi que l'orchestration et la gestion des réseaux NFV. En termes de risque élevé, le réseau d'accès radio (stations de base) est cité alors que d'autres ont un risque qualifié de modéré/élevé (services de support et systèmes de gestion de facturation), transport et transmission (routeurs, switchs...) sans oublier les échanges IP externes.

Des backdoors potentiellement plus difficiles à détecter

Le rapport met aussi en avant le fait de l'augmentation du spectre de menaces avec la 5G par rapport aux précédentes générations d'infrastructures et réseaux 3G et 4G. « Les réseaux 5G seront largement basés sur des logiciels », rappelle-t-il en pointant de ce fait les risques liés « aux failles majeures de sécurité, telles que celles dérivant de processus de développement logiciel faibles au sein des équipements fournisseurs et qui pourraient aider les acteurs à insérer de façon malveillante des backdoors intentionnelles dans les produits et les rendre également plus difficiles à détecter », souligne le document. « En outre, de nouveaux types de vulnérabilités techniques liées à des technologies 5G spécifiques sont susceptibles d'apparaître, affectant par exemple la technologie SDN et NVF, y compris les systèmes cloud, et leur configuration [...] Des fonctions d'interception d'autorités publiques pourraient être utilisées à des fins malveillantes ».

Les menaces relevées par les membres de l'Union européenne sont également liées au manque de personnel spécialisé et formé pour sécuriser, surveiller et entretenir les réseaux 5G, au manque de contrôles de sécurité internes adéquats, de pratiques de surveillance et de systèmes de gestion de sécurité et aux insuffisances des pratiques de gestion des risques. Le rapport cite encore des lacunes en termes de procédures de sécurité ou de maintenance opérationnelle inadéquates - notamment sur les mises à jour logicielle et la gestion des correctifs - ou encore le manque de conformité aux normes 3GPP ou la mise en œuvre incorrecte de normes. Pour les opérateurs réseaux en particulier, les risques identifiés sont liés à de mauvaises conceptions et architectures réseau, sécurité physique pour le réseau, stratégies d'accès local et distant aux composants du réseau, exigences de sécurité insuffisantes dans le processus d'approvisionnement ou encore aux processus de gestion du changement défaillants.

Le dos rond de Huawei face à l'UE

« Des opérateurs basés dans l'UE qui deviennent excessivement dépendants d'un seul équipement fournisseur sont exposés à un certain nombre de risques causés par ce fournisseur relevant d'une pression commerciale soutenue, ou due à une défaillance commerciale, soumise à une fusion ou acquisition, ou faisant l'objet de sanctions », pointe par ailleurs le rapport. Une remarque qui est loin de tomber à plat à l'heure des déboires actuellement rencontrés par Huawei au moment où les Etats-Unis s'apprêtent à subventionner les opérateurs optant pour des technologies et infrastructures 5G concurrentes (Ercisson, Nokia...).

Le fournisseur chinois fait en tout cas le dos rond et vient de réagir positivement à l'annonce des résultats du rapport de l'Union européenne. « Cet exercice est une étape importante dans le développement d'une approche commune de la cybersécurité et dans la fourniture de réseaux sécurisés pour l'ère de la 5G », a déclaré un porte-parole de Huawei. « Nous sommes heureux de noter que l'UE a tenu son engagement d'adopter une approche fondée sur des preuves, analysant en profondeur les risques plutôt que de cibler des pays ou des acteurs spécifiques. » On se rassure comme on peut chez le fournisseur chinois.