5G : la problématique de sécurité
Au-delà du risque chinois représenté notamment par l’opérateur Huawei , Charles Cuvelliez et Jean-Jacques Quisquater, Université de Bruxelles, posent la problématique globale de sécurité de cette nouvelle technologie (la Tribune)
« Avec son rapport sur la sécurité des réseaux 5G, la Commission européenne a mis un baume d’objectivité sur tout ce qu’on entend à propos de Huawei et ZTE et les activités de ces fournisseurs chinois sur les réseaux 5G qu’ils déploieront en Europe. Pour y arriver, la Commission s’est basée sur l’analyse de risque que chaque Etat membre a dû mener sur la base de sa recommandation sur la cybersécurité des réseaux 5G au début 2019.
Les réseaux 5G ont trois concepts innovants mais avec leur part de nouveaux risques : le premier consiste à déployer le réseau 5G avec des équipements multifonctions qui, selon le logiciel qui l’équipe, aura tel ou tel rôle dans le réseau. Le pilotage se fera aussi par logiciel. A priori, c’est une bonne chose puisque les mises à jour et la correction de bugs (de sécurité) se font facilement par voie logicielle. Mais justement, la mise à jour et le déploiement des dernières versions de logiciels à temps, c’est un talon d’Achille de la sécurité informatique dans les grandes organisations. Cette virtualisation (par voie logicielle) des réseaux va confronter les opérateurs télécom à ce même talon d’Achille mais à une échelle plus grande, sur leur réseau même. Il n’est pas dit, de surcroit, que ce logiciel a été écrit en pensant à la sécurité dès le début. Un acteur perdu dans la chaîne d’intermédiaires peut aussi avoir mis un backdoor qui passera inaperçu et il ne le fera pas forcément sur les ordres d’un Etat d’ailleurs.
Une autre innovation des réseaux 5G, c’est son compartimentage en sous-réseaux indépendants les uns des autres (network slicing) sur lesquels des services très différents en exigence pourront fonctionner. Il faudra, pour cela, que la 5G se déploie profondément dans le réseau et pas uniquement au niveau de l’accès radio, comme c’est prévu dans une première phase. Enfin, troisième innovation, les services clés du réseau ou sa gestion seront de plus en plus assurés aussi à la périphérie du réseau, par des équipements spécialisés et pas uniquement dans le cœur du réseau comme avant (mobile edge computing). Cela veut dire beaucoup plus de contrôle de sécurité à effectuer à cette même périphérie. Ce sont autant de points d’entrée de criminels ou hackers qui prendront le contrôle de ces parties périphériques du réseau.
Cela fera aussi beaucoup de nouveaux acteurs, et donc une complexification de la chaîne de valeur. Si on ne contrôle pas tous ses fournisseurs, si ceux-ci se fournissent et se livrent les uns les autres, le risque de compromission à un moment donné va augmenter. Beaucoup de ces nouveaux acteurs, dit la Commission, n’auront pas la maturité pour s’aligner avec le caractère critique d’une fonction télécom.
Ceci dit, la 5G a aussi été conçue avec des améliorations substantielles de sécurité : l’une d’entre elles sera une procédure plus stricte d’authentification sur l’interface radio mais il y en a d’autres… qui ne doivent pas être activées par défaut. Ce qui fait dire à la Commission qu’un grand rôle est donc dévolu au soin avec lequel l’opérateur configurera son réseau.
Le déploiement des réseaux 5G sera graduel : c’est d’abord au niveau de l’accès radio qu’on la verra. Cette 5G fonctionnera sur un cœur de réseau 4G. Les performances seront améliorées mais la sécurité de ce premier réseau 5G dépendra de ses prédécesseurs, 4G et même 3G. Les faiblesses certes connues de la 3G et de la 4G s’appliqueront à ces premiers réseaux 5G mais à une échelle plus grande. L’interaction entre la 5G et ces vulnérabilités connues pourraient générer des effets collatéraux non prévus. Ce n’est que dans un deuxième temps qu’on verra un réseau 5G jusque dans le cœur du réseau avec, cette fois, les innovations et les nouveaux risques du network slicing, de la conduite des réseaux par logiciel et du mobile edge computing.
Il n’y a pas que l’opérateur mobile ou son fournisseur d’équipement 5G à être concerné par la sécurité du réseau. Il y aura aussi, dit la Commission, la myriade de fabricants d’appareils qui se connecteront au réseau 5G et ce ne seront pas que des smartphones mais des voitures autonomes, des villes avec le concept de smart cities, bref tout ce que le monde comptera d’objets connectés. Et puis il y a les utilisateurs finaux et tous les intermédiaires, industriels ou non, qui utiliseront le réseau.
Opérateurs et équipementiers réseau restent les principaux acteurs pour proposer un réseau 5G sûr, insiste la Commission. Or, ces derniers ne sont pas nombreux : il y a Ericsson, Nokia et Huawei. ZTE, Samsung et Cisco sont aussi de la partie. Il n’y a donc pas plus de 5 acteurs qui concentrent les risques. Car, dit la Commission, il y a une grande diversité dans leur gouvernance. Si Ericsson et Nokia répondent aux critères de bonne gouvernance (transparente) du monde occidental, ZTE et Huawei restent opaques. Et il y a d’autres fournisseurs que ceux-là : qu’on songe à tous les autres sous-traitants des opérateurs (ou des équipementiers) qui fournissent les data centers, l’infrastructure pour gérer le réseau, des fonctions de support… La virtualisation du réseau 5G et la mainmise du logiciel va avoir pour conséquence qu’on confiera plus facilement la gestion de services clés du réseau à des externes. Le veut-on vraiment ? Enfin les usines où se fabriquent en dur les équipements à installer sont aussi hors Europe. Qui contrôle ?
Analyse de risque
Une analyse de risque IT impose de regarder la triade confidentialité, disponibilité et intégrité comparativement à la 5G. Vu la place qu’elle est appelée à prendre dans notre vie, c’est la disponibilité et l’intégrité qui compteront d’abord. La confidentialité, importante, est moins critique.
Qui peut en vouloir aux réseaux 5G ? Pour la Commission, sur la base des retours des Etat membres, c’est la menace d’Etats tiers ou d’acteurs soutenus par des Etats tiers qui arrive en premier. Le raisonnement est simple : ce sont des acteurs qui ont les moyens, les compétences et la motivation d’attaquer des réseaux jusqu’au moment où ils réussissent. Ceci dit les menaces des insiders chez l’opérateur mobile ou les sous-contractants, en relation avec la confidentialité ou la disponibilité, sont une autre grande menace, d’après les Etats membres.
L’introduction de la 5G est une transition plus importante pour les réseaux par rapport au passage à la 3G et à la 4G. La normalisation des réseaux 5G effectuée par le 3GPP ne se préoccupe que de deux familles de fonction les composant : les fonctions cœurs de réseau et la fonction d’accès au réseau radio lui-même. Bien d’autres fonctions, comme le transport, la manière d’interconnecter les réseaux, sa gestion et les services de support comme l’orchestration, la facturation ou le suivi des performances ne sont pas normalisés pour la 5G. Or ils feront tourner aussi la 5G.
Il faut aussi identifier les groupes d’utilisateurs critiques de la 5G : on veut utiliser la 5G pour faire tourner les villes, des industries entières, des services publics critiques car la performance de la 5G le justifie. Mais il faudra sécuriser ces utilisations : on songe aux opérateurs de service essentiels définis par la directive NIS, la protection civile, les services d’urgence, les infrastructures critiques, les services de sécurité,… Prévoiront-ils tous une solution de secours si la 5G tombe en panne ?
Comme pour les clouds, le manque de personnel qualifié pour gérer les réseaux 5G est un autre risque tout comme les faiblesses dans l’implémentation des points de contrôle adéquat ou même la culture de la gestion du risque au sein de l’opérateur mobile. Si les normes 5G du 3GPP ne sont suivies qu’approximativement, c’est un autre risque. Du côté de l’opérateur mobile, les risques portent sur un design et une architecture faiblarde du réseau (absence de mesure d’urgence ou de continuité, faible sécurité physique qui permet d’accéder au réseau en différents points du réseaux, politique trop légère d’accès à distance des composants du réseau pour la maintenance,….). Il faudra aussi sérieusement renforcer les procédures dites de change management pour éviter les erreurs humaines et de configuration.
Enfin, il y a les risques liés aux fournisseurs : c’est là que l’allusion à Huawei est la plus évidente, preuve que son fantôme hante la plupart des Etats membres qui ont répondu. C’est l’interférence entre le fournisseur et son pays d’origine qui est pointée du doigt comme risque majeur : pression du pays sur son fournisseur, absence de contrôle démocratique, lien fort entre le gouvernement et le fournisseur. Dépendre d’un seul fournisseur est aussi un problème pour pouvoir passer à un autre fournisseur en cas de souci. Enfin, la présence d’un nombre limité de fournisseurs peut diminuer l’incitation à développer des produits plus sûrs. Et surtout elle a un impact sur le pouvoir qu’auront les Etats membres et leur autorités nationales. Un petit Etat membre va-t-il vraiment pouvoir faire pression sur un fournisseur mondial pour lui fournir les garanties qu’il exige en sécurité ?
Il y a du pain sur la planche pour la Commission mais c’est la première fois que la préoccupation de sécurité apparaît à un niveau politique à si haut niveau et de manière coordonnée.
EU coordinated risk assessment of the cybersecurity of 5G networks, Report 9 October 2019, disponible ici : https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=62132
Sécurité routière : comment expliquer la hausse de la mortalité
Sécurité routière : comment expliquer la hausse de la mortalité
Il y a quelques semaines seulement le gouvernement se félicitait de la baisse de la mortalité sur les routes en attribuant pour l’essentiel la cause à la limitation de vitesse à 80 km/h. Le problème c’est que malheureusement la mortalité augmente assez nettement en janvier. Comme d’habitude, c’est le grand flou sur les facteurs explicatifs puisque l’État ne dispose d’aucune institution scientifique capable d’analyser les évolutions. L’observatoire national interministériel de la sécurité routière est en effet une coquille vide qui se contente de reprendre les commentaires gouvernementaux. Pour preuve, cette fois l’observatoire national de la sécurité routière n’explique aucunement cette hausse de tous les indicateurs. Bien entendu il conviendrait d’étudier ces statistiques de manière scientifique notamment en les rapprochant de l’évolution du volume de la circulation et des conditions météorologiques. Un exercice qui n’a jamais été fait.
260 personnes sont donc mortes sur les routes en janvier 2020, contre 237 en janvier 2019. La mortalité des cyclomotoristes, cyclistes et automobilistes augmente, alors que la mortalité à deux-roues motorisé est stable et celle des piétons baisse.
En ce début d’année 2020, le bilan des accidents sur les routes de France est considérable. Selon les estimations de l’Observatoire national interministériel de la sécurité routière (ONISR), 260 personnes sont décédées sur les routes lors du mois de janvier 2020. En 2019, le nombre de morts était de 237 sur cette même période, soit un hausse de 9,7%.
Dans son rapport, l’ONISR précise que tous les autres indicateurs sont en hausse. Il y a eu 4422 accidents corporels en janvier 2020 contre 3812 en janvier 2019, soit un augmentation de 16%.
L’observatoire dénombre aussi une hausse de 18,4% des blessés. Ils ont été 5628 cette année contre 4754 l’année précédent, soit 874 personnes de plus.
Avant d’avoir des chiffres plus détaillés selon les axes routiers, l’ONSIR ne donne pas d’analyse précise de cette hausse des accidents et des victimes. « Plusieurs facteurs sont a prendre ne considération ». On aurait aimé évidemment que ces facteurs soient indiqués ! Et si possible expliquait quantitativement et qualitativement.