Huawei a écouté 6,5 millions d'utilisateurs mobiles néerlandais – voici comment

Le fournisseur de technologie chinois Huawei a été récemment accusé de pouvoir surveiller tous les appels passés à l'aide de l'opérateur mobile néerlandais KPN. Les révélations proviennent d'un rapport secret de 2010 rédigé par le cabinet de conseil Capgemini, que KPN a mandaté pour évaluer les risques de travailler avec l'infrastructure Huawei.

Bien que le rapport complet sur la question n'ait pas été rendu public, des journalistes rapportant l'histoire ont souligné des préoccupations spécifiques concernant le fait que le personnel de Huawei aux Pays-Bas et en Chine avait accès à des parties essentielles à la sécurité du réseau de KPN – y compris les données d'appel de millions de citoyens néerlandais – et qu'un manque d'enregistrements signifiait KPN n'a pas pu établir à quelle fréquence cela se produisait.

KPN et Huawei ont nié toute irrégularité, bien que dans les années qui ont suivi le rapport de 2010, Huawei s'est de plus en plus souvent qualifié de fournisseur à haut risque pour les télécommunications entreprises avec lesquelles travailler, y compris par le National Cyber ​​Security Center du Royaume-Uni .

Pour mieux comprendre cette histoire et pour examiner si d'autres réseaux de télécommunications peuvent avoir eu une sécurité similaire vulnérabilités aux KPN, nous devons examiner la manière dont les réseaux mobiles complexes sont gérés. KPN a essentiellement accordé à Huawei « les droits d'administrateur » de son réseau mobile en sous-traitant le travail à l'entreprise chinoise.

Pressions commerciales

Huawei est l'un des trois principaux fournisseurs d'équipements radio dans le monde, aux côtés d'Ericsson et de Nokia. Ces sociétés technologiques géantes fournissent les stations de base et les équipements qui fournissent des signaux de téléphonie mobile. Des opérateurs comme KPN paient de plus en plus ces entreprises non seulement pour acheter l'équipement, mais aussi pour le soutenir et le maintenir.

Le marché des télécommunications sur lequel KPN opère est l'un des plus compétitifs au monde. Les opérateurs mobiles européens ont vu des revenus moyens par utilisateur en 2019 de 14,90 € (12,85 £) par mois, contre 36,90 € par mois aux États-Unis. Les dépenses européennes en services de télécommunications diminuent également d'année en année les opérateurs se faisant concurrence pour offrir les meilleures offres aux consommateurs.

La baisse des revenus oblige les opérateurs à gérer soigneusement les coûts. Cela signifie que les exploitants ont tenu à sous-traiter une partie de leurs activités à des tiers, surtout depuis la fin des années 2000 .

Un grand nombre d'ingénieurs hautement qualifiés est une responsabilité coûteuse à inscrire au bilan, et peut souvent paraître sous-utilisé lorsque les choses se passent bien. Ces emplois sont souvent externalisés, avec le personnel transféré au fournisseur externalisé, pour aider les opérateurs à réduire leurs coûts salariaux.

L'externalisation est allée trop loin

Quand tout fonctionne, très peu de gens remarquent l'externalisation. Mais lorsque les choses tournent mal, l'externalisation peut souvent compliquer considérablement la reprise ou créer un grand «point de défaillance unique» ou un problème de sécurité.

Au Royaume-Uni, par exemple, l'opérateur mobile O2 a connu au moins une panne qui a été liée à l'utilisation de fonctions externalisées. Là où un grand nombre d'opérateurs s'appuient sur le même partenaire d'externalisation tout problème ou toute faille de sécurité affectant le fournisseur externalisé peut avoir un impact étendu.

Néanmoins, l'externalisation par les opérateurs mobiles est répandue. Et les entreprises du Royaume-Uni et de toute l'Europe se sont souvent tournées vers Huawei pour fournir des services informatiques et pour aider à construire des réseaux centraux . En 2010, Huawei gérait les fonctions critiques de sécurité du réseau central de KPN.

Accès administrateur

Dans le même temps, les fournisseurs d'équipement comme Huawei tentent de s'éloigner de la simple vente d'équipement et de fournir un géré service y compris l'installation, la maintenance et le support. Cela les aide à générer des revenus récurrents dans un secteur qui a généralement été dominé par de vastes cycles d'achat de cinq ou dix ans.

Mais à mesure que ces fournisseurs ajoutent des services à leur répertoire, ils obtiennent un accès plus large aux réseaux mobiles avec lesquels ils travaillent. . Cela pourrait inclure certaines parties critiques pour la sécurité des réseaux de télécommunications, qui sont souvent conçues pour fonctionner dans des environnements fiables et sécurisés.

Dans le scénario où un fournisseur comme Huawei fournit également un service géré, ils se retrouvent assis dans une position privilégiée unique, avec une connaissance approfondie de leur propre équipement, et avec un accès direct à des interfaces de gestion fiables.

Cela crée l'équivalent high-tech de mettre tous vos œufs dans le même panier. Cela revient à donner les combinaisons du coffre-fort de la banque au même agent de sécurité chargé des images de la caméra CCTV. Il est difficile de surveiller de manière fiable les opérations effectuées par le fournisseur sans se fier à son propre logiciel.

Dans les cas où un fournisseur a été désigné comme présentant un risque élevé en raison de ses propres pratiques de sécurité des produits il est très difficile de savoir si ce fournisseur n'a rien fait de mal. C'est la situation dans laquelle KPN se trouvait apparemment avec Huawei en 2010.

Des changements sont-ils nécessaires?

Avec au moins un opérateur visant à réduire les dépenses d'exploitation européennes de 1,2 milliard d'euros et les déploiements 5G apportant de nouvelles opportunités pour les services gérés et les solutions logicielles à utiliser dans les réseaux, les décisions concernant l'externalisation continueront à jouer un rôle important pour les opérateurs mobiles à l'avenir.

Mais la législation rattrape rapidement son retard. Le Royaume-Uni a proposé un projet de loi sur la sécurité des télécommunications et un projet de loi dérivée associé comprend des exigences pour les opérateurs de réseau de surveiller toutes les activités menées par des fournisseurs tiers, d'identifier et de gérer les risques de les utiliser, et d'avoir un plan en place pour maintenir les opérations normales du réseau si le service de leur fournisseur est interrompu.

Pour certains opérateurs, il est concevable que cela puisse signifier ramener des compétences clés en interne pour s'assurer que quelqu'un surveille le (externalisé) gardiens. Dans le cas de KPN, ces mesures auraient probablement empêché Huawei d'avoir un accès apparemment non contrôlé et privilégié aux données mobiles de ses clients.

Cet article de Greig Paul ]Lead Mobile Networks and Security Engineer, University of Strathclyde est republié de The Conversation sous une licence Creative Commons. Lire l'article original .