La capacité de Huawei à écouter les utilisateurs mobiles néerlandais est un signal d’alarme pour l’industrie des télécommunications

La capacité de Huawei à écouter les utilisateurs mobiles néerlandais est un signal d'alarme pour l'industrie des télécommunications

Crédits: viewimage / Shutterstock

Le fournisseur de technologie chinois Huawei a récemment été accusé de pouvoir surveiller tous les appels passés à l’aide de l’opérateur mobile néerlandais KPN. Les révélations proviennent d’un rapport secret de 2010 réalisé par le cabinet de conseil Capgemini, que KPN a mandaté pour évaluer les risques liés au travail avec l’infrastructure Huawei.

Bien que le rapport complet sur la question n’ait pas été rendu public, les journalistes qui ont rapporté l’histoire ont souligné des préoccupations spécifiques concernant le fait que le personnel de Huawei aux Pays-Bas et en Chine avait accès aux parties essentielles à la sécurité du réseau de KPN, y compris les données d’appel de millions de citoyens néerlandais. – et que le manque de registres signifiait que KPN ne pouvait pas établir à quelle fréquence cela se produisait.

KPN et Huawei ont nié toute irrégularité, bien que dans les années qui ont suivi le rapport de 2010, Huawei se soit de plus en plus retrouvé étiqueté comme un fournisseur à haut risque pour les entreprises de télécommunications, y compris par le National Cyber ​​Security Center du Royaume-Uni.

Pour mieux comprendre cette histoire et pour déterminer si d’autres réseaux de télécommunications peuvent avoir eu des vulnérabilités de sécurité similaires à celles de KPN, nous devons examiner la complexité des réseaux mobiles. KPN a essentiellement accordé à Huawei des «droits d’administrateur» sur son réseau mobile en sous-traitant le travail à l’entreprise chinoise. La législation ne fait que rattraper son retard pour éviter des vulnérabilités similaires en matière de sécurité des télécommunications.

Pressions commerciales

Huawei est l’un des trois principaux fournisseurs d’équipements radio au monde, aux côtés d’Ericsson et de Nokia. Ces sociétés technologiques géantes fournissent les stations de base et les équipements qui fournissent des signaux de téléphonie mobile. Les opérateurs comme KPN paient de plus en plus ces entreprises non seulement pour acheter l’équipement, mais aussi pour qu’elles le soutiennent et l’entretiennent.

Le marché des télécommunications sur lequel KPN opère est l’un des plus compétitifs au monde en termes de prix. Les opérateurs mobiles européens ont vu Revenu moyen par utilisateur en 2019 de 14,90 € (12,85 £) par mois, contre 36,90 € par mois aux États-Unis. Les dépenses européennes en services de télécommunications diminuent également d’année en année, les opérateurs se faisant concurrence pour proposer les meilleures offres aux consommateurs.

La baisse des revenus oblige les opérateurs à gérer soigneusement les coûts. Cela signifie que les opérateurs ont tenu à externaliser une partie de leurs activités à des tiers, surtout depuis la fin des années 2000.

Un grand nombre d’ingénieurs hautement qualifiés est un passif coûteux à avoir sur le bilan, et peut souvent apparaître sous-utilisé lorsque les choses se passent bien. Ces emplois sont souvent externalisés, le personnel étant transféré au fournisseur externalisé, pour aider les opérateurs à réduire leurs coûts salariaux.

L’externalisation est allée trop loin

Lorsque tout fonctionne, très peu de gens remarquent l’externalisation. Mais lorsque les choses tournent mal, l’externalisation peut souvent compliquer considérablement la reprise, ou créer un grand «point de défaillance unique» ou un problème de sécurité.

Au Royaume-Uni, par exemple, l’opérateur mobile O2 a connu au moins une panne liée à l’utilisation de fonctions externalisées. Lorsqu’un grand nombre d’opérateurs s’appuient sur le même partenaire d’externalisation, tout problème ou faille de sécurité affectant le fournisseur externalisé peut avoir un impact étendu.

Pourtant, l’externalisation par les opérateurs de téléphonie mobile est répandue. Et les entreprises du Royaume-Uni et de toute l’Europe se sont souvent tournées vers Huawei pour fournir des services informatiques et aider à créer des réseaux centraux. En 2010, Huawei gérait les fonctions critiques de sécurité du réseau central de KPN.

Accès administrateur

Dans le même temps, les fournisseurs d’équipements comme Huawei essaient de s’éloigner de la simple vente d’équipements et de fournir un service géré, y compris l’installation, la maintenance et le support. Cela les aide à générer des revenus récurrents dans une industrie qui a généralement été dominée par de grands cycles d’achat de cinq ou dix ans.

Mais à mesure que ces fournisseurs ajoutent des services à leur répertoire, ils obtiennent un accès plus large aux réseaux mobiles avec lesquels ils travaillent. Cela peut inclure certaines parties des réseaux de télécommunications critiques pour la sécurité, qui sont souvent conçues pour fonctionner dans des environnements fiables et sécurisés.

Dans le scénario où un fournisseur comme Huawei fournit également un service géré, ils se retrouvent dans une position privilégiée unique, avec une connaissance approfondie de leur propre équipement et un accès direct à des interfaces de gestion fiables.

Cela crée l’équivalent high-tech de mettre tous vos œufs dans le même panier. Cela revient à donner les combinaisons du coffre-fort de la banque au même gardien de sécurité en charge des images de la caméra CCTV. Il est difficile de surveiller de manière fiable les opérations effectuées par le fournisseur sans s’appuyer sur son propre logiciel.

Dans les cas où un fournisseur a été désigné comme présentant un risque élevé en raison de ses propres pratiques de sécurité des produits, il est très difficile de savoir si ce fournisseur n’a rien fait de mal. C’est la situation dans laquelle KPN s’est apparemment trouvée avec Huawei en 2010.

Des changements sont-ils nécessaires?

Avec au moins un opérateur visant à réduire les dépenses opérationnelles européennes de 1,2 milliard d’euros et les déploiements de la 5G offrant de nouvelles opportunités pour les services gérés et les solutions logicielles à utiliser dans les réseaux, les décisions concernant l’externalisation continueront de jouer un rôle important pour les opérateurs de téléphonie mobile. vers l’avant.

Mais la législation rattrape rapidement son retard. Le Royaume-Uni a proposé un projet de loi sur la sécurité des télécommunications et le projet de législation secondaire associé comprend des exigences pour les opérateurs de réseau de surveiller toutes les activités menées par des fournisseurs tiers, d’identifier et de gérer les risques liés à leur utilisation et de mettre en place un plan pour maintenir des les opérations réseau si le service de leur fournisseur est interrompu.

Pour certains opérateurs, il est concevable que cela implique de ramener des compétences clés en interne pour s’assurer que quelqu’un surveille les gardiens (externalisés). Dans le cas de KPN, ces mesures auraient probablement empêché Huawei d’avoir un accès apparemment non contrôlé et privilégié aux données mobiles de ses clients.


Le Royaume-Uni interdira les nouvelles installations d’équipement Huawei après septembre


Fourni par The Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.La conversation

Citation: La capacité de Huawei à écouter les utilisateurs mobiles néerlandais est un signal d’alarme pour l’industrie des télécommunications (2021, 11 mai) récupéré le 11 mai 2021 sur https://techxplore.com/news/2021-05-huawei-ability-eavesdrop- dutch-mobile.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.