Sécurité

Rapport : Huawei criblé de « risques de sécurité à long terme »

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les responsables britanniques chargés d’évaluer la sécurité du réseau de Huawei et son aptitude globale à être un partenaire 5G de premier plan dans ses prochains déploiements ont publié un rapport sur leurs conclusions. Le Royaume-Uni et Huawei ont conclu un accord dans lequel la conformité de Huawei aux normes de sécurité est contrôlée par le Huawei Cyber ​​Security Evaluation Center (HCSEC). Cette organisation est supervisée par le HCSEC Oversight Board, qui a rédigé ce dernier rapport. Leurs conclusions sont assez négatives, mais elles pourraient aussi enfin éclairer les raisons pour lesquelles Huawei a été un sujet de discorde au cours des dernières années.

Les avertissements concernant les pratiques de sécurité de Huawei ont commencé sous l’administration Obama, mais se sont intensifiés après l’entrée en fonction du président Trump. Cependant, ce qui manquait à ces rapports, c’était un sens technique solide de Pourquoi Les équipements et logiciels de Huawei étaient à proscrire. L’équipement contenait-il des portes dérobées ou d’autres formes de logiciels espions ? L’un des sujets réguliers autour du refroidisseur d’eau High-teK.ca a été la mesure dans laquelle les avertissements cohérents mais vagues du gouvernement reflétaient les problèmes de sécurité réels. Dans l’intérêt de la divulgation : J’ai eu tendance à penser que le gouvernement avait probablement des raisons pour lesquelles il n’était pas disposé à divulguer publiquement. Si le rapport britannique reflète l’expérience américaine, il y a certainement des problèmes à résoudre.

Dans son rapportl’OB HCSEC stipule que « D’autres problèmes techniques importants ont été identifiés dans les processus d’ingénierie de Huawei, entraînant de nouveaux risques dans les réseaux de télécommunications britanniques » (souligné dans l’original). Il indique également que Huawei n’a fait aucun progrès dans la résolution des problèmes de sécurité critiques identifiés l’année précédente. En conséquence, le Conseil de surveillance écrit qu’il serait « inapproprié de modifier le niveau d’assurance par rapport à l’année dernière ou de faire des commentaires sur les futurs niveaux d’assurance potentiels ».

Une antenne à petite cellule Verizon 5G. Huawei est en cours d’évaluation en tant que fournisseur d’équipements de réseau 5G.

Le rapport poursuit en indiquant que l’OB n’a rien vu qui lui donnerait confiance dans la capacité de Huawei à résoudre ces problèmes. Bien que la société ait proposé un plan pour le faire, le Royaume-Uni n’a pas confiance en sa capacité à exécuter ledit plan. Par conséquent:

le Conseil de surveillance peut ne fournissent qu’une assurance limitée que tous les risques pour la sécurité nationale du Royaume-Uni résultant de l’implication de Huawei dans le
Les réseaux critiques du Royaume-Uni peuvent être suffisamment atténués à long terme.
(souligné dans l’original)

Donc quel est le problème?

L’OB HCSEC a identifié plusieurs problèmes clés. Selon le rapport, Huawei ne peut pas fournir de versions logicielles démontrant l’équivalence binaire entre ses gammes de produits. Il ne peut pas démontrer que les problèmes qui surviennent dans une version sont correctement résolus dans la suivante grâce au « fonctionnement normal d’un processus d’ingénierie soutenu ». Il ne peut pas fournir l’assurance de bout en bout qu’un particulier jeu de code source est précisément celui utilisé pour construire un binaire particulier. Ses outils de gestion de configuration ne sont pas utilisés de manière cohérente dans ses différentes familles de produits, ce qui l’empêche de garantir une sécurité de bout en bout. La configuration de la machine virtuelle au démarrage des builds est médiocre et les builds ne sont pas propres. La gestion de la configuration de l’environnement de construction est médiocre, voire inexistante, sans déploiement cohérent de la prise en charge de la chaîne d’outils. La gestion de la configuration du code source est médiocre :

Deuxièmement, l’intégration dans l’architecture globale du produit est très médiocre, avec de multiples copies et versions de composants, des composants apparemment versionnés de manière identique contenant des différences significatives, des dépendances circulaires entre les composants et certains composants régressant en version entre les incréments globaux du produit.

Huawei continue de s’appuyer sur un système d’exploitation RTOS ancien et presque obsolète (Wind River VxWorks 5.5, un système d’exploitation qui a fait ses débuts en 2002). Huawei a acheté une licence étendue pour VxWorks 5.5, mais cette licence expire en 2020. Huawei a développé son propre système d’exploitation pour remplacer VxWorks 5.5, mais le HCSEC note :

Le propre système d’exploitation équivalent de Huawei est soumis à bon nombre des mêmes processus de développement Huawei que d’autres composants et le NCSC ne dispose actuellement pas de preuves suffisantes pour porter un jugement sur la qualité de l’ingénierie logicielle et les implications en matière de cybersécurité de ce composant. En outre, il utilise des modèles de mémoire et de sécurité plus modernes et, par conséquent, l’intégration avec le produit existant exécuté sur le système d’exploitation comporte des risques. Cela signifie que le passage à ce système d’exploitation en temps réel pourrait ne pas améliorer la situation à long terme, tout en faisant courir un risque d’intégration aux opérateurs britanniques… Cependant, le NCSC reste préoccupé par le temps écoulé depuis la découverte de ce problème sans qu’un plan crédible ne soit présenté.

Le HCSEC a mené une analyse des tendances des divers correctifs et correctifs fournis par Huawei et les a trouvés inadéquats, le code final démontrant un « nombre important de défauts majeurs ». Lorsqu’on lui a demandé de présenter un plan pour résoudre l’existence persistante de ces problèmes, tout ce que Huawei a proposé a été jugé inadéquat. Le NCSC (National Cyber ​​​​Security Center, qui a contribué au rapport) a toutefois déclaré qu’il estimait que les défauts qui criblent l’équipement de Huawei – et le rapport est assez accablant à cet égard – sont ne pas le résultat de « l’ingérence de l’acteur étatique chinois ».

En bref, Huawei n’essaie pas de cribler son logiciel ou son matériel avec des portes dérobées secrètes, mais il est également très, très mauvais en matière de sécurité. C’est ne pas une conclusion difficile à comprendre, surtout compte tenu du nombre d’entreprises qui ont été touchées par des failles de sécurité ou qui ont vu leurs propres mauvaises pratiques exposées.

Crédit photo du haut : Kevin Frayer/Getty Images

Maintenant lis:

Bouton retour en haut de la page