Alors que les Européens n’ont pas cédé au chantage américain menaçant de réduire les échanges de renseignements avec les pays qui utiliseraient des équipements télécoms du chinois Huawei, sans avancer la moindre preuve de porte dérobée, de logiciel malveillant, d’espionnage ou de tout autre risque à la sécurité nationale, Huawei a tout de même de quoi s’inquiéter.

Pour rassurer le public britannique, Huawei mis en place en 2010 le Huawei Cyber Security Evaluation Centre [HCSEC], qui donne accès au code source de ses produits à des spécialistes techniques du National Cyber Security Centre, la branche du service du renseignement GCHQ en contact avec le public.

Début février, nous rapportions la rumeur selon laquelle Huawei serait épinglée dans le rapport annuel du HCSEC pour ne pas avoir résolu des problèmes de sécurité.

Le rapport 2019 est désormais publié, et confirme notre article.

Si aucune porte dérobée n’a été découverte, *

« Le travail du HCSEC révèle des défauts sérieux et systématiques de l’ingénierie logicielle et de la compétence en cybersécurité de Huawei. »

« Le travail a continué d’identifier des problèmes inquiétants dans l’approche du développement de logiciels de Huawei, qui accroît le risque de manière significative pour les opérateurs télécoms britanniques, et qui nécessitent une gestion et une minimisation des risques continues. »

« Dans certains cas, le rattrapage nécessitera également le changement du matériel (à cause des contraintes sur le processeur ou sur la mémoire), qui peut faire partie ou non de la gestion d’actifs habituelle de l’opérateur et de ses cycles de mise à jour. »

Dans une lettre ouverte au parlement britannique, Huwei avait reconnu qu’il était possible de s’améliorer, et promis 2 milliards de livres sur cinq ans afin d’améliorer les processus logiciels.

D’après le rapport annuel, il s’agit, au mieux, d’un budget initial pour des activités qui n’ont toujours pas été spécifiées.

Parmi les détails qui fâchent, on notera en particulier :

  • Que Huawei continue d’utiliser dans ses équipements une vielle version d’un système d’opération temps réel tiers dont le soutien technique va bientôt s’arrêter ;
  • Que ce RTOS est primitif pour la sécurité, avec un seul espace de mémoire et un seul contexte utilisateur ;
  • Que Huawei n’a toujours pas corrigé une vulnérabilité de sécurité qui lui a été signifiée en 2013 sur tous ses matériels : certains de ces routeurs sont toujours en service alors que la faille qui permet d’exécuter du code à distance serait triviale à exploiter ; l’été dernier, Check Point détectait que la vulnérabilité du routeur HG532 avait été exploitée par un botnet de 18 000 appareils avec une variante du logiciel malveillant Mirai ;
  • Dans ses appareils, Huawei exploite plus de 70 copies différentes de 4 versions de OpenSSL, certaines variantes affectées par au moins une des 10 vulnérabilités de sécurité connues, certaines depuis 2006 ;
  • Enfin est surtout, le HCSEC n’est toujours pas convaincu que le code source étudié, quand il est compilé, résulte systématiquement en le même fichier binaire que le logiciel ou le micrologiciel qui est effectivement sur les appareils de Huawei. En d’autres termes, il y a une possibilité que l’étude du code source ne serve à rien.

 

* Traductions: Le Diligent