L’endroit est paisible, tout près d’un joli square. C’est une rue avec pratiquement que des bureaux et dont le principal avantage est la proximité avec le bâtiment de la Commission européenne, qui se trouve à moins de 10 minutes à pied. Ce qui est plutôt pratique quand on a des intérêts économiques à défendre.
Bienvenue à Bruxelles, au 9 rue Guimard, dans l’un des quatre « Huawei Cyber Security Transparency Centre » que le constructeur chinois a aménagé sur le continent européen.
Ces infrastructures n’ont pas été créées par plaisir, mais par nécessité. Depuis quelques années, l’entreprise est de plus en plus perçue comme un cheval de Troie de l’Empire du Milieu, un risque pour la sécurité nationale, en Europe tout comme aux États-Unis. Les dirigeants politiques ont peur que ses équipements de réseaux mobiles, pourtant parmi les innovants du marché, puissent se transformer en vecteurs d’attaque au service du Parti communiste chinois.
En France, cette défiance générale s’est traduite par la loi n° 2019-810 du 1er août 2019, également appelée « loi anti-Huawei ». Elle contraint les opérateurs mobiles à demander des autorisations préalables auprès de l’ANSSI pour l’installation d’équipements 5G.
Huawei n’est pas explicitement cité dans cette loi, mais est clairement est visé. Car le risque dont on parle est celui d’actes d’ingérence d’un État non membre de l’Union européenne. Or, Huawei est le seul fournisseur d’équipements télécoms mobiles non européen présent sur le marché français. Les autres sont Nokia et Ericsson, d’origine respectivement finlandaise et suédoise.
Les premières autorisations 5G délivrées ont ensuite montré la logique derrière cette loi. Le constructeur chinois est de fait exclu des zones denses. Ses stations de base ne peuvent être déployées qu’en périphérie urbaine ou à la campagne. Et encore. Évidemment, face à ce bannissement technologique, Huawei ne pouvait pas rester les bras ballants, d’où l’existence de ce centre de transparence à Bruxelles.
Huawei veut se montrer irréprochable
Ce jour-là, on est accueilli avec le sourire par Yoann Klein, conseiller en cybersécurité chez Huawei, qui nous fait le tour du propriétaire. À première vue, le centre ne ressemble qu’à un showroom, avec une série de grands écrans sur lesquels des présentations tentent de démontrer aux visiteurs que les technologies de Huawei sont irréprochables.
On peut y apprendre les détails du « Huawei Privacy Protection Framework », c’est-à-dire comment l’équipementier protège les données personnelles. Ou encore découvrir la « Huawei’s 5G End-to-End Security Architecture », autrement dit l’architecture de sécurité de bout en bout des fonctions 5G.
Évidemment, ce n’est pas avec des présentations PowerPoint que la société chinoise va réellement pouvoir marquer des points. C’est pourquoi le centre donne également accès au Saint des saints : la plate-forme de tests en cybersécurité de Huawei qui est hébergée en Chine.
Elle est gérée par la division « Independant Cyber Security Lab » (ICSL), qui compte plus de 200 chercheurs en sécurité. Leur mission est de tester la sécurité des produits et d’attribuer un niveau de risque aux éventuelles failles trouvées.
« Si les chercheurs tombent sur un problème grave et bloquant, c’est retour à la case départ. L’équipe de développement va être contrainte de revoir son travail et le modifier en conséquence », souligne Yoann Klein, dont l’exposé est alors complété par une démonstration réelle, réalisée par Nathan Wang, un membre d’ICSL.
L’expert chinois allume son PC portable et, au moyen d’un VPN, se connecte à la plate-forme de test de Huawei. Des pages écrites en anglais et en chinois s’affichent alors, parsemées de listes et de diagrammes. Grâce à cette plate-forme, les chercheurs peuvent décomposer chaque produit en ses différents modules et sous-modules.
« Pour chaque module, il suffit de répondre à une série de questions pour évaluer automatiquement son niveau de risque fonctionnel », nous explique Nathan Wang.
En fonction de ce risque, chaque module est soumis à une série de tests. La plate-forme référence plus de 660 scénarios de tests, dont 180 sont des tests de pénétration.
« Là vous voyez par exemple que l’application mobile MyHuawei App n’a pas obtenu sa validation, car le microphone ne peut pas être désactivé par l’utilisateur », nous montre Nathan Wang, en naviguant dans ses innombrables listes de tests.
Accès au code source sur les serveurs en Chine
Mais ce n’est pas tout. Les visiteurs peuvent également réaliser leurs propres tests statiques et dynamiques sur les authentiques codes sources des produits Huawei.
Pour cela, il faut quitter les fauteuils confortables du showroom et se rendre au premier étage, dans le Verification Center. Ici, ça ne rigole pas. Avant de pouvoir rentrer dans cette zone du bâtiment, les visiteurs doivent déposer leurs équipements électroniques dans des casiers prévus à cet effet. Par ailleurs, la porte d’entrée du centre de vérification est dotée d’un portique de détection de métaux, ce qui permet de rappeler à l’ordre l’étourdi qui aurait malencontreusement oublié une clé USB dans l’une de ses poches.
Une fois passé ce sas de sécurité, on est confronté à une série de salles dont chacune est dotée d’un code couleur. Quand le visiteur veut discuter de détails techniques avec un ingénieur en Chine, il peut aller dans l’une des salles de communication cerclée en jaune (risque moyen), où il pourra lancer une session de vidéoconférence.
S’il veut analyser le code source, il va dans l’une des salles de consultation cerclée en rouge (risque élevé), où sont installés des clients légers dépourvus de tout port de connexion.
« Ces terminaux sont connectés en VPN avec la plate-forme ICSL où sont exécutés les outils d’analyse de code. Ce que le visiteur voit n’est qu’un flux vidéo envoyé depuis la Chine », souligne Yoann Klein.
Les outils d’analyse peuvent d’ailleurs être ceux du visiteur. Il suffira qu’il les fournisse au préalable à Huawei pour qu’ils soient directement disponibles depuis la plate-forme.
« Nous générons systématiquement une empreinte cryptographique des outils que nous recevons. Cela permet aux visiteurs de vérifier par la suite que l’outil n’a pas été modifié en cours de route », précise Yoann Klein.
A découvrir aussi en vidéo :
OK, mais même si l’on vérifie le code source de fond en comble, comment être certain que le binaire installé dans l’équipement est bien le même ?
« En effet, étant donné la taille et la complexité de nos codes sources — parfois des centaines de millions de lignes de code — on ne peut pas garantir que l’on aura toujours exactement le même binaire à l’arrivée, ne serait-ce que pour des raisons d’horodatage. Mais les différences sont faibles et nous atteignons un niveau dit d’équivalence binaire qui est suffisamment élevé pour répondre aux exigences du NCSC, l’agence de cybersécurité britannique », poursuit Yoann Klein.
À en croire l’expert, les visiteurs — généralement des opérateurs ou des sociétés mandatées par eux — sont ravis des possibilités offertes par Huawei.
« Plus de 2 500 visiteurs sont passés dans le centre depuis son ouverture en 2019. Ce sont généralement des équipes de cinq ou six personnes qui viennent pour plusieurs semaines. Et les retours sont très positifs. Ils nous disent ne jamais avoir vu un tel niveau de transparence. C’est unique dans l’écosystème télécoms », assure Yoann Klein.
Et pourtant, en dépit de tous ces efforts et toute cette bonne volonté, il est peu probable que les centres de transparence de Huawei puissent réellement inverser la vapeur et laver l’équipementier de tout soupçon. Car, au final, face à des décisions politiques, les réponses techniques seront toujours insuffisantes.