Après un premier coup de semonce en 2020, la Commission européenne revient à la charge sur la cybersécurité des réseaux 5G. Elle exhorte les États membres à agir au plus vite ; Huawei et ZTE sont directement cités cette fois-ci. La Commission annonce aussi des mesures pour « éviter d’exposer » ses communications professionnelles.
Cela fait maintenant des années que les États-Unis sont en guerre ouverte contre Huawei et ZTE, deux fabricants qui sont d’ailleurs sur la « liste noire » (section 2 du Secure Networks Act) de la FCC. On y retrouve aussi Kaspersky, China Mobile et China Telecom pour ne citer qu’eux.
En France : décret « anti-Huawei », l’ANSSI joue les prolongations
En France, un décret « anti-Huawei » – dont la portée est bien plus large que le seul fabricant chinois Huawei – a été publié au Journal officiel en décembre 2019, puis validée par le Conseil Constitutionnel début 2021. Son but : « préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles ». Dans la pratique, il s’agit de soumettre à autorisation de l’ANSSI le déploiement de certains équipements sensibles.
Le décret « anti-Huawei » détaillé au Journal officiel
5G : deux dispositions de la loi dite « anti-Huawei » validées par le Conseil constitutionnel
Guillaume Poupard, alors directeur de l’Agence nationale de la sécurité des systèmes d’information, précisait un peu les choses lors d’une interview à Les Échos : « les opérateurs qui n’utilisent pas Huawei, nous les incitons à ne pas y aller, car c’est un peu le sens naturel des choses. Ceux qui l’utilisent déjà, nous délivrons des autorisations dont la durée varie entre trois et huit ans ». Cela nous mène donc entre 2023 et 2028… autant dire que nous sommes en plein dans le début de la fin de cette période de « grâce ».
« Nous ne sommes pas dans du Huawei bashing, ni dans du racisme antichinois. Nous disons juste que le risque n’est pas le même avec des équipementiers européens, qu’avec des non-européens. Il ne faut pas se mentir », ajoutait le patron de l’ANSSI.
À l’occasion de la mise en ligne du deuxième rapport sur l’état d’avancement de la mise en œuvre de la boîte à outils de l’UE sur la cybersécurité des réseaux 5G (la première version date de janvier 2020), l’Europe revient sur le sujet et n’hésite pas à identifier noir sur blanc Huawei et ZTE.
La mise en place des restrictions traine pour la Commission
Selon ce rapport publié la semaine dernière, « 24 États membres ont adopté ou sont en train d’élaborer des mesures législatives conférant aux autorités nationales le pouvoir de procéder à une évaluation des fournisseurs et d’appliquer des restrictions ». Il en reste donc trois – l’Europe compte 27 États membres depuis le Brexit – qui n’ont pour le moment pas avancé sur le sujet.
Dix États ont déjà imposé des restrictions, trois travaillent actuellement à les mettre en place. Il en reste donc 14 pour qui rien ne se passe, bien que certains aient déjà adopté des mesures législatives. Un bilan de la Commission met en balance avec le fait que tous les États disposent d’un service commercial 5G (au moins dans une partie du pays). De plus, en avril 2023, « environ 81 % de la population de l’UE était couverte par au moins un opérateur proposant des services 5G ».
Or, « compte tenu de l’importance des infrastructures de connectivité pour l’économie numérique et de la dépendance de nombreux services critiques à l’égard des réseaux 5G, les États membres devraient mettre en œuvre la boîte à outils dans les plus brefs délais », martèle la Commission.
Aux indécis, la Commission demande de « tenir compte des désignations faites par d’autres États membres en ce qui concerne les fournisseurs à haut risque, afin de promouvoir la cohérence et un niveau élevé de sécurité dans l’ensemble de l’Union ».
Le message est on ne peut plus clair : « les États membres devraient imposer dans les plus brefs délais des restrictions aux équipementiers à haut risque ». L’enjeu est vital et nécessite une approche globale selon la Commission, « eu égard au caractère interconnecté des réseaux » et aux risques de dépendance. Une autre manière de dire que l’Union fait la force et que la sécurité d’un ensemble doit être étudiée via son maillon le plus faible, en l’occurrence les États n’ayant pas encore agi contre Huawei et ZTE selon le rapport de la Commission.
Les restrictions contre Huawei et à ZTE « sont justifiées »
En 2020, il n’était pas question de nommer directement des sociétés, même si tous les yeux étaient tournés vers les entreprises chinoises. Aujourd’hui, la Commission n’hésite plus à faire du « name & shame » et affirme que les décisions pour « appliquer des restrictions à Huawei et à ZTE ou pour les exclure des réseaux 5G sont justifiées ».
Comme c’est le cas des États-Unis dans leur guerre contre les équipementiers chinois, l’Europe n’apporte pas de preuves concrètes, mais parle d’un « vaste faisceau de renseignements ». La Commission considère en effet « que Huawei et ZTE présentent en fait des risques sensiblement plus élevés que les autres fournisseurs 5G ».
Les « précédents » de Huawei
Sur la question des risques, il y a des précédents. Huawei pouvait par exemple écouter les clients du principal opérateur mobile néerlandais KPN. Ce dernier assure n’avoir aucune preuve qu’Huawei ait exploité ces vulnérabilités, mais a tout de même repris la main sur son cœur de réseau et changé de crémerie.
Plus récemment, plusieurs sources prétendaient que le FBI aurait découvert que des équipements Huawei étaient « capables de capter et perturber » les communications militaires, « notamment celles utilisées par le commandement stratégique américain », en charge de l’arsenal nucléaire du pays.
Le FBI, les antennes-relais Huawei et les missiles nucléaires
Une question de souveraineté, la Commission « prendra des mesures »
La Commission ne souhaite donc prendre aucun risque sur la sécurité des réseaux 5G, au cœur de nombreux services actuels et à venir : « Il s’agit d’une question essentielle pour la souveraineté, l’autonomie stratégique et la résilience de l’Union ».
Elle s’inquiète des risques que font peser certains fournisseurs d’équipements et des (non) décision de certains États membre. Cela crée « un risque manifeste de dépendance persistante à l’égard des équipementiers à haut risque sur le marché intérieur, ce qui pourrait avoir des conséquences négatives graves pour la sécurité des utilisateurs et des entreprises dans l’ensemble de l’UE et des infrastructures critiques de l’UE ».
Comme pour montrer l’exemple, dans le cadre de sa politique institutionnelle de cybersécurité, « la Commission prendra des mesures afin d’éviter d’exposer ses communications professionnelles à l’utilisation de réseaux mobiles qui comptent Huawei et ZTE parmi leurs équipementiers ». Elle compte aussi « transposer cette décision à tous les programmes et instruments de financement pertinents de l’UE ».
En France, la situation est toujours compliquée. « Huawei reste bien présent en France, malgré son interdiction dans la 5G », titrait Le Monde en février. Les opérateurs nationaux sont pour rappel divisés en deux catégories : Orange et Free qui n’utilisent pas d’équipements Huawei dans leurs cœurs de réseaux (ils passent par Ericsson et Nokia), contrairement à Bouygues et SFR. Ces deux derniers ont d’ailleurs porté l’affaire devant le tribunal administratif de Paris, comme le rapporte l’Informé, afin d’obtenir une indemnisation pour le démantèlement de leurs milliers d’antennes Huawei.
Et dans le reste de l’Europe ?
Un rapport spécial de la Cour des comptes européenne rappelait l’année dernière que l’Allemagne est sur la même longueur d’onde que la France avec sa « la loi sur la sécurité informatique 2.0 de mai 2021 [qui] prévoit la certification obligatoire des composants critiques avant que leur utilisation puisse être autorisée ».
En Autriche, « la loi sur les télécommunications actualisée, adoptée à la fin du mois d’octobre 2021, permet au ministre compétent de classer des fournisseurs parmi les équipementiers à haut risque et de leur appliquer des restrictions, voire de les exclure du marché ».
La Hongrie est sur une tout autre ligne. En septembre 2021, elle « n’avait encore imposé aucune restriction à l’égard des équipementiers 5G, quels qu’ils soient, et elle ne le fera probablement pas dans un avenir proche », notait le rapport de la Cour des comptes européenne. « Elle a aussi officiellement refusé de s’associer au programme international 5G Clean Network, porté par les États-Unis, qui vise à limiter la présence d’équipementiers chinois dans les cœurs de réseaux 5G ».
Bref, la situation est pour le moins floue, comme résumée par la Commission : certains États font part de préoccupations sur le plan de la sécurité nationale, « y compris des évaluations effectuées par les services de renseignement », d’autres « ont décidé d’appliquer des restrictions à certains fournisseurs de leurs réseaux 5G ou de les exclure de manière confidentielle ».
La Commission à d’autres arguments pour étayer ses craintes : « la probabilité d’ingérence d’un gouvernement d’un pays tiers sans contraintes juridiques ou judiciaires appropriées », « le niveau d’activités malveillantes frappant la cybersécurité des institutions de l’UE », les « risques de perturbations pouvant affecter la chaîne d’approvisionnement », « l’importante présence de ces fournisseurs dans les réseaux 5G de l’UE », etc.
Comme avec TikTok, les signaux convergent généralement tous vers la même conclusion : Huawei et ZTE représentent un danger pour la sécurité nationale. De son côté, Huawei a toujours farouchement réfuté être à la solde de Pékin et multiplie les opérations de séduction. À VivaTech par exemple, la société disposait d’un stand de 150 m² pour « célébrer les 20 ans de sa présence en France » et présenter ses dernières innovations… notamment en matière de 5G.
TikTok tricard à la Commission européenne, au gouvernement Canadien et dans les agences fédérales américaines
Source : nextinpact.com
