[MàJ] Huawei et ZTE, une menace pour la sécurité nationale américaine

[MàJ] Huawei et ZTE, une menace pour la sécurité nationale américaine

Quel beau réseau

Avatar de l'auteur
Marc Rees

Publié dans

Internet

09/10/2012 4 minutes
65

[MàJ] Huawei et ZTE, une menace pour la sécurité nationale américaine

C’est le sénateur Bockel qui va se frotter les mains autour de son rapport sur la cyberdéfense. Dans un document en phase de finalisation, la Commission du renseignement du Congrès envisage d’asséner un gros coup de pied aux chinois Huawei et ZTE.

« Sur la base d'informations classifiées et non classifiées, indique le document dont a eu copie l’AFP, Huawei et ZTE ne peuvent pas garantir leur indépendance par rapport à l'influence d'un État étranger et cela pose donc en conséquence une menace pour la sécurité des États-Unis et notre système ». La question touche à la cybersécurité et aux faits d’espionnage. « La Chine a les moyens, l'occasion et les motivations pour utiliser les sociétés de télécoms à des fins malveillantes » indique encore cette commission du congrès qui recommande de « bloquer les acquisitions, les prises de participation et les fusions impliquant Huawei et ZTE compte-tenu de la menace qu'elles représentent pour les intérêts de la sécurité nationale des Etats-Unis. »

En juillet dernier, Jean-Marie Bockel, sénateur du Haut-Rhin, proposait dans son rapport d’interdire le déploiement et l’utilisation d’équipements de cœur de réseaux des Chinois Huawei et ZTE. Ils « présentent un risque pour la sécurité nationale » croit savoir le parlementaire qui prend appui sur des propos tenus par Huawei en Australie. Des représentants « auraient indiqué que, pour mieux assurer la sécurisation des flux de ses clients, Huawei « analysait » (grâce aux techniques dites de « deep packet inspection » ou DPI), l’ensemble des flux de communications (courriers électroniques, conversations téléphoniques, etc.) qui transitaient par ses équipements. » Dans le paragraphe en question, il n'est d'ailleurs nullement question de matériel américain.

Aux assises de la sécurité à Monaco, François Quentin président de Huawei France s'est abrité derrière le succès commercial de ce géant chinois, présent dans 140 pays. Un gage de confiance alors qu'en France, le matériel chinois est présent chez tous les opérateurs et possède France Télécom comme dixième compte mondial. L'entreprise a d'ailleurs engrangé 32 milliards de chiffre d’affaires l’an passé. « Il appartient au gouvernement de créer un climat de confiance, de transparence, de coopération et d'ouverture » recommandait-il ajoutant que « Huawei met tout sur la table vis-à-vis des instances gouvernementales ou des instances tierces pour obtenir les certifications dédiées comme nous l'avons fait en Grande-Bretagne ». Le numéro un de Huawei France a même tenu à affirmer ce curieux et solennel : « nous nous engageons à ne pas mettre de backdoor », tout en reprochant à Bockel de ne pas les avoir auditionnés avant de rédiger son rapport.

Dans une conférence de presse Bockel a expliqué avoir manqué de temps pour mener à bien cette audition... Dans la même foulée, il affirme avoir « passé des heures et des heures ensemble, presque ligne par ligne » avec l’Anssi sur son rapport insistant - pour ceux qui n’auraient pas compris - « il n’y a pas une virgule dans ce rapport qui n’ait pas été discutée avec l’Anssi. »

Aux mêmes assises, l’Anssi, par la voix de son directeur, Patrick Pailloux répondait à la problématique des routeurs chinois sous une forme interrogative : « quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ? C’est un problème d’analyse de risque. »

 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (65)


Parce qu’on doit avoir plus confiance en Apple ou Google?? Pour moi c’est même combat!




quand vous avez des systèmes essentiels, comment vous assurez que vos systèmes font exactement ce pour quoi ils sont faits et qu’ils fonctionnent correctement ?





On fait avec du libre ? (c’est pas suffisant, mais ça constitue souvent un bon point de départ)




La Chine a les moyens, l’occasion et les motivations pour utiliser les sociétés de télécoms à des fins malveillantes



Ha ?! Pas les américains ? ‘sont jaloux ? <img data-src=" />


Donc, ils vont privilégier du matos Cisco bien de chez eux… Fabriqué avec des composants importés de Chine <img data-src=" />








dimounet a écrit :



Parce qu’on doit avoir plus confiance en Apple ou Google?? Pour moi c’est même combat!





Ah mais c’est différent, ils sont à la botte des USA et donc ne sont pas une menace pour la sécurité nationale des USA. Seulement celle de tous les autres pays <img data-src=" />









FrenchPig a écrit :



Ha ?! Pas les américains ? ‘sont jaloux ? <img data-src=" />





Ce qui est malveillant aux yeux des uns est une nécessité stratégique aux yeux des autres <img data-src=" />









TBirdTheYuri a écrit :



Donc, ils vont privilégier du matos Cisco bien de chez eux… Fabriqué avec des composants importés de Chine <img data-src=" />









Et nous du ALCATEL je suppose…



Et après on nous traite de réac quand on évoque une once de théorie du complot.








coket a écrit :



Et nous du ALCATEL je suppose…



C’est pas chinois Alcatel maintenant ?<img data-src=" />









Arcy a écrit :



C’est pas chinois Alcatel maintenant ?<img data-src=" />







Alcatel-Lucent. Français.

http://fr.wikipedia.org/wiki/Alcatel-Lucent









coket a écrit :



Et nous du ALCATEL je suppose…





Nous on fait sur appels d’offres… Donc Cisco, Alcatel, Huawei, etc… Ca dépend du dossier.



Les gens, on parle de matériel réseau, on s’en fout de Google ou Apple.



Et que ce soit ZTE ou Cisco, du matériel avec du soft proprio ça change rien au fond du problème : une entreprise peut avoir la main sur VOTRE infra et vous n’y pouvez pas grand chose.



Ici on choisi juste à quelle sauce on souhaite être mangé, c’est tout.








kane13 a écrit :



Les gens, on parle de matériel réseau, on s’en fout de Google ou Apple.



Et que ce soit ZTE ou Cisco, du matériel avec du soft proprio ça change rien au fond du problème : une entreprise peut avoir la main sur VOTRE infra et vous n’y pouvez pas grand chose.



Ici on choisi juste à quelle sauce on souhaite être mangé, c’est tout.





donc plutôt aigre-douce ou barbecue dans les exemples cités ci-dessus, alors qu’on aurait tant à gagner à avoir aussi la béarnaise <img data-src=" />









TBirdTheYuri a écrit :



Nous on fait sur appels d’offres… Donc Cisco, Alcatel, Huawei, etc… Ca dépend du dossier. de ce que offrent les commerciaux





<img data-src=" />



Si tout ces routeurs étaient vérolé, une petite distro BSD avec Iptables, netstats etc en avant de ces routeurs nous donnerais forcément quelques résultats probant sur ces backdoors non? C’est vérifiable facilement ce genre de truque…








kane13 a écrit :



[…] du matériel avec du soft proprio […]





Exactement, voilà le vrai problème quel que soit la nationalité du fabricant.



Mangez du Checkpoint, ça risque rien l’Israélien, non ? <img data-src=" />


Dans les années 1920, on n’oublie trop souvent que c’est ITT (sté américaine) qui a dessiné et construit principalement le réseau soviétique de communication et qu’elle l’a géré jusqu’en 1950……..

De même c’est ITT qui a construit le réseau chilien qui espionnait les civils et les administrations chiliennes dans les années 1970 et qu’ITT a participé au coup d’état de Pinochet grâce à ses liens avec la CIA et a ainsi pu conserver son réseau au Chili…….



Oui il y a une menace sur les télécoms filaires, hertzien et satellitaires, il suffit de savoir qui tiens dans sa main le bouton “décrocher” ou “éteindre”.



C’est pour cela qu’un réseau de télécom, comme celui de l’énergie et de la communication font partie des domaines stratégiques. Les militaires l’ont compris mais pas encore les civils de tous les pays.

<img data-src=" /><img data-src=" />


En France comme aux States, on préfère le “made in China” que le “developped in China” <img data-src=" />



Ah, on me dit que ça pourrait être une timide tentative de mesure protectionniste, mais que ça ne doit pas être considérées comme tel, sinon Bruxelles va nous tomber dessus <img data-src=" />


De toute façon, du moment que le logiciel est créé spécialement pour le matériel, qu’il soit libre ou non ne change rien au niveau sécuritaire…



Les chinois font du libre, et les américains aussi…



J’ai raté une marche???








okeN a écrit :



Ah mais c’est différent, ils sont à la botte des USA et donc ne sont pas une menace pour la sécurité nationale des USA. Seulement celle de tous les autres pays <img data-src=" />









Donc on n’a rien à craindre parce que les américains ne nous feront jamais du tord…<img data-src=" />









TheFelin a écrit :



Si tout ces routeurs étaient vérolé, une petite distro BSD avec Iptables, netstats etc en avant de ces routeurs nous donnerais forcément quelques résultats probant sur ces backdoors non? C’est vérifiable facilement ce genre de truque…





Bof, il a bien été dit a un moment que le noyau linux avait été conçu avec des backdoor pour le FBI… Sauf qu’ils ont jamais réussi à le prouver (ni a le démentir d’ailleurs)









Spidard a écrit :



Bof, il a bien été dit a un moment que le noyau linux avait été conçu avec des backdoor pour le FBI… Sauf qu’ils ont jamais réussi à le prouver (ni a le démentir d’ailleurs)





A la grande différente que là tu peux vérifier, puisque les sources du kernel son non seulement disponible mais rien ne t’empêche en plus de les compiler et de les installer toi même… la différence est énorme!!!



Ils peuvent critiquer ZTE et Huawei autant qu’ils veulent en attendant ils ne nous ont jamais imposés ça eux !



https://linuxfr.org/news/nuageuse-mise-a-jour-des-routeurs-cisco-et-premiers-gro…








Spidard a écrit :



Bof, il a bien été dit a un moment que le noyau linux avait été conçu avec des backdoor pour le FBI… Sauf qu’ils ont jamais réussi à le prouver (ni a le démentir d’ailleurs)





C’est pas BSD justement ? <img data-src=" />



Oui, mais une entreprise va t elle juste 1) chopper une distrib, l’installer et la configurer, ou 2) chopper ses sources, la compiler et la configurer ? Dans la majorité des cas, ça sera le 1) : aucun contrôle malgré tout.

Maintenant, comme tu disais, si backdoor il y a, une inspection profonde des paquets (<img data-src=" />) révèlera sans doute des requêtes louches.







Sebdraluorg a écrit :



C’est pas BSD justement ? <img data-src=" />





indeed <img data-src=" /> ma mémoire a failli <img data-src=" />









Spidard a écrit :



Oui, mais une entreprise va t elle juste 1) chopper une distrib, l’installer et la configurer, ou 2) chopper ses sources, la compiler et la configurer ? Dans la majorité des cas, ça sera le 1) : aucun contrôle malgré tout.

Maintenant, comme tu disais, si backdoor il y a, une inspection profonde des paquets (<img data-src=" />) révèlera sans doute des requêtes louches.



indeed <img data-src=" /> ma mémoire a failli <img data-src=" />





Tout dépend de l’entreprise, si tu as des données hyper sensible, il faut définir un bon cahier des charges quitte à passer les sources du kernel par une equipe d’ingé, la compiler et l’installer… Tout à prix et surtout la sécu









Spidard a écrit :



Bof, il a bien été dit a un moment que le noyau linux avait été conçu avec des backdoor pour le FBI… Sauf qu’ils ont jamais réussi à le prouver (ni a le démentir d’ailleurs)





C’était pas Linux, c’était OpenBSD.









TheFelin a écrit :



Tout dépend de l’entreprise, si tu as des données hyper sensible, il faut définir un bon cahier des charges quitte à passer les sources du kernel par une equipe d’ingé, la compiler et l’installer… Tout à prix et surtout la sécu





Oui toutafé d’accord, mais en pratique, a part les sous traitants de l’armée (et encore), en entreprise c’est souvent du 8020 <img data-src=" /> Sony en sait quelques chose. Où ils ont pas considéré les N° de CB de leurs clients comme données sensible et à protéger…









TheFelin a écrit :



Tout dépend de l’entreprise, si tu as des données hyper sensible, il faut définir un bon cahier des charges quitte à passer les sources du kernel par une equipe d’ingé, la compiler et l’installer… Tout à prix et surtout la sécu





Bah ça ne change rien, tu ne vas pas demander à tes ingés de réexaminer tout le code du kernel, et quand bien même il le ferait, il n’est pas possible d’avoir une analyse déterministe d’un code en le lisant…

Donc, soit tu fais ton kernel toi même, soit tu n’as aucune garantie…



les États Unis d’Amérique, une menace pour la sécurité mondiale








Neeko a écrit :



Mangez du Checkpoint, ça risque rien l’Israélien, non ? <img data-src=" />







leMOSSAD ça te parle ? <img data-src=" />









dimounet a écrit :



Donc on n’a rien à craindre parce que les américains ne nous feront jamais du tord…<img data-src=" />







Je ne pense pas qu’il ait dit ça… <img data-src=" />









deepinpact a écrit :



Je ne pense pas qu’il ait dit ça… <img data-src=" />







Je rigole…<img data-src=" />



Retournons la problématique.

CISCO, une menace pour la sécurité européenne ? C’est tout de suite beaucoup moins drôle…








Superambre a écrit :



leMOSSAD ça te parle ? <img data-src=" />







Tu parles de la météo? <img data-src=" />



Plus serieusement la chine qui s’équipe en cisco etc, n’a jamais fais un tel scandale…









Sebdraluorg a écrit :



Bah ça ne change rien, tu ne vas pas demander à tes ingés de réexaminer tout le code du kernel, et quand bien même il le ferait, il n’est pas possible d’avoir une analyse déterministe d’un code en le lisant…

Donc, soit tu fais ton kernel toi même, soit tu n’as aucune garantie…





N’importe quoi, réfléchi un peu, il est bien plus simple de faire un audite du code que de récrire un kernel…









GentooUser a écrit :



Ils peuvent critiquer ZTE et Huawei autant qu’ils veulent en attendant ils ne nous ont jamais imposés ça eux !



https://linuxfr.org/news/nuageuse-mise-a-jour-des-routeurs-cisco-et-premiers-gro…







Non, mais :





ZTE confirme la présence d’une backdoor sur un de ses smartphones Android





source





Un backdoor chinois découvert sur une puce électronique utilisée par l’armée US





Source



Donc, on peut avoir un doute raisonnable envers la chine. Il y a surement d’autres cas.



Ils ont tous un backdoor, suffit de voir si on préfère le backdoor de l’un ou de l’autre








TheFelin a écrit :



N’importe quoi, réfléchi un peu, il est bien plus simple de faire un audite du code que de récrire un kernel…





Ah bon ? Il est pourtant jugé impossible de déterminer un code par sa seule lecture d’après beaucoup de spécialistes !

Un audit de code, euh, si tu fais un vrai audit déterministe tu as recodé le kernel dans le même temps ! <img data-src=" />

Vérifier et tester le résultat de chaque fonctions et ce dans tous les cas possibles ne se fait pas aussi facilement, et de plus une backdoor pourrai-etre ‘construite’ via l’appel de plusieurs fonctions, ou grace à un état particulier, tu imagines le taff pour éliminer toutes ces éventualités ?

C’est déjà pas évident de trouver des failles, mais si en plus elles sont subtilement cachées…









metaphore54 a écrit :





Donc, on peut avoir un doute raisonnable envers la chine. Il y a surement d’autres cas.







Le soucis majeur, et cela on ne le saura jamais, c’est :

Est-ce que les autorités chinoises demandent à/font pression sur leurs équipementiers nationaux pour “laisser trainer” des debug backdoors éventuellement exploitables par la suite… <img data-src=" />









domFreedom a écrit :



Le soucis majeur, et cela on ne le saura jamais, c’est :

Est-ce que les autorités chinoises demandent à/font pression sur leurs équipementiers nationaux pour “laisser trainer” des debug backdoors éventuellement exploitables par la suite… <img data-src=" />







De toute façon avec tout ce qui est stratégique il faudrait du made in France ou Europe au pire obligatoire.



C’est tout le sens des déclarations de Bockel et de l’Anssi CQFD.



Si ça peut mettre la pression sur les équipementiers chinois et/ou leurs dirigeants politiques sur les bonnes pratiques de conception des éléments de cœur de réseau, alors pourquoi pas… <img data-src=" />



Wait and see…








metaphore54 a écrit :



De toute façon avec tout ce qui est stratégique il faudrait du made in France ou Europe au pire obligatoire.





Ah bin clairement, les structures de l’Etat devraient être sur des plate-forme développée par ce dernier !

C’est une honte de n’avoir même pas ça au niveau Européen, mais bon, l’Europe et l’informatique…









domFreedom a écrit :



C’est tout le sens des déclarations de Bockel et de l’Anssi CQFD.



Si ça peut mettre la pression sur les équipementiers chinois et/ou leurs dirigeants politiques sur les bonnes pratiques de conception des éléments de cœur de réseau, alors pourquoi pas… <img data-src=" />



Wait and see…







Peut etre mais faudra du temps pour le juger.



Sebdraluorg a écrit :



Ah bin clairement, les structures de l’Etat devraient être sur des plate-forme développée par ce dernier !

C’est une honte de n’avoir même pas ça au niveau Européen, mais bon, l’Europe et l’informatique…







Pour l’instant on s’entend bien, mais rien ne dit que ça va durer. Vaut mieux privilégier le made in France, au moins en attendant que l’Europe soit devenu comme les états unis.





Huawei et ZTE, une menace pour la sécurité nationale américaine



Cisco, une menace pour la sécurité des nations non étasuniennes. <img data-src=" />








canard_jaune a écrit :



Cisco, une menace pour la sécurité des nations non étasuniennes. <img data-src=" />







En quoi ?



EDIT : J’avais lu ta question de travers (j’ai vu “Et quoi”)







metaphore54 a écrit :



En quoi ?





Quitte à faire des procès d’intentions aux gouvernements, autant tous les dénoncer. <img data-src=" />



La Chine a les moyens, l’occasion et les motivations pour utiliser les sociétés de télécoms à des fins malveillantes





Sinon, un routeur made in France ça garantis pas grand chose <img data-src=" /> :




  • corruption des responsables de la boite par un État étranger,

  • infiltration d’agents étranger dans l’équipe de dev,

  • ou plus plausible, corruption des sous traitants Indiens (payés au lance pierre) pour qu’ils truffent le code des firmwares de portes dérobées.



    Pour être sûr de la fiabilité d’un routeur d’où qu’il vienne, faudra payer des experts pour qu’ils le testent (avec les codes sources ci-possible), ou bien que la DCRI elle-même participe au développement. <img data-src=" />









metaphore54 a écrit :



En quoi ?





&gt;&gt;&gt; Désolé pour le post HS plus haut <img data-src=" />



Les USA en vertu du Patriot Act “Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme” peuvent à tout moment demander à un constructeurs vendant des routeurs sur le sol Américain (genre CISCO) d’installer une backdoor pour les services de renseignement étasuniens <img data-src=" />.

Cette backdoor constituant alors un “outils approprié pour déceler et contrer le terrorisme”.



Je ne sais pas si la loi Chinoise est aussi favorable à l’espionnage anti-terroriste, mais je trouve que les États Unis sont mal placé pour critiquer le pouvoir des gouvernements sur les constructeurs de routeurs.









metaphore54 a écrit :



Non, mais :



source



Source



Donc, on peut avoir un doute raisonnable envers la chine. Il y a surement d’autres cas.







Les cas cités par les sources n’ont rien de spécifiques à la chine.

Les outils «qui arrangent bien le développeur qui veut débugger, on les enlévera dans le produit final, promis chef» qui restent en place ad-vitam, c’est malheureusement une pratique courante.



Pas pour rien que les distributeurs de video ne passent de contrat qu’avec des gens qui font des box où le JTAG n’est pas présent.









levhieu a écrit :



Les cas cités par les sources n’ont rien de spécifiques à la chine.

Les outils «qui arrangent bien le développeur qui veut débugger, on les enlévera dans le produit final, promis chef» qui restent en place ad-vitam, c’est malheureusement une pratique courante.



Pas pour rien que les distributeurs de video ne passent de contrat qu’avec des gens qui font des box où le JTAG n’est pas présent.







Je ne sais pas, je n’y connais pas grand chose mais à lire , il n’y pas trop de doutes à avoir, même si je préfère rester au doute raisonnable.



Je ne sais pas si les opérateur Telecom on déjà changé pour du matos chinois, mais le nombre de ligne internet qui ne sont plus parfaitement transparente a augmenté de manière exponentielle depuis cet été.








CR_B7 a écrit :



Je ne sais pas si les opérateur Telecom on déjà changé pour du matos chinois, mais le nombre de ligne internet qui ne sont plus parfaitement transparente a augmenté de manière exponentielle depuis cet été.







Tu veux dire quoi par une ligne internet plus parfaitement transparente ?









TheFelin a écrit :



Si tout ces routeurs étaient vérolé, une petite distro BSD avec Iptables, netstats etc en avant de ces routeurs nous donnerais forcément quelques résultats probant sur ces backdoors non? C’est vérifiable facilement ce genre de truque…







Sauf quand c’est dans le matériel même l’espion se trouve…

Y a déjà eu le cas avec des cartes réseaux dont le firmeware avait été modifié…

Tu pourra mettre ce que tu veux dessus, si la carte cache des infos à l’OS, ben tu l’a dans l’os…









TheFelin a écrit :



A la grande différente que là tu peux vérifier, puisque les sources du kernel son non seulement disponible mais rien ne t’empêche en plus de les compiler et de les installer toi même… la différence est énorme!!!







Sacré blagueur…

T’as sans doute le niveau et rien d’autre à foutre que de trouver un bug bien planqué (style interaction très particulière pour profiter d’un “bug”)… et en plus tu recommences a chaque mise a jour du kernel <img data-src=" />

L’argument du code libre c’est bien, mais en pratique, c’est bien autre chose…









damaki a écrit :



Retournons la problématique.

CISCO, une menace pour la sécurité européenne ? C’est tout de suite beaucoup moins drôle…







Non, pas besoin de ça, l’europe est tellement à quatre patte devant les USA qu’on donne tout seul les infos au ricain, genre les données bancaire en temps réel par les accord swift…









metaphore54 a écrit :



Donc, on peut avoir un doute raisonnable envers la chine. Il y a surement d’autres cas.





Les champions du domaine sont clairement les USA…









metaphore54 a écrit :



En quoi ?







Ça manque de smiley ou alors t’es pas bien réveillé…

Les USA utilisent toutes les boites possibles et imaginable pour espionner ennemis comme “amis”… alors quand t’as une boite comme cisco sous la main… no comment…



ouops








TBirdTheYuri a écrit :



Donc, ils vont privilégier du matos Cisco bien de chez eux… Fabriqué avec des composants importés de Chine <img data-src=" />







Pas seulement les composants, carrément les équipement sont made in China !



<img data-src=" />









brazomyna a écrit :



On fait avec du libre ? (c’est pas suffisant, mais ça constitue souvent un bon point de départ)







OpenBSD, FBI, etc…









LoninoL a écrit :



Tu veux dire quoi par une ligne internet plus parfaitement transparente ?







Qui n’oublie pas des paquets dans certaines circonstance.

Ça fait 10ans que j’utilise le net sur 1 mois j’ai vu 3 lignes qui perdaient des bout de communications SMTP ou des bout de communications VPN.



Et si la France achète uniquement des produits équivalents américains, ça ne les dérangera pas s’il y a des backdoor contrôlées par des agences américaines ?








CR_B7 a écrit :



Qui n’oublie pas des paquets dans certaines circonstance.

Ça fait 10ans que j’utilise le net sur 1 mois j’ai vu 3 lignes qui perdaient des bout de communications SMTP ou des bout de communications VPN.





Perdre des bouts de connexion TCP sur le protocole SMTP ?









KiaN a écrit :



Perdre des bouts de connexion TCP sur le protocole SMTP ?





Oui, l’entête arrive, et le reste se perd dans l’espace