11/10/2012

Les parlementaires américains contre les puces chinoises


Le comité délégué au renseignement de la chambre des représentants vient de conclure son enquête parlementaire de près d'un an par une mise en garde aux acteurs économiques américains contre les produits des fabricants ZTE et Huawei. Cet avertissement liminaire semble toutefois receler de nombreux enjeux.


Le House Permanent Select Committee on Intelligence (HPSCI) a rendu son rapport final concernant l'enquête débutée en novembre 2011 sur les questions de sécurité nationale liées aux compagnies de télécommunications chinoises Huawei et ZTE. Au cours de cette enquête de 11 mois, les membres du comité se sont rendus aux sièges des deux compagnies à Shenzhen, ont auditionné les représentants américains de ZTE et Huawei et ont consulté plusieurs experts en télécommunications. Les conclusions du rapport apparaissent particulièrement sévères puisque le comité recommande que tous les systèmes d'information du gouvernement américains soient désormais dépourvus de tous matériels ou composants produits tant par ZTE que par Huawei. Le comité a également demandé au CFIUS (Committee on Foreign Investment in the United States) de bloquer toute acquisition ou fusion qui concernerait ces compagnies chinoises. Le HPSCI met également en garde le secteur privé en appelant à la plus grande prudence dans les contrats signés avec Huawei et ZTE. Enfin, le rapport affirme que les mesures prises par les deux fabricants pour faire certifier leurs produits par des organismes extérieurs (à l'image de la certification des produits Huawei par le canadien EWA) sont insuffisantes pour garantir leur usage dans des infrastructures critiques. Il est toutefois notable que ces conclusions ne sont pas appuyées dans le rapport par des éléments techniques détaillés pour caractériser la nature de la menace qui résiderait dans les produits de ces fabricants chinois.

Pour mieux comprendre les conclusions du rapport, il faut replacer celui-ci dans une série d'autres travaux parlementaires qui expriment depuis plusieurs années des craintes sur la menace de la Chine comme puissance cybernétique et des soupçons plus particuliers sur les fournisseurs Huawei et ZTE. À plusieurs reprises, des liens étroits entre les fabricants et le gouvernement chinois ont été pointés par des commissions américaines, soulignant que Huawei a été fondé en 1988 par Ren Zhengfei, un ancien officier de l'armée chinoise (PLA) et compte aujourd'hui dans son conseil d'administration Sun Yafang, qui serait une ancienne employée du MSS, le service chinois du renseignement intérieur. D'autre part, l'armée chinoise serait le principal financeur de la recherche du groupe Huawei, à hauteur de 44% de son budget de R&D au début des années 2000.

Si une telle proximité avec le gouvernement chinois peut éveiller des soupçons sur ces fabricants, ce sont des aspects techniques qui préoccupent le plus les commissions, même si leurs rapports évitent le plus souvent de citer spécifiquement leur nature. Des backdoors, directement implantées dans des circuits intégrés ou dans des firmwares par des fabricants indélicats, constituent le risque principal étudié par les parlementaires. La volonté de se prémunir contre un tel risque a déjà fait l'objet de décisions discrètes aux Etats-Unis: au cours de l'année 2012, le département de l'énergie (DOE) a procédé, sur recommandation des services de contre-espionnage, à une inspection de ses systèmes d'information à la recherche d'équipements produits par ZTE ou Huawei, en particulier dans ses installations dédiées aux programmes nucléaires militaires.

Les réponses concises de James Clapper au sénat américain.
La communauté du renseignement (IC), a probablement procédé à des inspections du même ordre sur ses systèmes d'information, un point sur lequel une commission du sénat américain a interrogé le DNI James Clapper dès mars 2011. Les réponses du directeur national du renseignement sur les mesures de contrôle mises en œuvre ont été consciencieusement censurées...

Le gouvernement américain ayant ordonné des mesures préventives pour protéger ses systèmes les plus sensibles contre des composants potentiellement dangereux produits par ZTE ou Huawei, on pourrait s'attendre à ce que les commissions parlementaires présentent des détails techniques sur les risques auxquels s'exposeraient les utilisateurs, mais leurs différents rapports restent assez flous en la matière. Le HPSCI en particulier, fait référence à des "rapports d'incidents" et des parlementaires affirment avoir connaissance de "cas de backdoors" sans les détailler. Pourtant, le gouvernement américain ne manque pas d'organismes capables d'examiner des systèmes d'information à la recherche d'anomalies, en particulier dans la communauté du renseignement, où la NSA et la DIA disposent de services très compétents. Les forces armées ont elles aussi des laboratoires spécialisés en guerre électronique et en analyse des systèmes, notamment pour étudier les matériels ennemis capturés (CEM). Les différentes commissions ne font toutefois pas référence à des travaux de ces services experts pour étayer leurs mises en garde. À la possible volonté du gouvernement américain de classifier des failles de sécurité qui auraient pu être découvertes sur des matériels chinois utilisés dans des systèmes d'information sensibles, s'ajoute la réelle difficulté technique de détecter des backdoors ou des trojans hardware. Ces écueils ont été illustrés par des études du département australien de la Défense, moins dogmatique que son homologue américain en matière de classification.

Dans le domaine de la sécurité des télécommunications, le gouvernement américain est doté d'un organe de contrôle assez singulier qui réunit des experts du DHS, du FBI et du Pentagone, au sein d'un groupe baptisé Team Telecom, rattaché à la FCC et dont les avis semblent avoir valeur de décision. La Team Telecom est sollicitée lorsqu'une entreprise étrangère répond à un appel d'offre concernant des installations télécom jugées sensibles et émet des recommandations qui apparaissent particulièrement persuasives. Bien que les travaux de Team Telecom soient largement classifiés, il semble que le groupe garde un œil depuis plusieurs années sur Huawei notamment lors de la tentative d'achat de 3Com par Bain Capital avec une participation financière de Huawei et au moment de la construction d'un câble sous-marin transatlantique avec Hibernia Atlantic. Plus récemment, Team Telecom aurait rendu un avis contre la participation d'Huawei aux appels d'offre d'AT&T et Sprint pour la construction de leurs réseaux 4G.

Une lecture attentive de l'abondante littérature sur la Chine qui émane de la communauté du renseignement et du Pentagone peut apporter d'autres pistes de réflexion sur les causes de la défiance du gouvernement américain envers ZTE et Huawei. La figure d'une Chine dépeinte comme une cyber-puissance agressive devient récurrente et la volonté répétée de ces deux compagnies chinoises de nouer des alliances industrielles avec des entreprises américaines (Symantec, Cisco...) suscite la crainte qu'elles ne deviennent des véhicules pour le transfert de technologies avancées vers la Chine et la PLA. Les contrats sulfureux de ZTE et Huawei en Libye et en Iran étendent le champ des suspicions, et les déclarations douteuses de responsables commerciaux d'Huawei à Dubai sur un recours systématique au DPI (Deep Packet Inspection), n'arrangent rien.

Alors que le rapport du HPSCI semble vouloir fermer les portes du marché américain à Huawei et ZTE, la situation en Europe se dégrade également, après la publication du rapport Bockel en France. Au Royaume-Uni, Huawei tente de redorer son blason, grâce à une procédure de "mitigation" du risque et aurait mis en place une équipe chargée de contrôler toutes les technologies importées de Chine pour British Telecom, en étroite coopération avec le GCHQ. Ces informations n'ont toutefois pas été confirmées depuis le Doughnut...

Towards Countering the Rise of the Silicon Trojan (M.S. Anderson, C.J.G. North, K.K. Yiu)

MàJ 18/10 : Une enquête menée par la Maison Blanche en collaboration avec les services de renseignement n'a pas pu démontrer que les failles de sécurité découvertes dans ses matériels avaient été placées délibérément. (Reuters)

2 commentaires:

  1. L'existence et l'exploitation de backdoors via les technologies Huawei/ZTE relève d'un risque technosécuritaire réel ou d'un prétexte protectionniste? Dès lors, pourquoi ne appliquer la même suspicion à ces très nombreuses technologies "online/on air" dont la fabrication est externalisée en Chine?

    RépondreSupprimer
    Réponses
    1. Le HPSCI n'a pas expliqué précisément quelle était la nature ou le niveau du risque posé les éventuelles backdoors de Huawei/ZTE, tout en se défendant de faire du "China-bashing" primaire pour assurer un protectionnisme industriel. De même pas d'arguments précis pour circonscrire cette suspicion uniquement à ces deux entreprises...
      Je n'ai pas développé ce point, mais l'idée de produire de l'électronique "All-American" revient régulièrement depuis les années 90 dans l'industrie de défense US. Comme tu le soulignes, il sera difficile pour eux de se passer de leurs fournisseurs chinois, notamment sur de petits composants qui ne sont plus produits que là-bas. Produire ces composants à faible valeur ajoutée aux USA (ou dans des usines certifiées), sous prétexte de "sécurité nationale" pourrait bien saler la note pour le Pentagone et les autres agences, tout en assurant un marché captif à une poignée d'industriels.

      Supprimer