La 5G teste les limites de la cybersécurité en Suisse

La 5G teste les limites de la cybersécurité en Suisse

En février, le gouvernement suisse a attribué des fréquences de téléphonie mobile 5G à trois opérateurs de télécommunications : Salt, Sunrise et Swisscom.

(Keystone / Boris Roessler)

Alors que de plus en plus de gouvernements réfléchissent aux risques de travailler avec des fournisseurs étrangers de réseaux 5G, la Suisse est considérée comme l’un des premiers pays à adopter cette technologie. Les Suisses vont-ils prendre plus de mesures pour restreindre les fournisseurs étrangers comme Huawei dans la chaîne d’approvisionnement en 5G ou laisser le marché décider?

Dans un scénario catastrophe, un pirate attaque une antenne 5G, envoyant des signaux malveillants à des millions d’appareils connectés. Elle provoque un effondrement du système de transport et du réseau d’énergie et paralyse les villes. Cela se propage rapidement aux réseaux d’autres pays, provoquant une attaque à grande échelle sur l’Internet mondial.

Ce scénario montre qu’avec ses avantages, la 5G augmente aussi les risques de sécurité. L’évaluation de ces risques à l’échelle de l’UE publiée la semaine dernière Lien externea réitéré l’avertissement, indiquant que la dépendance des services critiques vis-à-vis des réseaux 5G signifie qu’une perturbation majeure est susceptible d’avoir des conséquences particulièrement graves.

«Tout changement technologique comporte des opportunités et des risques», déclare Florian Egloff, chercheur senior au Center for Security Studies de l’Ecole polytechnique fédérale de Zurich (EPFZ).

Etant donné qu’aucune entreprise suisse n’a les moyens de fournir l’infrastructure nécessaire à un réseau 5G, Florian Egloff estime que le pays doit s’en remettre à des fournisseurs étrangers.

L’affaire Huawei

Dans le cas de la 5G, le fournisseur étranger qui peut produire à large échelle et à des coûts compétitifs tous les éléments d’un réseau 5G se trouve être le géant chinois des télécommunications Huawei.

Cela a suscité des craintes d’espionnage informatique par le gouvernement chinois, qui ont entraîné des mesures allant de l’interdiction pure et simple par les États-Unis, l’Australie et la Nouvelle Zélande à des propositions de nouveaux protocoles de sécurité par l’Union européenne.

Mars dernier, des parlementaires suisses ont déposé une interpellationLien externe sur les risques liés à une collaboration avec Huawei. Dans sa réponse rendue en mai, le Conseil fédéral précise notament: «Dans le domaine des télécommunications la tendance en cours est une domination du marché mondial de la part des Etats-Unis et de la Chine. Dans plusieurs pays, y compris la Suisse, des discussions sont menées sur la possibilité de s’émanciper de la dépendance vis-à-vis de ces deux puissances technologiques.»

La 5G est la prochaine génération de technologie mobile sans fil, offrant des vitesses de données plus élevées, une latence plus faible (meilleure réactivité) et la possibilité de se connecter simultanément à plus d’appareils. La 5G devrait devenir ce que certains ont appelé le système nerveux numérique de la société au cœur de la 4e révolution industrielle. Les Etats-Unis et la Chine se battent pour en être le maître.

Cette technologie devrait contribuer à faire progresser la robotique et l’automatisation, la réalité virtuelle et augmentée, l’intelligence artificielle et l’apprentissage des machines — en connectant les dispositifs d’une manière jamais vue auparavant.

Fin de l’infobox

Pratiquement, la Suisse a déployé des centaines d’antennes 5G dans le pays, ce qui en fait l’un des pionniers mondiaux de la 5G. Les trois principaux opérateurs du pays — Salt, Sunrise et Swisscom — sont autorisés à couvrir le pays avec des antennes 5G et disposent tous d’équipements Huawei dans leurs réseaux fixe et mobile. Sunrise a également retenu les services de Huawei pour fournir la technologie du réseau 5G.

Le gouvernement affirme qu’il prend au sérieux les questions de sécurité. Mais il reconnaît aussi que ses mains sont quelque peu liées. Un porte-parole de l’Office de la communication (OFCOMLien externe) a déclaré à swissinfo.ch que «selon la base juridique existante, le gouvernement n’a pas la possibilité d’influencer le choix de fournisseurs d’équipements par les exploitants de réseaux».

Qui est responsable?

Alors, qui est responsable de garantir la sécurité de la technologie? Bien que la sécurité nationale relève de la compétence du gouvernement, la législation ne suit pas toujours l’évolution rapide de la technologie.

Par exemple, le projet de révision de la loi sur les télécommunications contient un article spécifique sur la sécurité de l’information qui oblige les entreprises à lutter contre toute manipulation non autorisée de leurs équipements de télécommunication. 

Mais, ni cette législation ni la dernière révision de la loi sur la protection des données ne font état de menaces potentielles découlant de contrats avec des fournisseurs étrangers de logiciels ou de matériel informatique. «La loi fédérale sur les télécommunications a été élaborée à un moment où la question des fournisseurs étrangers n’était pas à l’ordre du jour», explique Florian Roth, avocat spécialisé en droit des télécommunications chez Walder Wyss à Zurich.

Il existe bien un ensemble de lignes directrices en matière de sécurité. Mais elles sont non contraignantes et remontent à 2009. La stratégie révisée de la Suisse en matière de cybersécurité reste également assez vague, laissant aux acteurs privés le soin de mettre en place des mesures qu’elle ne précise pas, selon Florian Roth.

L’avocat note que cette approche est typiquement suisse. «C’est très pragmatique. Le régulateur délègue souvent aux acteurs du marché le soin de préciser quelles mesures sont adéquates.» La responsabilité d’assurer l’intégrité du réseau repose donc en grande partie sur les épaules des télécoms.

Or il n’existe actuellement aucune règle contraignante pour ces entreprises quand elles utilisent du matériel de fournisseurs étrangers. Ils n’ont pas non plus l’obligation légale de signaler une atteinte à la sécurité, à moins qu’elle n’entraîne des perturbations majeures du service ou du réseau. Cela pourrait changer avec la mise en œuvre de la loi révisée sur la protection des données, mais on ne sait pas quand elle entrera en vigueur.

Tant Swisscom que Sunrise ont déclaré à swissinfo.ch qu’elles procèdent à des évaluations des fournisseurs en matière de risques et qu’elles surveillent et signalent régulièrement les menaces au gouvernement. Sunrise a également indiqué que Huawei fournit et exploite les systèmes, mais que les données elles-mêmes restent chez Sunrise.

SwisscomLien externe, détenue majoritairement par l’Etat, a également déclaré avoir des clauses de sortie dans tous les contrats et avec tous les fournisseurs. Les collaborations sont également limitées dans le temps et font l’objet d’un nouvel appel d’offres après 5 à 10 ans.

L’entreprise publie aussi régulièrement un rapport sur la cybersécurité.

Le problème des «backdoors»

Cependant, certains experts en cybersécurité affirment que ces mesures pourraient ne pas être suffisantes. En question principalement, les backdoors, ces points d’accès cachés qui peuvent être exploités à distance pour prendre le contrôle d’un appareil.

Selon le rapport de l’UE, les réseaux 5G seront en grande partie basés sur des logiciels. D’importantes failles de sécurité pourraient donc permettre aux fournisseurs d’insérer plus facilement des portes dérobées dans des produits et les rendre plus difficiles à détecter.

Selon un addendum Lien externeà l’article sur la cybersécurité dans la loi sur les télécommunications, le gouvernement suisse ne demande pas aux fournisseurs de télécommunications de vérifier l’accès physique et les portes dérobées du matériel et des logiciels.

Un porte-parole de l’OFCOM déclare à swissinfo.ch que cela n’a pas été fait pour des raisons de faisabilité, car «souvent ce n’est pas possible pour les entreprises de télécommunication, car l’ordinateur du client se trouve chez lui ou ailleurs».

De son coté, Sunrise précise à swissinfo.ch que «depuis les premières allégations de politiciens américains contre Huawei, aucune irrégularité n’a jamais été détectée dans les équipements ou logiciels de Huawei, et aucune preuve concluante n’a été fournie à l’appui des allégations contre Huawei». L’entreprise n’a donc pas l’intention de changer de fournisseur.

Des mesures de précaution

La réalité de la dépendance à l’égard des fournisseurs étrangers pour l’infrastructure 5G a conduit certains pays à prendre des mesures de précaution. Le Royaume-Uni a appelé les opérateurs à travailler avec les fournisseurs sur les tests d’assurance et à renforcer les contrôles sur certains fournisseurs à haut risque. La France débat actuellement d’une proposition qui obligerait les opérateurs de télécommunications à demander l’autorisation formelle du Premier ministre pour leurs projets de réseaux 5G.

Certains opérateurs individuels se sont également montrés plus prudents lors de la signature de contrats avec Huawei. Le norvégien Telia vient d’annoncer qu’il a choisi Ericsson plutôt que Huawei pour son déploiement de la 5G. L’UE devrait également convenir de mesures d’atténuation des risques liés à la cybersécurité d’ici la fin de l’année.

De son coté, Huawei a déclaré à plusieurs reprises qu’il préférait fermer plutôt que d’espionner pour le gouvernement chinois, offrant des «accords de non-espionnage» à plusieurs gouvernements, le plus récemment la Pologne.

Voir venir

Pour l’instant, le gouvernement suisse semble attendre de voir d’abord ce qui se passe dans l’UE. L’organisme de réglementation doit également tenir compte de la protection de la vie privée et de la concurrence sur le marché lorsqu’il envisage des mesures plus contraignantes en matière de cybersécurité, selon Florian Roth. Il y a aussi la question des relations avec la Chine, l’un des partenaires commerciaux les plus importants de la Suisse.

Globalement, Florian Egloff de l’EPFZ estime que le gouvernement suisse prend ces questions au sérieux. 

Le dernier rapport sur la cybersécuritéLien externe de l’agence officielle MELANI, publié en avril, note qu’une discussion générale est en cours dans le pays sur la manière de se sortir de la dépendance vis-à-vis des deux géants technologiques que sont les Etats-Unis et la Chine. Berne a également annoncé la création d’un centre de compétences sur la cybersécuritéLien externe.

Mais les défis sont immenses tant d’un point de vue stratégique que technique. Une étudeLien externe du Center for Security Studies de l’EPFZ souligne le manque d’incitations pour les entreprises à s’engager dans les questions de sécurité nationale.

Selon Florian Egloff, la question est de savoir à partir de quel moment l’État doit mandater, investir ou aider les entreprises à protéger leurs infrastructures.

Traduction de l’anglais par Frédéric Burnand