À Bruxelles, Huawei mise sur la transparence totale
Sévèrement impacté par le boycott américain, le constructeur chinois invite toutes les entreprises européennes à venir le voir pour décortiquer la fiabilité de ses codes sources.
Opération déminage. Alors que Huawei paie toujours le prix fort des sanctions américaines lancées contre lui depuis 2019 – son CA mondial a diminué d’un tiers entre 2020 et 2021 – l’équipementier chinois se démène pour montrer patte blanche en Europe. À Bruxelles, il vient ainsi d’inviter la presse informatique française à visiter le CSTC, son « centre de transparence en cybersécurité ». Depuis deux ans et demi, ce lieu aurait accueilli plus de 2 500 experts, mandatés par leur entreprise, par un opérateur, ou par des pouvoirs publics, pour inspecter le code qui anime les produits d’infrastructure Huawei.
« Tout le catalogue de Huawei peut-être inspecté : nos équipements réseau, télécoms, mais aussi nos serveurs, nos baies de stockage, nos smartphones… Nous avons un laboratoire Black Box qui soulève le capot et explique exactement comment fonctionne un produit. Et un laboratoire White Box où nos visiteurs peuvent décortiquer ligne par ligne le code source des logiciels intégrés à ce produit », présente Yoann Klein, le consultant cybersécurité de Huawei en charge du centre.
Il joue cartes sur table. « Les personnes qui viennent dans ce centre ont des interrogations sur nos produits et elles souhaitent les lever. Et, oui, disons-le, elles viennent parfois parce qu’elles n’ont pas confiance dans la marque Huawei… Elles veulent comprendre comment nous développons nos produits », dit-il. Il fait référence à demi-mot aux rumeurs américaines évoquant il y a trois ans une hypothétique porte dérobée qui mènerait jusqu’à Pékin. À date, personne n’est parvenu à prouver l’existence d’un tel dispositif d’espionnage dans les produits de Huawei.
« Nous sommes les seuls qui avons besoin de démontrer notre bonne foi. Ce n’est pas une position facile, mais nous mettons absolument tout en œuvre pour prouver que nous sommes dignes de confiance. Aucune autre marque n’est aussi transparente sur ses produits que Huawei. »
Prouver sa bonne foi
En l’occurrence, les visiteurs accèdent aux codes sources depuis des terminaux légers, dépourvus de capacité de stockage. Dans la majorité des cas, les systèmes qui motorisent les équipements Huawei ne sont pas Open Source et il n’est pas question de laisser repartir quelqu’un avec de la propriété intellectuelle sur clé USB.
D’ailleurs, les codes sources ne sont même pas physiquement stockés à Bruxelles. Les terminaux légers affichent des listings dont l’image est diffusée depuis des datacenters situés en Chine. Et, ce, via toute une succession de firewalls qui chiffrent l’information tout au long du parcours.
Il n’empêche, la méthode semble satisfaire. Des organismes se sont succédé pour vérifier in situ que Huawei remplissait effectivement les conditions de sécurité dont il se targue. Le cabinet de conseil en cybersécurité finlandais Nixu est venu évaluer les stations de base 4G en 2019, le prestataire de sécurité informatique allemand ERNW s’est invité pour décortiquer en 2020 le code des équipements 5G.
À chaque fois, le compte-rendu serait enthousiaste. Selon les témoignages partagés par Huawei, les experts externes auraient systématiquement conclu que le code était propre, sans zones d’ombres, dépourvu de fonctions notoirement risquées. Ils auraient aussi vérifié que les binaires étaient compilés avec des options de sécurité avancées, qui empêchent tout détournement des instructions. L’état de l’art, en somme.
Yoann Klein exhibe une longue liste de certifications accordées par les plus grands cabinets d’audit : Thalès (sécurité globale du code), PCI (sécurité du code lié aux transactions financières), EuroPriSE (sécurité des données), le consortium GSMA (sécurité des télécommunications).
Yoann KleinConsultant cybersécurité de Huawei en charge du centre de transparence en cybersécurité
Dans le lot, on constate que l’ANSSI, l’autorité française en matière de sécurité informatique, a validé trois produits. Les routeurs réseau AR6120 pour datacenters, le système d’exploitation pour équipements embarqués RTOS. Et le processeur Kirin 380, mis au point par la filiale HiSilicon, qui constitue le cœur des produits télécoms de Huawei.
Concernant les entreprises qui achètent elles-mêmes des produits Huawei, si tous les profils sont bienvenus, Yoann Klein constate que, à date, seuls les opérateurs télécoms sont venus pour étudier des codes sources.
« Ce n’est guère étonnant. Il faut avoir une certaine expertise pour mener une telle investigation sur du code source. Une entreprise classique ne sait généralement pas aller aussi loin dans les couches basses d’un produit d’infrastructure. Par ailleurs, décortiquer le firmware d’un serveur ou d’une baie de stockage ne présente pas assez d’enjeux pour qu’une entreprise investisse dans la délégation d’un expert », dit-il.
« En revanche, cette investigation est critique pour un opérateur télécom, car il doit déployer nos produits à très grande échelle, la plupart du temps dans plusieurs pays, en respectant des réglementations. L’équation économique n’est pas la même. »
Un laboratoire pour hacker les produits avant leur sortie
Faire preuve de transparence est une chose. Mais en exposant ainsi ses codes sources, Huawei sait qu’il court le risque que ses visiteurs découvrent bel et bien un défaut de conception quelque part, une faille de sécurité. Et, si c’était le cas, les conséquences pourraient être désastreuses dans le contexte des rumeurs entretenues outre-Atlantique.
Pour parer à ce risque, le constructeur chinois a mis en place une cellule, l’ICSL, son « Laboratoire de Cybersécurité Indépendant », qui a pour mission de hacker tous les produits en cours de développement chez Huawei et qui jouit du pouvoir exclusif d’interdire la mise sur le marché d’une solution si une faille y est découverte.
« Notre travail consiste à garantir que Huawei ne mettra sur le marché que des produits fiables », explique Nathan Wang, l’un des ingénieurs de l’ICSL.
Nathan WangIngénieur ICSL
« Nous sommes totalement indépendants des unités commerciales et de R&D. Pendant qu’ils développent un produit, nous validons ses cas d’usage du point de vue des utilisateurs, en appliquant les bonnes pratiques de chaque secteur, en vérifiant que les normes de sécurité sont prises en compte dès l’établissement des spécifications. Lorsqu’ils testent leur code, nous menons des tests parallèles, avec nos propres critères. À tout moment, si nous trouvons un problème, nous pouvons ordonner à la R&D de revenir en arrière. »
« Même lorsque le produit sort in fine de l’usine, nous passons encore deux à trois mois à réviser son code, à lui faire subir une batterie d’attaques, à tester la protection des informations privées qu’il manipule. Nous avons un droit de veto, aucun produit n’est mis sur le marché sans notre aval. »
Un avenir incertain
Reste à savoir si tous ces efforts seront payants. Dans le grand public, les accusations américaines ont contraint Huawei à stopper la commercialisation de sa gamme de smartphones Honor, basés sur le système Android qu’il n’a plus le droit d’utiliser. À la place, le constructeur chinois a développé un OS alternatif, HarmonyOS, qu’il espère imposer en Europe cette année.
Mais le géant chinois – ex-numéro 1 des vendeurs de smartphones dans le monde, en 2020, devenu 6e en 2021 – compte aller au-delà des mobiles pour retrouver sa gloire passée. Son nouvel objectif est le marché des objets connectés, motorisés avec ses processeurs Kirin (des ARM) et son système RTOS, tous deux validés par l’ANSSI (plus exactement par Thalès, pour le compte de l’ANSSI). Parmi ses premières avancées, Huawei équipe à présent les SUV hybrides AITO M5, du constructeur automobile chinois Guangzhou Automobile.
Dans le secteur des télécoms, la situation n’est pas très claire. En Europe, seules les autorités britanniques ont consenti à suivre les appels à l’interdiction lancés par Washington. Pour autant, un boycott tacite des équipements Huawei a tout de même eu lieu en 2020 de la part des opérateurs (dont les « Big 5 » : Deutsche Telekom, Orange, Telecom Italia, Telefonica et Vodafone) au profit des équipementiers locaux Ericsson et Nokia, selon un rapport du cabinet LightCounting. Mais dans un contexte où le déploiement des équipements RAN de la 5G n’en est encore qu’à ses prémices, Huawei veut croire que les dés ne sont pas jetés. Sa stratégie est de reconquérir les opérateurs européens en leur proposant des infrastructures moins énergivores que celles de ses concurrents.
Concernant les équipements du datacenter, l’offre est peu connue, mais manifestement très courue chez les initiés : OBS, par exemple, avait largement communiqué sur les serveurs et baies de stockage Huawei qui motorisent son cloud public Flexible Engine. Pour autant, des rumeurs rapportées en novembre par Bloomberg suggèrent que Huawei pourrait prochainement revendre cette activité à des tiers. En cause, les sanctions américaines qui auraient dramatiquement compliqué sa fourniture en processeurs Intel, dont ces solutions ont besoin pour fonctionner.