Connexion
Abonnez-vous

L’amendement « anti-Huawei », une porte pour les backdoors du renseignement français

Backdoorer la backdoor

L’amendement « anti-Huawei », une porte pour les backdoors du renseignement français

Le 28 janvier 2019 à 14h14

Le gouvernement a déposé un amendement au projet de loi PACTE afin de soumettre à autorisation l’exploitation des équipements de réseaux radioélectriques, en particulier ceux relatifs à la 5G. Une mesure qui frappe l’ensemble des équipementiers, notamment le chinois Huawei. Mais le texte offre aussi un pont d’or aux services de renseignement.

La France est « consciente des risques » quant aux équipements fournis par Huawei sur le marché de la 5G. Cette déclaration a été faite mercredi dernier par Jean-Yves Le Drian, ministre des Affaires étrangères, comme le rapporte Reuters.

Plusieurs pays ont déjà annoncé qu'ils ne voulaient pas d'équipementiers chinois (Huawei et ZTE par exemple) : les États-Unis, l'Australie, la Nouvelle-Zélande et l'opérateur BT au Royaume-Uni pour ne citer qu'eux. Ils sont parfois accusés d'être à la botte de Pékin et d'installer des portes dérobées, impliquant donc un risque pour la sécurité des futurs réseaux 5G.

De son côté, Huawei a toujours nié en bloc ces accusations et son fondateur était récemment sorti de son silence pour défendre son groupe. Le discours est le même : Huawei serait « une entreprise indépendante [...] engagée à être du côté de ses clients en matière de cybersécurité et de protection des données ». 

Le même psychodrame s’était produit en juillet 2012 lorsque Jean-Marie Bockel, sénateur du Haut-Rhin, proposait d’interdire purement et simplement le déploiement et l’utilisation d’équipements de cœur de réseaux des Chinois Huawei et ZTE, au motif qu' ils « présentent un risque pour la sécurité nationale ».

Aux assises de la sécurité à Monaco, la même année, François Quentin, président de Huawei France, nous indiquait au contraire mettre « tout sur la table vis-à-vis des instances gouvernementales ou des instances tierces pour obtenir les certifications dédiées, comme nous l'avons fait en Grande-Bretagne ». Il s’engageait à « ne pas mettre de backdoor » dans ses équipements. 

Les objectifs de l’amendement gouvernemental

L’action promise par le gouvernement français la semaine dernière était une question de jours, déclarait Guillaume Poupard, numéro un de l’ANSSI, lors d’un échange presse auquel nous participions au FIC de Lille.

L’attente n’a plus lieu d’être. Dans un amendement au projet de loi Croissance et transformation des entreprises, déposé le 25 janvier, l’exécutif compte faire voter « une procédure d’autorisation préalable à l’exploitation des équipements de réseaux radioélectriques ».

Selon l’exposé des motifs, l’avènement de la 5G « permettra de développer de nombreux usages critiques où le doute sur la sécurité, la fiabilité ou l’intégrité des communications ne peut être permis ».

Le gouvernement cite les véhicules connectés, l’énergie, la santé. Dès lors, « il est nécessaire d’anticiper ces évolutions et les problématiques qu’elles soulèveront en veillant non seulement à la protection des entreprises stratégiques (OIV) du secteur des communications électroniques, mais également à la sauvegarde des intérêts publics ».

Un régime d’autorisation préalable

En substance, il instaure un dispositif d’autorisation préalable à l’exploitation des équipements de réseaux radioélectriques, aussi bien pour les logiciels que le matériel.

Concrètement, dès lors qu’un système, de par ses fonctions, présentera « un risque pour l’intégrité, la sécurité et la continuité de l’exploitation du réseau, il faudra passer par une autorisation du Premier ministre. Une autorisation destinée à assurer la préservation des « intérêts de la défense et de la sécurité nationale ».

Seuls seront exclus de ce périmètre les appareils installés par les opérateurs d’importance vitale chez leurs clients, tout simplement parce que ces acteurs sont déjà eux-mêmes soumis à des contrôles menés par l’ANSSI.

L’autorisation du Premier ministre visera des modèles, des versions et une zone géographique déterminés, pour une durée de 8 ans.

L’existence de « risques sérieux »

Il pourra refuser, mais sa décision devra être motivée par l’existence d’un « risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale ». Le Premier ministre l'appréciera en tenant compte au besoin du contexte, spécialement si l’opérateur, ses prestataires voire ses sous-traitants sont (ou non) « sous le contrôle ou soumis à des actes d’ingérence d’un État non membre de l’Union européenne ». 

loi pacte renseignement
Extrait de l'amendement gouvernemental

Ce « risque sérieux » sera constaté en appui d'un des seuils de qualité fixés aux a), b), et e) de l’article L33-1 du Code des postes et des télécommunications électroniques (CPTE). C’est là où la présentation de cet amendement « anti-équipementiers chinois » permet finalement de cacher de nouvelles opportunités au profit du renseignement français.

Explications. Ces seuils concernent... : 

  • a) « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des atteintes à la sécurité ou à l'intégrité des réseaux et services »
  • b) « Les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications »
  • e) « Les prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique, ainsi que les garanties d'une juste rémunération des prestations assurées à ce titre et celles qui sont nécessaires pour répondre, conformément aux orientations fixées par l'autorité nationale de défense des systèmes d'informations, aux menaces et aux atteintes à la sécurité des systèmes d'information des autorités publiques et des opérateurs mentionnés aux articles L. 1332 - 1 et L. 1332 - 2 du code de la défense » (relatifs aux OIV)

Ce dernier cas (le point e) de l’article L33-1 du CPTE est important puisque si on développe, le Premier ministre pourra refuser l'exploitation de tel équipement ou logiciel vissé à une installation radioélectrique en France, s'il présente un risque sérieux d’atteinte aux intérêts fondamentaux.

loi pacte renseignement
Extrait de l'article L33-1 du Code des postes et des télécommunications

Ce risque sera en effet vérifié si l'équipement ne garantit pas le respect des prescriptions imposées par la défense nationale ou la sécurité publique, notamment celles nécessaires aux interceptions de correspondances (écoutes) par les services du renseignement.

Ainsi, quand le gouvernement nous « vend » un amendement protégeant les intérêts français contre les possibles backdoors chinoises, il en profite pour installer des œilletons pour ses services. Et sans cette passerelle d’écoute, nulle autorisation. L’amendement imposera donc une collaboration étroite des équipementiers avec les services concernés pour autoriser et donc permettre techniquement cette atteinte au secret des correspondances. 

Cette collaboration étroite avait déjà été scellée par un arrêté publié en août 2016 avec lequel les stations de base des réseaux de téléphonie, « dès lors que leurs caractéristiques sont susceptibles de permettre des atteintes au secret des communications » dixit l’ANSSI, sont soumises à un régime d’autorisation.

Un an d’emprisonnement, 150 000 euros d’amende

Si des matériels et/ou logiciels sont exploités sans autorisation préalable, le Premier ministre pourra enjoindre l’opérateur de déposer une demande d’autorisation ou de rétablir à ses frais la situation antérieure.

Le régime est très vaste puisqu’il s’intéresse aussi aux contrats passés dans ce secteur. Ces contrats, clauses, ou conventions prévoyant une telle exploitation seront nulles « lorsque cette activité n’a pas fait l’objet de l’autorisation préalable »

À titre principal, le fait d’exploiter un tel équipement sans autorisation ou d’ignorer une injonction du Premier ministre sera puni d’un an d’emprisonnement et 150 000 euros d’amendes.

Comment va s’incruster une telle règlementation avec les installations en cours ? L’avant-dernier alinéa indique que le régime d’autorisation vaudra pour tous les équipements installés depuis le 1er février 2019. Les opérateurs exploitant déjà ces appareils devront alors déposer une demande d’autorisation dans les deux mois de l’entrée en vigueur de la future loi PACTE puis se mettre à jour au besoin. 

« Ce dispositif, assure l’exécutif, doit conduire à mieux protéger nos entreprises stratégiques dans un secteur en constante mutation, et ce, dans l’intérêt de la Nation comme des entreprises ainsi protégées ». Un décret viendra préciser les modalités de ce régime d’autorisation.

Sauf surprise, le texte devra être notifié à la Commission européenne, comme toutes les normes venant réguler la société de l'information. 

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je suis étonné de voir un “amendement anti-Huawei” alors qu’il n’y a rien eu de tel concernant les actes d’espionnage massif et ciblé documentés par les Etats-Unis mettant en péril la sécurité des Etats (Allemagne) et de l’Union européenne (Parlement européen). Bien au contraire, et malgré le Cloud Act américain, la France en particulier continue à s’appuyer massivement sur des technologies américaines, que ce soit au niveau de l’Armée, ou de l’Education nationale, pour ne citer que deux secteurs-clés.

votre avatar

Le terme “anti-Huawei” est un abus de langage je pense, cet amendement n’a pas vocation à n’être utilisé que “contre” les équipementiers chinois. De plus, il est sans doute plus facile de collaborer/exiger les codes sources d’équipementiers européens type Nokia qu’Huawei, et ce malgré leur apparente volonté de coopération (ouverture de centre “de transparence” aux UK, etc)

votre avatar

Comment ça cisco des portes dérobées ? =>




  • Mars - CVE-2018-0141 - mise en service de la collaboration avec Cisco Prime Collaboration

  •  Mars - CVE-2018-0150 - Système d’exploitation Cisco IOS XE

  •  Mai - CVE-2018-0222 - architecture de réseau numérique Cisco

  •  Juin - CVE-2018-0329- Services d’applications étendus de Cisco

  •  Juillet - CVE-2018-0375 - gestionnaire de cluster de Cisco Policy Suite

  •  Septembre - CVE-2018-15427 - Gestionnaire de vidéo surveillance Cisco

  •  Novembre - CVE-2018-15439 - Commutateurs Cisco Small Business



    Non c’est utopique et je ne vois pas de Cisco en France dans des domaines importants <img data-src=" />



    Après je ne suis pas complotiste mais aujourd’hui tous ont plus ou moins des portes dérobées connues je pense…

    Tout comme les portes dérobées Supermicro etc…

votre avatar

J’avais la même réflexion. C’est pas forcément une mauvaise chose qu’on prenne conscience que les pays qui vendent leur techs usent au minimum de moyens qui leur permettent d’exceller dans la guerre commerciale : les USA typiquement, qui se servent du DOJ pour attaquer légalement des entreprises étrangères comme ALSTOM, les soumettre à amendes impayables ou “monitoring” et les faire racheter éventuellement par des entreprises US - voirhttps://www.arretsurimages.net/emissions/arret-sur-images/iran-et-sanctions-us-l… ou tout espionnage industriel classique.

Au niveau sécurité pure déjà c’est pas forcément la joie (passoires connectées), mais clairement les portes dérobées existent, faut pas se leurrer.

Mais bon, quand on en est à se reposer sur Microsoft partout, on ne prévoit aucune autonomie vis à vis de nos “amis” américains.

La c’est la Chine, ça fait peur. Un petit côté illogique (on délocalise tout, usines, savoirs, sécurité), doublé d’un relent de “péril jaune” j’imagine.

votre avatar

d’autant que ça serait plus que probablement retoqué devant le CC (égalité devant la loi, tout ça tout ça) <img data-src=" />

votre avatar

Est-ce que l’État va compenser l’écart de prix entre le matériel refusé et celui qui est accepté ? Ça risque de coûter cher.



Dans tous les cas, Alcatel Nokia approuve cette décision.

votre avatar







fred42 a écrit :



Dans tous les cas, Alcatel Nokia approuve cette décision.



Suis pas certain. Même si Nokia n’a que “10%” de part de marché en Chine, cela représente deux fois le volume de l’Europe je pense …

Et si l’Europe met les équipementiers Chinois dehors, je donne pas chère de la présence des équipementiers Européens/ USA sur le marché Chinois


votre avatar

Autorisation valable 8 ans ? L’équipement pourra être potentiellement une passoire bien avant…

votre avatar

Premier ministre, donc encore une fois on fous a la poubelle les juges.



Pour moi cela démontre encore une fois l’urgence de chiffré la totalité du trafic car on ne peut plus faire confiance dans le réseau lui même.

votre avatar

Nokia n’a aucune chance d’avoir des parts de marché en Chine : ils sont trop cher.

votre avatar







Sans intérêt a écrit :



Je suis étonné de voir un “amendement anti-Huawei” alors qu’il n’y a rien eu de tel concernant les actes d’espionnage massif et ciblé documentés par les Etats-Unis mettant en péril la sécurité des Etats (Allemagne) et de l’Union européenne (Parlement européen). Bien au contraire, et malgré le Cloud Act américain, la France en particulier continue à s’appuyer massivement sur des technologies américaines, que ce soit au niveau de l’Armée, ou de l’Education nationale, pour ne citer que deux secteurs-clés.







L’Europe est une colonie américaine. <img data-src=" />


votre avatar

C’est ce qu’a réussi à faire croire la technostructure française quand elle l’a créée. La preuve ? Même les Anglais se sont fait avoir…

votre avatar

Les américains demandent tous les plans et schémas électriques ainsi que les codes sources. Je sais que c’était le cas pour les équipements Alcatel. Si tu leur vend un logiciel, ils demandent aussi les codes sources (c’est le cas dans ma boite). Le code source doit aussi être écrit avec un soft Américain.

votre avatar







Ricard a écrit :



L’Europe est une colonie américaine. <img data-src=" />







Faut pas pousser.

Vassal (plus ou moins enthousiaste) c’est déjà bien assez <img data-src=" />


votre avatar

Quelle définition de la colonie ne correspond pas à la situation actuelle de l’Europe, et réfute donc ce qualificatif ?

votre avatar

Tout réfute cette qualification.

votre avatar

Je ne suis pas sûr que Wikipédia France soit une référence mais là-dedans, à part le mot “entretenu” (vu qu’on est plutôt pillés, essorés et jetés, je parle des entreprises qui sont rachetées dans ce but), ça colle bien, je te trouve de mauvaise foi.

votre avatar

Tu n’as manifestement pas compris ce que disait Wikipedia :



une colonie, c’est un endroit où une puissance envoie des colons (c’est ce que veut dire “établissement humain”) et où elle s’implante durablement. Et c’est dans ce cadre qu’il y a exploitation de la colonie.



Les États Unis ne sont pas des colonisateurs de l’Europe. C’est même le contraire historiquement.

votre avatar

C’était le projet chez nous si De Gaulle ne s’y était pas opposé. Chez nos voisins, y’a encore du monde, en particulier chez celui qui mène l’Europe (et profite d’une monnaie trop faible pour lui) :fr.wikipedia.org Wikipedia

Donc l’implantation durable existe. Ceci dit la colonisation a surtout eu lieu dans les têtes, avec le plan Marshall entre autres, nous pensons étasunien en grande partie. Bref ce terme est défendable, est loin d’être exagéré, et on peut facilement faire le parallèle entre le traitement des dirigeants de nos (ex-)colonies d’Afrique par Macron (“il est parti réparer la climatisation”), et son traitement par Trump (“il est parfait” - les pellicules), au niveau du théâtre diplomatique.

Comparaison :fr.wikipedia.org Wikipedia

votre avatar



Il ne suffit pas de quelques dizaines de milliers de bidasses US (la majorité étant en Allemagne et en Italie) pour faire de l’UE une colonie.



Et, sauf erreur ou omission, il y a moins de soldats US en UE qu’il y a 10 ans, avec une justification budgétaire (ce qui est assez lolesque quand on pense au pognon qu’ils crament pour tenter de conserver leur suprématie militaire).

votre avatar

Voilà, merci pour les chiffres du wiki (pas mis à jour mais ça correspond à ce que j’avais en tête quand je disais « il y a 10 ans »).



Aujourd’hui il doit y en avoir ~10.000 de moins, ça a peut-être même baissé un peu plus que ça (je ne suis ça que de très loin : ce n’est pas très important comparé aux armements et à l’application de leur doctrine d’encerclement du couple sino-russe, largement plus dangereux pour les pays d’europe à mes yeux).

votre avatar

En complément.

Je te propose de t’interroger sur les 34 ans d’écart entre le retour de la France dans le commandement intégré de l’OTAN et l’engagement de cette réduction d’effectifs de l’armée US sur les territoires de l’UE.

Ça ne me semble pas moins pertinent que l’explication officielle de la restriction budgétaire.

votre avatar

En fait si, ils signent bien des deals

https://www.nasdaq.com/press-release/nokia-signs-frame-agreements-worth-more-tha…



Par contre j’ai pas trouvé la référence à la part de marché de 10%.

Je l’ai eu en interne de ma boite, mais j’ai pas trouvé confirmation permettant de le prouver.

&nbsp;

votre avatar

Non mais là tu vas très loin (c’est intéressant mais je vais m’arrêter là), ce hors-sujet était juste pour signifier que le mot “colonie” n’est pas volé, c’est pas forcément le plus exact et il n’est pas indiscutable mais on peut regarder les choses sous cet angle, y’a plein d’autres faits pour l’étayer.



De manière générale il est regrettable que lorsque des opposants obtiennent un peu de temps médiatique pour bousculer la pensée unique, au lieu de parler du fond du débat ils doivent passer le peu de temps qu’on leur laisse à justifier leur vocabulaire employé, qui “choque le bourgeois”, qui s’appuie sur un travail ou un angle de vue dont ce n’est pas le sujet de la discussion d’en prendre connaissance, et donc il faudrait laisser passer et réfléchir plus tard. Si vous faites attention, c’est le piège tendu à chaque fois. Le type rarement invité tente de faire une phrase, et hop on l’arrête sur un mot et c’est fini, interdiction d’avoir un point de vue déviant sans faire l’exposé d’1h (quand il reste 5 minutes) qui l’accompagne, sinon on n’a pas droit à la parole.

votre avatar







CONNECTION a écrit :



Le code source doit aussi être écrit avec un soft Américain.





Ça veut dire quoi ça ?

Du code source c’est juste du texte, donc à priori pas d’information sur quel logiciel a été utilisé pour l’écrire…


votre avatar

Ce qui me fait rire dans l’affaire « Huawei », c’est que Huawei est le seul constructeur à avoir accepté d’ajouter une garantie anti-backdoor à leurs serveurs quand Qwant l’a demandé.



Alors, ok, ça veut peut-être dire qu’ils sont sûr de pas se faire prendre. Mais franchement, ça donne une sérieuse idée du positionnement des autres constructeurs (notamment états-uniens) sur le sujet :‘)



Et ça donne aussi une idée du positionnement de ceux qui s’acharnent contre Huawei à priori sans preuves.

votre avatar

Vue que les appareils américains et chinois sont clairement équipés de backdoors, pourquoi ne pas les mettre en série (Cisco-Huawei-Cisco) et demander à l’un ou l’autre s’il détecte des “bavures” ? Ils se dénonceront les uns les autres <img data-src=" />

votre avatar

Et avec CISCO, “ON” ouvre la porte à l’oncle Trump via la NSA… C’est un choix ! De toutes manières les gouvernements précédents ont délibérément abandonnés les sociétés françaises du secteur.

votre avatar







TroudhuK a écrit :



Non mais là tu vas très loin (c’est intéressant mais je vais m’arrêter là)





Oui, c’est plus de l’humour tendance trollesque (donc avec un fond de possible) qu’autre chose. <img data-src=" />

Mais ce n’est réellement pas plus ridicule que la justification officielle.



manquait un smiley.


votre avatar

j’imagine que c’est pas que le code en lui meme, mais plutot tous les fichiers autour (config, projets, etc) ainsi que le language.

(troll) Un etatsunien ne va pas ouvrir un projet Windev par ex.. <img data-src=" />

L’amendement « anti-Huawei », une porte pour les backdoors du renseignement français

  • Les objectifs de l’amendement gouvernemental

  • Un régime d’autorisation préalable

  • L’existence de « risques sérieux »

  • Un an d’emprisonnement, 150 000 euros d’amende

Fermer