« La confidentialité des communications électroniques est érigée en principe fondamental, sans toutefois être absolu »
Maître de conférences à l’université de Namur, Franck Dumortier évalue le risque posé par les sociétés chinoises à l’aune des pratiques en Belgique et des règlements au niveau de l’Union européenne.
La transition vers la cinquième génération de standards de télécommunication mobile – conçue pour adapter les capacités du réseau au trafic croissant causé par l’Internet des objets – nécessite des investissements matériels et logiciels colossaux. Outre le volume et le type de données qui sont appelées à transiter via la 5G, la structure du futur réseau dynamique nécessite une sécurisation accrue de l’ensemble des équipements hertziens et terminaux pouvant présenter autant de points d’entrée potentiels de piratage. Ce marché engendre une concurrence sans merci dans une actualité internationale fortement marquée par des incidents de cybersécurité. C’est dans le contexte de ce juteux et périlleux passage vers la 5G à l’horizon 2020 que le géant chinois Huawei et son principal concurrent de l’empire du Milieu, ZTE, sont dans la tourmente aux quatre coins du globe.
Le 17 décembre 2018, l’agence nationale de cybersécurité tchèque (NCISA) a publié un avertissement dans lequel elle considère que l’utilisation de technologies et de programmes développés par ces deux entreprises chinoises engendre un risque non négligeable pour la sécurité des réseaux et des systèmes d’information (ICT). Le principal argument avancé par l’agence tchèque est que l’environnement juridique et politique de la République populaire de Chine a pour conséquence, non seulement d’imposer à ces sociétés de se conformer à des lois qui exigent leur coopération avec les services de renseignement, mais aussi de créer un lien organisationnel et personnel entre ces entreprises et l’Etat de manière à favoriser la conduite d’activités d’influence et d’espionnage. Cette mise en garde concerne principalement les secteurs d’importance stratégique pour la sécurité nationale tchèque dans lesquels des incidents auraient un impact négatif substantiel sur les fonctions économiques et sociétales nationales. Partant, l’agence rappelle que les administrateurs de ces secteurs critiques ont le devoir de réaliser des analyses de risques lors de la sélection d’un fournisseur de systèmes ICT et d’inclure des exigences de sécurité appropriées dans un contrat conclu avec celui-ci. Un porte-parole de Huawei a réagi en démentant catégoriquement toute suggestion laissant entendre que l’entreprise était une menace pour la sécurité nationale et a appelé le NCISA à fournir des preuves au lieu de ternir la réputation de Huawei de manière infondée, insistant sur le fait qu’il n’y a aucune loi chinoise qui oblige les sociétés à installer des portes dérobées dans leurs matériels ou logiciels. Cela reste à vérifier mais dans un souci diplomatique, aussi importantes soient-elles, des considérations de cybersécurité non étayées ne sauraient servir de prétexte pour restreindre la liberté d’entreprendre.
En Belgique, des contraintes à l’égard de l’Etat
En Belgique, la loi du 13 juin 2005 prévoit que les opérateurs télécom doivent garantir un niveau de sécurité adapté aux risques existants de manière à protéger les abonnés, notamment, contre l’accès non autorisé ou illicite à leurs données à caractère personnel. La confidentialité des communications électroniques est érigée en principe fondamental, sans toutefois être absolu. Ainsi, la collaboration des opérateurs télécom peut être requise à des fins policières pour permettre l’identification, le repérage et la localisation des utilisateurs ou encore des écoutes et l’enregistrement de leurs communications privées dans les conditions procédurales inscrites dans le Code d’instruction criminelle. Le juge d’instruction peut aussi ordonner la collaboration de toute personne dont il présume avoir une connaissance particulière d’un système informatique (un fournisseur d’équipements de type Huawei, par exemple) pour qu’il lui fournisse des informations sur le fonctionnement de ce système et sur la manière d’accéder aux données qui y sont stockées, traitées ou transmises.
Les services de renseignement belges ont également à leur disposition des méthodes exceptionnelles de recueil de données, leur permettant par exemple – sous le contrôle d’une commission dont l’indépendance est controversée – de s’introduire dans un système informatique à l’aide ou non de moyens techniques, de faux signaux, de fausses clés ou de fausses qualités, d’y lever toute protection quelconque et d’y installer des dispositifs techniques en vue du décryptage et du décodage de données stockées, traitées ou transmises. En principe, l’ensemble de ces techniques d’enquête ou de renseignement sont soumises à des conditions de subsidiarité et de proportionnalité. En principe… puisque la Belgique n’a pas encore donné suite à l’invalidation par la Cour de justice de l’Union européenne de la directive UE imposant la rétention de données à grande échelle de tous les abonnés par les opérateurs télécom, entretenant ainsi le spectre de la surveillance de masse dans le royaume.
Cela étant, la loi interdit la commercialisation ou l’importation d’équipements hertziens et de terminaux qui ne comportent pas des garanties suffisantes afin d’assurer la protection de la vie privée des utilisateurs. Les équipements qui satisfont à ces conditions légales peuvent être mis sur le marché. Toutefois, lorsque la sécurité publique ou la défense du royaume l’exigent, le gouvernement peut interdire l’utilisation de certains équipements en tout ou en partie pendant la période fixée par lui.
Le Cybersecurity Act européen
Au niveau européen, les exigences de sécurité informationnelle ont récemment été renforcées après l’adoption du Règlement général sur la protection des données (RGPD) et de la directive sur la sécurité des réseaux et des systèmes d’information (directive NIS). Ces deux instruments imposent à leurs débiteurs des mesures de sécurité en fonction du risque encouru, mais leur objectif est différent : là où le RGPD vise à protéger le traitement des données à caractère personnel, la directive NIS se concentre sur la résilience des réseaux et des systèmes d’information qui jouent un rôle vital dans la société. C’est dans la philosophie de la directive NIS qu’on apprenait récemment que le Centre pour la cybersécurité belge a demandé des études d’analyse de risques objectives concernant la technologie d’Huawei avant d’émettre un avis étayé pour notre pays. Se pose néanmoins la question de la transparence des critères d’évaluation pris en compte dans de telles analyses. Dans l’avenir, le Cybersecurity Act – qui doit encore être voté par le Parlement européen – vise, entre autres, à établir un cadre législatif pour la certification européenne en matière de cybersécurité des produits, processus et services ICT afin d’harmoniser les exigences de sécurité que doivent démontrer leurs fabricants ou fournisseurs.
Par Franck Dumortier.
Repère : Entreprises indésirables
Les sociétés technologiques chinoises Huawei et ZTE sont dans le collimateur des autorités de pays comme les Etats-Unis, l’Australie, la Nouvelle-Zélande et le Japon. En cause, des soupçons d’espionnage pour le compte du pouvoir chinois. L’installation des nouveaux réseaux 5G, pour lesquels les entreprises chinoises disposent d’un savoir-faire, offre une source supplémentaire d’inquiétude. Mais les intentions occidentales sont-elles si nobles ? L’arrestation au Canada, sur demande de la justice américaine, de la fille du patron de Huawei parce que la société aurait commercé avec l’Iran sous embargo américain démontre que la sécurité nationale n’est pas toujours éloignée des préoccupations commerciales.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici
