B. DES VULNÉRABILITÉS CROISSANTES
1. Des vulnérabilités intrinsèques aux nouvelles technologies
Par la combinaison d'une infrastructure physique et d'une infrastructure logicielle, les réseaux 5G seront capables de s'adapter aux usages clients. La structure d'un réseau 5G est construite sur la séparation entre les différents systèmes constituant l'infrastructure réseau physique (relais, antennes, etc.) et l'architecture logicielle 5 ( * ) .
Intrinsèquement les technologies 5G offrent des capacités de sécurité importantes comme le cryptage des données utilisateur, mais comme elles reposent sur des équipements de plus en plus virtuels et des architectures de réseaux de plus en plus déconcentrées, elles portent de nouvelles vulnérabilités.
a) Leur architecture va passer de systèmes centralisés à des systèmes distribués
Les réseaux de 5G seront des réseaux maillés à la configuration évolutive.
Dans les réseaux classiques, les antennes-relais ne servent qu'à retransmettre de façon assez passive les flux de données entre les terminaux des utilisateurs et les coeurs de réseaux qui assurent l'essentiel des fonctions. Avec la 5G, des fonctions sophistiquées de traitement des flux seront intégrées aux stations de base des antennes augmentant significativement le caractère sensible de ces équipements.
Ce changement exposera une plus grande surface de vulnérabilité à d'éventuelles attaques en raison de la grande ramification des réseaux, la multiplication des antennes, des capteurs et des noeuds informationnels qu'elle implique et les efforts de sécurisation qui portaient jusqu'à présent essentiellement sur les coeurs de réseau devront donc être étendus à ces nouveaux équipements pour assurer une sécurité de bout en bout.
b) Leur architecture va reposer toujours davantage sur des logiciels
La 5G devrait être le vecteur de la généralisation de réseaux virtualisés. Certains équipements physiques seront remplacés par des solutions logicielles déployées dans le cloud 6 ( * ) . Ce transfert accroîtra la vélocité et la résilience des réseaux mais il ne sera pas exempt de failles d'un nouveau genre.
La part plus importante de logiciels dans les équipements de 5G crée de nouveaux risques d'erreur de configuration et confère aux modalités de déploiement retenues par chaque opérateur une importance considérable dans l'analyse de sécurité.
Avec le cloud , l'extension des liaisons entre les utilisateurs et les coeurs de réseaux accroît les risques d'interception ce qui rend nécessaire un contrôle renforcé. Là où un dispositif technique particulier, telle une « porte dérobée » ( backdoor ) est nécessaire pour intercepter un flux d'information, la détention des codes d'administrateur pour accéder aux logiciels et aux clouds des réseaux de 5G sera suffisante.
C'est donc par son architecture même, davantage que par la nature des équipements, que la 5G présentera des vulnérabilités nouvelles 7 ( * ) .
c) La diversité des usages induit également de nouvelles vulnérabilités
Les menaces proviendront également de la croissance exponentielle des appareils ou systèmes connectés 8 ( * ) , qui eux-mêmes ne pourront garantir un niveau de sécurité infaillible 9 ( * ) .
Des secteurs d'activités complets et des nouveaux usages seront fortement dépendants de la disponibilité du réseau et offriront des capacités nouvelles aux cyber-attaquants. Afin d'éviter la prise de contrôle de ces objets ou services par des cyber-attaquants et la paralysie de systèmes vitaux de fonctionnement d'entreprises (notamment dans les secteurs sensibles ou présentant des risques de sécurité ou de services publics (« villes connectées », réseaux de distribution d'eau et d'énergie...), il deviendra primordial d'assurer un niveau adéquat de sécurité.
2. Ces évolutions pourraient préfigurer une redistribution des rôles entre les opérateurs.
La 5G ne sera probablement pas sans impact sur la structure même de l'industrie des télécommunications. Pour des raisons diverses stratégiques ou financières, les opérateurs traditionnels n'ont pas toujours pu réaliser avec leurs seuls moyens internes la montée en puissance nécessaire pour maîtriser de bout en bout et de façon autonome les capacités techniques de leurs équipements.
En outre, la 5G sera également source d'une évolution de la stratégie des opérateurs dits « verticaux ».
a) Un recours plus important à la sous-traitance
Il n'est pas exclu que les technologies nouvelles entraînent une réorganisation de l'écosystème industriel des télécommunications.
Les opérateurs ont avec la virtualisation une liberté et une responsabilité accrues dans les choix de déploiement des équipements. Cette évolution les conduit naturellement à un recours accru à la sous-traitance, tant pour la définition et l'implémentation des choix initiaux de déploiement (prestataires intégrateurs), que potentiellement pour la mise en oeuvre des équipements eux-mêmes (prestataires d'infogérance, voire d'hébergement).
D'ores et déjà, les sous-traitants (intégrateurs ou fabricants de matériels et de logiciels) ont étoffé leurs offres de prestations d'installation, de maintenance, voire de gestion de l'exploitation des réseaux.
Le passage d'infrastructures matérielles à des infrastructures logicielles rend les opérations de mise à jour plus faciles, donc plus fréquentes et, partant, le suivi des différentes versions d'un même équipement devient plus complexe. Certains équipementiers en viennent à proposer à leurs clients d'acquérir un service de mise à jour en permanence effaçant la notion de versions des logiciels. Rien n'empêcherait, en outre, que ces mises à jour soient réalisées à distance sans intervention physique des opérateurs sur les équipements eux-mêmes et donc complètement sous-traitées, avec un contrôle technique a posteriori des opérateurs.
En outre, une technologie nouvelle appelle en règle générale dans sa phase de déploiement des modifications nombreuses opérées à un rythme soutenu, à mesure qu'apparaissent des problèmes et notamment pour palier des failles de sécurité. On peut donc s'attendre avec la 5G à une phase assez longue d'expérimentations et de corrections avant que le réseau ne se stabilise. Ceci accroît les risques liés à l'utilisation de technologies encore immatures et au temps d'adaptation nécessaire pour élever le niveau de protection.
De même, à côté des acteurs traditionnels des télécommunications que sont les équipementiers et les opérateurs, émergent des entreprises qui proposent aux opérateurs des services d'ingénierie afin de configurer les réseaux de nouvelles générations et d'intégrer certaines fonctionnalités 10 ( * ) .
Ce recours à la sous-traitance est naturellement porteur de risques, tant du fait de la possible méconnaissance des obligations de sécurité par les prestataires concernés, qu'au regard de leur soumission potentielle à des formes d'ingérence. Ces risques devront être appréciés lors de l'examen des modalités d'exploitation des appareils soumis à autorisation.
b) Le développement de nouveaux opérateurs
La 5G permettra le développement des services de cloud en augmentant la performance du réseau. Il n'est pas exclu que des entreprises avancées dans l'ingénierie logicielle, notamment les acteurs du secteur du cloud computing qui ont développé des outils de mise en oeuvre des infrastructures de stockage massives, sur lesquelles les acteurs du secteur des réseaux mobiles devront s'appuyer pour créer les coeurs « 5G », prennent une place importante au détriment des opérateurs traditionnels, remettant en cause la nature incontournable de ces opérateurs.
Comme le souligne la récente étude de l'Institut Montaigne 11 ( * ) , « le recours aux technologies utilisant le cloud pose la question de la sécurisation des données qui y transitent, y sont stockées et traitées. À ce jour, et en dehors des dispositions prises en Europe, notamment en matière de traitement des données privées via le Règlement général sur la protection des données (RGPD), il n'existe pas d'encadrement réglementaire concernant ces activités et l'usage qui est fait des données collectées. Il n'existe pas non plus de normalisation sur la façon dont les implémentations technologiques (containers, API...) doivent être effectuées de sorte à rendre interopérables les offres des différents leaders du marché. Sur un marché dominé par des acteurs étrangers (principalement Amazon Web Services, Microsoft et Google), et avec la mise en place de dispositifs judiciaires comme le Cloud Act, l'Europe et la France pourraient théoriquement rapidement se trouver dans une situation de dépendance et de vulnérabilité ».
c) Une évolution possible de la stratégie des opérateurs verticaux et l'apparition de nouveaux opérateurs de ce type
Il n'est pas exclu, dans l'attribution des fréquences utiles à la 5G, que les enchères puissent intéresser d'autres acteurs que les seuls opérateurs de télécommunications et notamment ceux qui, en soutien ou en complément d'une activité principale autre que les télécommunications, développent pour leur propre compte un réseau de télécommunication. On notera que l'Allemagne a réservé une part du spectre hertzien utile à la 5G aux opérateurs verticaux.
En France, des acteurs comme la SNCF, EDF ou les sociétés concessionnaires d'autoroutes ou d'aéroports qui utilisent déjà des réseaux PMR, et sont à ce titre qualifiés d'opérateurs « verticaux » seraient en mesure de se porter eux aussi acquéreurs de licences d'utilisation de fréquences 5G, pour améliorer les performances de leurs réseaux privatifs. Des réflexions sont en cours 12 ( * ) , mais une alternative pourrait venir des capacités offertes par les réseaux des opérateurs de télécommunication à travers l'affectation à une entreprise de capacités correspondant à ses besoins (en débit, en latence, en continuité : slicing) sans qu'elle soit obligée de se doter de sa propre infrastructure.
Avec la 5G et ses multiples applications au-delà de la seule téléphonie mobile, les opérateurs verticaux pourraient ainsi prendre une part croissante dans le marché des télécommunications.
3. L'évolution économique du secteur des télécommunications offre également des risques de vulnérabilité accrue
Une évolution tendancielle des acteurs et de la répartition de la chaîne de valeurs - les opérateurs traditionnels investissant davantage vers l'aval vers la gestion de leurs abonnés et de leur marque et la fourniture de services et d'applications alors qu'ils sous-traiteraient davantage la partie amont -constituerait une difficulté supplémentaire en termes de contrôle de la sécurité des réseaux par les pouvoirs publics, d'autant que les activités de certains de ses nouveaux acteurs ne sont pas nécessairement localisées sur le territoire national, ni sur celui de l'Union européenne, et ne relèvent pas toujours de la législation française ou communautaire.
L'objectif de la proposition de loi qui soumet à autorisation l'installation de certains équipements sous la responsabilité des opérateurs de télécommunications a aussi pour objectif de soutenir leur implication dans la sécurité de leurs réseaux dont la criticité est absolue.
4. Ces nouvelles vulnérabilités apparaissent dans un contexte marqué par le développement de la cybercriminalité.
a) Une augmentation tendancielle de la cybercriminalité
Comme votre Commission le remarquait dans son rapport pour avis sur les crédits de l'ANSSI 13 ( * ) , la menace ne cesse de s'accroître en intensité et en sophistication :
• le rapport Symantec 14 ( * ) donne des statistiques précises sur les cyberattaques et classe la France désormais au 9 ème rang mondial (et au 4 ème rang européen) des pays où la cybercriminalité est la plus active.
• le domaine cybernétique est reconnu comme un nouvel espace de conflictualité dans les doctrines militaires, ce qui se traduit par la création de structures de forces dans la plupart des grandes puissances, France incluse.
• enfin la dépendance croissante aux systèmes numériques couplée à une insuffisante prise en compte des enjeux de cybersécurité dans leur architecture et leur développement accroît leur vulnérabilité.
Le rapport de l'ANSSI 15 ( * ) pour 2018 identifie cinq catégories de menaces et leur évolution (voir encadré ci-dessous) : si les opérations de sabotage restent les plus visibles, l'espionnage est sans doute le risque qui pèse le plus fortement sur les organisations. Il a été une préoccupation majeure pour l'ANSSI en 2018. Discrets, patients et bénéficiant de ressources importantes, certains attaquants semblent préparer les conflits de demain en s'intéressant à des secteurs particulièrement critiques (défense, santé, recherche, etc.). L'exploitation des relations de confiance entre partenaires en vue de mener des attaques indirectes constitue également un champ de préoccupation majeur ».
b) Un enjeu démultiplié
Le recours croissant de pans de l'économie (industrie, transports, santé, etc.) et de nos sociétés, à ces technologies devenues, dans certains cas, indispensables, leurs évolutions et l'apparition massive des objets connectés va accroître très fortement la surface d'exposition aux attaques.
Les conséquences de ces attaques pourraient s'avérer catastrophiques et coûteuses en cas de déni de fonctionnement des réseaux de communication desservant des nombreux systèmes d'informations (risques d'accident industriel, arrêts de production de biens et de services, arrêts de services publics essentiels ou du secteur de la grande distribution, paralysie des transports....).
La menace à laquelle doit répondre le nouveau dispositif est celle de l'exploitation d'une faiblesse des infrastructures 5G, afin de porter atteinte à la sécurité nationale. La faiblesse considérée pourrait résulter d'un défaut de conception, volontaire ou non, de la part du producteur de ces équipements, ou d'une erreur de configuration dans leur déploiement par les opérateurs, ou encore d'actions illégitimes ou d'erreurs des opérateurs ou de leurs sous-traitants dans le cadre de la maintenance et de l'administration de ces équipements. De telles faiblesses pourraient être exploitées par un acteur, étatique ou non, qui en aurait connaissance.
Nature de finalités recherchées par les attaquants |
• espionnage des communications électroniques transitant par les équipements concernés - cette préoccupation sera étendue par la 5G à un ensemble plus vaste d'équipements constitutifs du réseau, du fait de la déconcentration accrue des fonctions avancées dans cette technologie ; |
• dysfonctionnement du réseau , par une interruption du fonctionnement des équipements concernés ou un comportement anormal perturbant le réseau - de tels dysfonctionnements pourraient résulter d'une panne, mais également s'inscrire dans une logique de sabotage ; leur impact serait particulièrement significatif dès lors que les réseaux 5G serviront de support à d'autres usages que les seules communications électroniques grand public, et entraîner des atteintes tant à la sécurité des biens et des personnes (objets connectés) qu'à la continuité de l'action de l'État (réseaux régaliens de la sécurité intérieure ou civile) ; |
• attaque informatique d'autres infrastructures numériques : un attaquant ayant pris le contrôle d'un équipement au sein du réseau d'un opérateur pourrait se servir de celui-ci comme relai, pour injecter des logiciels malveillants dans les flux transitant par cet équipement, et infecter les systèmes d'information de ses clients. La mise en oeuvre de cette technique sur les réseaux 5G pourrait avoir un impact d'autant plus important que ceux-ci donneront indirectement accès à de nombreuses autres infrastructures critiques. |
Dans l'appréciation des risques, il convient d'intégrer tant les propriétés techniques intrinsèques des différents composants des réseaux 5G (qualité d'implémentation, mise en oeuvre des bonnes pratiques de sécurisation, suivi et correction efficace des vulnérabilités, mécanismes de défense en profondeur permettant de tolérer certaines vulnérabilités, possibilité d'évaluation de la sécurité par des tiers, etc.) que les garanties apportées à travers les modalités de déploiement (bonne activation des options de sécurité, architecture limitant l'exposition aux attaques, redondance, protections périmétriques) et d'exploitation (administration sécurisée, contrôle de l'accès des exploitants aux opérations sensibles, supervision, procédures de déploiement efficace des correctifs).
Outre ces facteurs techniques, l'analyse de sécurité doit également intégrer les possibilités d'ingérence d'États tiers, disposant d'un pouvoir de contrainte vis-à-vis de certains acteurs (fournisseurs d'équipements de télécommunication, intégrateurs, ou sous-traitants impliqués dans les opérations de maintenance et d'exploitations des réseaux des opérateurs), notamment du fait de dispositions légales applicables à ces acteurs en vertu de leur nationalité, ou des liens financiers qu'ils entretiennent avec ces États.
* 5 Voir Institut Montaigne « L'Europe et la 5G, passons la cinquième » mai 2019
* 6 Actuellement les fonctionnalités des équipements de réseau reposaient à 70 % à 80 % sur des logiciels, mais ceux-ci étaient disséminés dans les équipements. Avec la 5G, ces logiciels ne seront plus nécessairement physiquement installés et exclusivement asservis au fonctionnement de tel ou tel équipement. Ils seront disséminés, dans un premier temps vers des centres serveurs, puis dans un second temps vers des clouds qui agrégeront les fonctions logicielles de réseaux, permettant de réorienter les ressources du réseau en fonction des besoins observés sur le territoire.
* 7 Voir Institut Montaigne « L'Europe et la 5G, passons la cinquième » mai 2019
* 8 Selon Cisco, le monde comptera plus de 12 milliards d'appareils mobiles et d'objets connectés en 2022 (contre 9 milliards en 2017), et la 5G sera le support de 422 millions de connexions mobiles (3 % des connexions mobiles) avec une progression des connexions 5G exponentielle.
* 9 Celles-ci pourront être dirigées vers l'objet lui-même, ou en détourner la finalité les transformant en vecteurs d'actions malveillantes. Le domaine des objets connectés souffre d'un manque de maturité qui se traduit par une insuffisance de normes et l'absence de sécurité by design.
* 10 Une entreprise comme Cap Gemini propose des services de cette nature.
* 11 Institut Montaigne « L'Europe et la 5G, passons la cinquième » mai 2019
* 12 Voir l'encadré supra p.9 s'agissant de la SNCF
* 13 Sénat (2018-2019) Avis n°149 - Tome IX Loi de finances pour 2019 Direction de l'action du Gouvernement : coordination du travail gouvernemental - rapport pour avis de MM. Olivier Cadic et Rachel Mazuir p.19 http://www.senat.fr/rap/a18-149-9/a18-149-94.html#toc85
* 14 Symantec Internet Security Threat Report (ISTR) https://www.symantec.com/fr/fr/security-center/threat-report
* 15 Exfiltration de données stratégiques, attaques indirectes, opérations de déstabilisation ou d'influence, génération de crypto monnaies et fraude en ligne
https://www.ssi.gouv.fr/uploads/2019/04/anssi_rapport_annuel_2018.pdf p.6