Le Président Emmanuel Macron en novembre 2019 lors d’une interview à The Economist posait une vraie question préliminaire à tout déploiement en matière de 5G : “comment pouvez-vous me garantir qu’il n’y a pas de backdoor, par exemple dans ce routeur 5G Huawei ?”. Le 15 septembre 2020 devant la French Tech il donne son appui sans nuance à la 5G en prenant partie, sur le faux débat, sur la nocivité de la 5G* lancé par les maires écologistes mais sans pour autant avoir répondu à sa propre question préalable sur la perte de souveraineté.
* faux débat de la nocivité des ondes 5G car 1) on ne peut jamais démontrer la base ce de risque et 2) ces ondes 5G ne sont pas ionisantes
Au sein d’InnoCherche avec notre groupe de travail sur la fin de la global tech, et le think tank Cybersécurité, nous avons voulu creuser le sujet.
Il y a 5 ans Orange à l’époque, soumettait le routeur que Huawei leur donnait en test en Bretagne, à de multiples tests et scénarios et ce durant une année. Ils n’observaient rien d’anormal mais ils n’étaient pas capables de dire que pour autant il n’y avait pas de backdoor. Puis quelques temps après lors d’un voyage de veille au CES de Las Vegas, nous rencontrons le DEEP RED, département du CEA qui fait de l’analyse de codes (code compilé ou code normal) pour vérifier qu’en effet, le système est bien conforme à ce qu’il va faire et qu’il n’y a pas de backdoor et de choses comme cela. A l’origine, cette activité du CEA, était dédiée aux systèmes de contrôle/commande dans les centrales nucléaires pour assurer la robustesse des SoftWare. Maintenant ils se sentent capables d’aller dans d’autres sujets comme celui d’arriver à auditer un software de A à Z.
Techniquement, et pour simplifier le processus: Demain, si Huawei l’accepte et afin de pouvoir vendre leurs routeurs 5G dans le monde sans se faire suspecter d’avoir des backdoors, le process d’audit devrait être assez simple :
- ils donnent le code à DEEP RED qui l’analyse et qui garantit qu’il n’y a pas de backdoor.
- ensuite on exécute une signature infalsifiable du code par HASH qui pourra prouver que c’est bien ce code avec cette signature qui n’a pas de backdoor.
Mais en fait, il y a deux problèmes quasi insurmontables:
- Prendre en compte les mises à jour de versions qui sont tellement rapides et nombreuses, il faudrait peut-être faire cela toutes les heures ou toutes les semaines;
- Ensuite, dans les architectures actuelles ce sont des dizaines voire des centaines de morceaux de SX qu’il y a dans un tel routeur … rendant la combinatoire ingérable.
Pour que cela marche, il faudrait qu’il y ait en sorte un seul gros software que l’on fige pendant quelque temps … ce qui est aujourd’hui contraire à toutes les pratiques de développement qui préfèrent développer en parallèle une centaine de morceaux indépendants.
En conclusion la seule réponse à la question du Président Macron – “montrez-moi que je n’ai pas perdu d’autonomie, de souveraineté nationale en déployant un 5G Huawei !” … est “impossible “.
La solution pour une 5G autonome, souveraine et transparente serait d’avoir un système complet construit autour en open source. Nous continuons au sein du Think Tank Cyber d’étudier cette alternative pour en mesurer la maturité et suivons les efforts de l’opérateur Mobile Rakuten au Japon et par les initiatives Américaine (openairinterface ou encore https://www.opennetworking.org/m-cord/).