Les enjeux de cybersécurité de la 5G

La 5G représente une avancée essentielle dans la performance d’un réseau mobile. Cette performance se mesure en termes de latence, de bande passante et de densité. La 5G permet de nouveaux usages : télémédecine, véhicules autonomes…

La criticité de ces services nécessite l’introduction de nombreuses innovations au sein de l’architecture de ces réseaux. Celles-ci reposent sur des technologies récentes et donc peu testées. Des vulnérabilités peuvent donc être présentes et pourraient être exploitées. 

L’industrie des télécommunications est aujourd’hui occupée à préparer l’arrivée des premiers réseaux 5G. La dernière-née des technologies mobiles promet de nouveaux usages. Ces usages sont rendus possibles grâce aux avancées techniques de la 5G. Celles-ci apportent des améliorations sur trois sujets jusqu’ici difficilement conciliables : le débit, la latence et la densité.

Bouygues Telecom a imaginé l’année dernière (Bouygues Telecom, 2018) ce que pourrait être 4 nouveaux services rendus possibles par la 5G : 

• ·       Le pilotage à distance de véhicules,
• ·       La transmission simultanée de 10 flux vidéo 4K live,
• ·       La télémédecine mobile en réalité augmentée,
• ·       La télémaintenance.

Il apparaît clairement que la 5G va entraîner notre société vers une dépendance encore plus accrue vis à vis des technologies numériques. Parmi les institutions en charge de l’organisation de nos vies, l’Union Européenne a pris conscience du besoin d’apporter un cadre adéquat à ces développements. Dans un communiqué de presse récent (European Commission, 2019), la Commission propose des mesures pour améliorer la sécurité des réseaux 5G. Ces mesures reprennent la directive Network and Information System Security (NIS). Cette directive se donne pour mission d’assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information au sein de l'Union Européenne.

Pour délivrer ces avancées, la 5G met en œuvre des technologies qui viennent pour beaucoup du monde des technologies de l’information (IT en anglais).  Une caractéristique importante de la 5G est le « Network Slicing ». Il s’agit de fournir un service réseau dont les caractéristiques sont spécifiques à la nature de l’usage qui en est fait. Par exemple : un acte de télémédecine requiert une fiabilité beaucoup plus importante que la visualisation d’une chaîne YouTube. Les conséquences dramatiques d’une mauvaise latence lors d’une intervention chirurgicale à distance peuvent facilement être entrevues.

Les ressources techniques à la disposition du réseau restent limitées, mais elles peuvent être attribuées automatiquement de manière décentralisée en fonction des enjeux du service et ajuster ainsi le coût au besoin réel de qualité.

Cette adaptation se fait en utilisant les technologies SDN (software-Defined Networking) et NFV (Network Functions Virtualization). Ces deux approches complémentaires ont révolutionné la façon de mettre en œuvre et d’opérer les réseaux. Elles se sont largement développées dans le contexte du Cloud Computing. Elles mettent en jeu des technologies logicielles devenues incontournables telles que OpenStack et Kubernetes parmi d’autres.

Cette approche décentralisée, associée au chiffrement de bout en bout, met en péril la possibilité pour les autorités gouvernementales, de faire des interceptions car il n’y a plus de point central. Les organisations en charge de notre sécurité sont inquiètes de voir disparaitre un outil important pour lutter contre le terrorisme. Gilles de Kerchove, le coordinateur pour la lutte contre le terrorisme de l’UE, s’en est ému récemment dans un rapport (EU Counter-Terrorism Coordinator, 2019).

L’utilisation et la superposition de toutes ces couches logicielles n’est pas sans conséquences.

L’augmentation du nombre de composants logiciels ou celui du nombre d’objets connectés à Internet démultiplient considérablement la surface d’attaque d’un réseau mobile. La surface d’attaque est la somme des différents points faibles par lesquels un "hacker" pourrait potentiellement compromettre un système. Patrick Rhude, Head of Product Management Security chez Nokia, indiquait, lors de la conférence 5G Canada 2019 qui se tenait à Ottawa le 23 janvier dernier, quels réseaux 5G offrent une surface 200 fois plus importante que les réseaux 4G qui les précédaient (Financial Post, 2019).

L’augmentation de cette surface constitue un risque parmi d’autres.

Il faut également prendre en considération les attaques utilisant les failles des très nombreux objets connectés à Internet (IoT). Comme l’a démontré l’attaque Mirai en 2016, il est possible d’utiliser ces objets pout mettre à mal des services fondamentaux de l’Internet comme le DNS. Une autre menace est à considérer avec les intrusions dans les services de proximité (ProSe) permettant les communications d’équipement à équipement (D2D). L’hétérogénéité et la diversité des réseaux SD-WAN utilisés par la 5G est également une exposition à des vulnérabilités potentielles.

Dans une publication titrée “A Formal Analysis of 5G Authentication”, des chercheurs de l’université ETH Zurich, de l’université de Lorraine et de l’université de Dundee s’inquiètent que la 5G repose sur des technologies immatures et insuffisamment testées et peut donc annoncer de nouvelles menaces (Basin, et al., 2018).

S’il n’est pas question de renoncer aux apports de la 5G, il faut prendre du recul. Il faut tout faire pour sécuriser son avènement. Il est de la responsabilité de tous de s’assurer que les pratiques nécessaires à garantir la sécurité des services soient correctement mises en œuvre. Les leçons du passé nous ont appris qu’il est impossible de tout prévoir à l’avance. Il faut donc construire une architecture et des processus résilients. Ces processus doivent considérer aussi bien les menaces internes que les menaces externes.

En particulier, il faut pouvoir détecter et mettre à jour de manière efficace les vulnérabilités des composants logiciels. Il faut également porter un soin accru à la gestion des identités, en particulier celles mises en œuvre dans les processus d’orchestration.

Ce n’est que par une mise en œuvre stricte des pratiques de sécurité établies non seulement dans le domaine des télécommunications et dans celui de l’IT que nous pourrons réduire les risques.

Basin, D., Dreier, J., Hirschi, L., Radomirovic, S., Sasse, R., & Stetller, V. (2018, October 2018). A Formal Analysis of 5G Authentication. Retrieved from Archive ouverte HAL: https://hal.archives-ouvertes.fr/hal-01898050

Bouygues Telecom. (2018, July 3). Bouygues Telecom ouvre le premier pilote 5Gen conditions réelles, en France. Récupéré sur Corporate - Bouyges Telecom: https://www.corporate.bouyguestelecom.fr/wp-content/uploads/2018/07/CP180703-BouyguesTelecom-PremierPilote5G-ConditionsReelles-France.pdf

EU Counter-Terrorism Coordinator. (2019, Lay 6). Law enforcement and judicial aspects related to 5G. Retrieved from Council of theEuropean Union: http://data.consilium.europa.eu/doc/document/ST-8983-2019-INIT/en/pdf

European Commission. (2019, March 26). European Commission recommends common EU approach to the security of 5G networks. Retrieved from Eeuropean Commission: http://europa.eu/rapid/press-release_IP-19-1832_en.htm

Financial Post. (2019, January 24). 5G has 200 times more access points for hackers than existing networks, experts warn. Retrieved from Financial Post: https://business.financialpost.com/telecom/attack-surface-has-multiplied-5g-networks-more-vulnerable-to-hackers-conference-told