L’équipe de veto de Huawei
Alors qu’elle s’efforce presque quotidiennement de répondre aux accusations américaines, Huawei vient d’ouvrir à Bruxelles un centre de transparence tout en levant un coin du voile sur son Cybersecurity Lab en Chine. ” Ce que nous rejetons ici ne sera tout simplement pas lancé sur le marché “, insiste-t-on.
Huawei met tout en oeuvre pour démontrer qu’elle est un partenaire fiable aux yeux du monde. Pour preuve, le groupe a ouvert début mars à Bruxelles son Cyber Security Transparency Center où clients, partenaires et administrations peuvent voir à l’oeuvre ses technologies. Ce centre fait partie d’un réseau de 6 sites dans le monde (Chine, Canada, Dubaï, Royaume-Uni et Bonn), mais est le seul en Europe à avoir été mis sur pied par Huawei elle-même et spécialisé dans la transparence. Ainsi, le centre britannique est le prolongement de son centre de R&D.
Ce centre est-il intéressant ? Oui et non. Une grande partie de l’espace est constitué de salles relativement tristes, mais permet aux clients et prospects d’analyser le code source de produits ou de tester divers équipements. Le code source n’est pas physiquement à Bruxelles, mais dans le Cybersecurity Lab de Shenzhen et donc consultable à distance.
Le hasard veut que peu après l’ouverture de ce centre, Data News ait pu visiter les usines de Huawei à Shenzhen (voir page 78), de même que l’Independent Cybersecurity Lab (ISCL).
Le labo est opérationnel depuis 2013 et emploie désormais 137 personnes. Son but est de permettre de tester et de démontrer l’ensemble des équipements et logiciels face aux problèmes de sécurité potentiels. Il opère de manière totalement indépendante du reste de Huawei et est sous la responsabilité de John Suffolk, responsable de la sécurité et de la vie privée chez Huawei. Il dépend du GSPC (Global Cyber Security & Privacy Council) placé sous la direction du CEO. Globalement, ceux-ci donnent le feu vert ou non aux produits et sont en étroite relation avec la vente, la R&D et d’autres départements du groupe.
Il existe 2 types de refus : soit le produit doit être retravaillé, soit le produit ne pourra absolument pas être commercialisé. Depuis 2013, tel a été le cas une centaine de fois. C’est également sur ce site que le code source est stocké, dans une salle interdite d’accès et où des détecteurs de métaux et des panneaux précisent que caméras, ordinateurs et téléphones ne sont pas les bienvenus. C’est au départ de cette salle qu’est établie la connexion entre les centres comme celui de Bruxelles pour permettre aux clients de consulter le code. ” Il s’agit d’une connexion privée avec VNP et cryptage supplémentaire. En outre, nous vérifions les anomalies sur la connexion. Nous sommes particulièrement stricts dans la gestion “, insiste Wang Jin, directeur de l’ICSL.
Deux spécialistes en sécurité mettentde 2 à 3 mois pour tester et approuver un produit.
Comment est assuré ce contrôle ?
Tout d’abord, Huawei respecte toute une série de standards en interne : ISO 27000 (sécurité de l’information), ISO 9001 (gestion de la qualité), ISO 28000 (systèmes de gestion de la sécurité), etc. Le labo proprement dit est aussi conforme à l’ISO 17025, un standard de gestion relatif aux exigences de test et de calibrage et qui assure son indépendance.
Les tests des équipements respectent un principe que Huawei décrit comme ‘many hands & many eyes’. C’est ainsi que les logiciels et le code sont testés avec 66 outils du marché de la sécurité (et notamment les solutions de BurpSuite, Nessus et Appscan). Par ailleurs, l’entreprise recourt à différents outils ‘open source’, dont Wireshark, Openvas, Hping et Sulley, ainsi que des outils développés en interne comme Socker.
Les tests proprement dits sont réalisés par une équipe de spécialistes IT qui ont suivi des formations dans leur domaine respectif, que ce soit les bases de données Oracle, SQL ou autres.
La durée d’un test d’appareil dépend du produit et de l’expérience de l’équipe. Si 2 personnes testent un produit nouveau (ou inconnu), il faudra en moyenne 3 mois. Mais s’ils ont déjà une certaine expérience, 2 mois suffiront. De même, les mises à niveau ou adaptations sont chaque transmises à l’ISCL pour vérification.
Lors de notre visite, nous avons aussi traversé des bureaux où des dizaines de spécialistes s’efforcent, depuis leur ordinateur, de solutionner différents problèmes au niveau des produits. De même, le site héberge un centre de données où une partie des équipements tourne en vrai pour effectuer des tests en situation réaliste.
Mais qu’en est-il de la transparence vis-à-vis du client ? ” Les clients reçoivent nos rapports, mais lorsqu’ils achètent un équipement, libre à eux de réaliser d’autres tests “, précise Wang.
Reste qu’il est impossible d’ouvrir complètement un logiciel ou un ‘firmware’ à tout un chacun, estime encore Wang. ” Chaque entreprise protège sa propriété intellectuelle et il est donc impossible pour nous de tout rendre public. Mais nous permettons autant que possible de voir nos produits et nous nous basons sur les bonnes pratiques en partenariat avec nos clients et partenaires. Les clients peuvent consulter ici le code source et nous disposons de certificats pour prouver que nous sommes un partenaire fiable. “
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici