web-dev-qa-db-fra.com

Est-il possible d'examiner un appareil Huawei pour répondre définitivement s'il existe ou non un risque de sécurité?

Il y a eu beaucoup de nouvelles ces derniers temps , et ces dernières années, Huawei est un risque pour la sécurité. Quelqu'un peut-il expliquer la base du risque, autre que la spéculation? N'existe-t-il pas un moyen d'examiner les appareils Huawei pour voir s'il existe effectivement une puce, un chargeur de démarrage, une porte dérobée, etc. qui pourraient être exploités? Quels dangers potentiels existent dans les appareils Huawei fabriqués en Chine, mais pas dans les autres appareils fabriqués en Chine, comme ceux d'Apple?

9
BogBody

Ce article de la MIT Technology Review dit que le Royaume-Uni a vérifié l'équipement Huawei avant le déploiement. Il ne prévoit qu'un niveau d'assurance limité. Les risques sont la perte de vie privée, espionnage et sabotage.

J'ai quitté l'industrie électronique/informatique il y a des années, mais je pense que les vues suivantes sont toujours applicables à l'état de l'art.

Si l'espionnage est prévu, le fabricant peut rendre le code d'un appareil difficile à accéder et à inspecter. Un dispositif de mémoire flash peut faire partie d'un système sur puce ou d'un système dans un boîtier qui évite d'avoir à présenter des lignes de mémoire sur les surfaces du boîtier. Cela rendrait le code très difficile d'accès. Dans les cas extrêmes, vous pouvez recourir à un microscope électronique à balayage (MEB). Courbon et al a utilisé un SEM pour lire une mémoire flash de 210 nm. (L'article n'est pas daté, mais la référence la plus récente date de 2015, le document est donc au moins aussi récent.) Si vous pouvez accéder au code, vous constaterez peut-être qu'il a été masqué. Code obscurci est créé lorsque le programmeur utilise un programme pour transformer le code d'origine en machine Rube Goldberg . Que ce soit efficace pour cacher les portes dérobées est discutable.

Une puce personnalisée peut être un mystère. Une puce "normale" dans tous les sens sauf l'identification ressemble à un mystère. Un fabricant peut simplement imprimer une identification bidon ou déroutante sur un ou plusieurs des appareils d'une carte. Un appareil peut avoir un aspect standard alors qu'il ne l'est pas. Si une entité bien financée investissait dans la dissimulation ou la dissimulation de fonctionnalités, il faudrait énormément de recherches pour déterminer le "vrai circuit" de toute conception unique. Tant que vous ne connaissez pas le vrai circuit, toute inspection du code ne fournit aucune assurance réelle.

Si vous pensez que vous devez vous donner beaucoup de mal pour déterminer le vrai circuit et inspecter le code pour une porte dérobée, il vaut peut-être mieux concevoir et construire votre propre équipement de télécommunications. De manière plus réaliste, vous installeriez une surveillance intrusive de la conception, de la fabrication, du support et des mises à jour et prendriez peut-être le contrôle de la gouvernance d'entreprise via la nationalisation d'un fabricant.

Si vous n'allez pas être intrusif, vous acceptez implicitement un certain degré de risque et vous comptez peut-être sur les pressions commerciales pour garder le fabricant honnête. Cette confiance pourrait conduire à la déception.

Si les mises à jour sont désactivées, vous pouvez conclure qu'une conception particulière n'est pas un risque pour la sécurité après un certain effort. Vous ne sauriez pas si l'effort fourni est insuffisant et qu'un effort plus important est nécessaire. Il peut ne pas être pratique ni même sûr de désactiver les mises à jour. Dès que le code est mis à jour, vous n'avez aucune assurance. Vous ne pouvez pas être au courant de l'événement d'une mise à jour si le fabricant essaie d'être furtif.

12
H2ONaCl

Il y a beaucoup de spéculations basées sur des renseignements qui n'ont pas été expliquées. Ce n'est pas rien, mais ce n'est pas non plus quelque chose.

Les téléphones peuvent-ils être inspectés? Oui, mais uniquement basé sur la fonction. Le problème n'est pas une porte dérobée ou un chargeur de démarrage, et il ne serait pas nécessaire d'ajouter une puce suspecte car des fonctionnalités malveillantes peuvent être intégrées. Tout appel normal à la maison serait également détecté.

Le problème vient des fonctions "dormeur". Imaginez que le téléphone dispose d'une fonction de "vidage de toutes les données vers la maison" qui n'était pas activée jusqu'à ce qu'une mise à jour soit appliquée par le fabricant. La mise à jour elle-même n'a pas besoin d'être malveillante, juste configurée de manière à activer la fonction dormeur. Ensuite, le contenu du téléphone est téléchargé. Il peut être détecté, mais à ce moment-là, le dommage est fait.

La sécurité dépend beaucoup de la confiance, et si un fournisseur ne peut pas faire confiance, alors peu importe s'il est possible d'inspecter le produit; il y a trop de façons dont le vendeur peut rompre la confiance accordée.

6
schroeder

Le mieux est de surveiller l'activité du réseau pendant que l'appareil Huawei est connecté via votre routeur/modem. Si les données sont transmises de votre appareil à Internet pour des raisons inconnues, en particulier aux adresses IP que vous et vos applications n'avez pas demandées, il y a de bonnes raisons de suggérer des logiciels espions de porte dérobée.

La seule façon de vraiment savoir si un système d'exploitation vous espionne est de surveiller votre propre réseau, à moins que vous n'ayez accès au code source complet du système d'exploitation et que vous puissiez comprendre s'il y a du code de logiciel espion de porte dérobée dans la source. Cependant, même avec le code source complet des systèmes d'exploitation open source, il est très possible qu'il existe des logiciels espions de porte dérobée dans le code qui n'ont pas été détectés par des milliers de développeurs qui ont lu le code. C'est simplement parce qu'il est possible de rendre une fonction de porte dérobée si indétectable que personne ne se rendrait même compte qu'elle est là.

Cependant, si vous ne détectez pas de données laissant votre téléphone à des sources inconnues, il est peu probable qu'une porte dérobée soit en place. Il peut encore être difficile de détecter de petits octets de données quittant votre téléphone, ce qui est suffisant pour voler vos notes, documents, e-mails, historique de navigation, mots de passe et autres petits fichiers.

Si le système d'exploitation Huawei a un code en place pour transférer vos mots de passe sur ses serveurs, il vous faudrait envoyer 8 octets de données sur le réseau pour un mot de passe de 8 caractères. Avec autant d'applications, d'adresses de sites Web et d'autres logiciels qui transfèrent constamment des données vers et depuis votre appareil, la détection de transferts suspects pour des données aussi petites devient incroyablement difficile. Même les informaticiens les plus avertis pourraient avoir du mal à prouver si l'appareil les espionne ou non.

Il convient également de noter que même s'il était prouvé d'une manière ou d'une autre que Huawei n'espionne pas les utilisateurs, ils pourraient toujours mettre à jour leur système d'exploitation à distance, puis à chaque mise à jour, il faudrait prouver que ce n'est pas l'espionnage. Parce que chaque mise à jour du système d'exploitation aurait pu inclure du code qui transfère vos données vers leurs serveurs.

Il est devenu si facile pour les logiciels de vous espionner que les gens doivent prendre conscience du problème que toutes les données de votre ordinateur sont accessibles à tout moment par des logiciels et des systèmes d'exploitation que vous avez installés par de mauvais acteurs qui choisissent d'espionner. vous.

Ce dont le monde a vraiment besoin, ce sont des systèmes d'exploitation qui facilitent la surveillance de toute votre activité réseau tout en donnant aux utilisateurs la possibilité de bloquer toutes les demandes réseau provenant de sources qui n'ont pas été approuvées. En d'autres termes, les gens ont besoin d'appareils où leurs données ne peuvent pas être envoyées sur le réseau, à l'exception des données qu'elles souhaitent envoyer. La raison pour laquelle le monde en a besoin est qu'actuellement, il n'y a aucune raison de croire que les grandes entreprises technologiques américaines et le gouvernement n'espionnent pas déjà les utilisateurs. Même certains petits développeurs d'applications le font. C'est tout simplement trop facile et trop tentant pour beaucoup de ne pas le faire. Et le problème de l'espionnage va probablement empirer à mesure que les développeurs commencent à comprendre les mécanismes de programmation pour implémenter une telle espionnage. À moins que de nombreuses mesures ne soient prises pour empêcher l'espionnage de ces appareils, les gens à l'avenir devraient supposer en toute sécurité que tout ce qu'ils font est collecté et stocké, généralement pour que les algorithmes d'IA soient traités. Si les gens veulent qu'Internet ait une certaine confidentialité, de grandes mesures doivent être prises pour le garantir. Et il n'y a presque aucun moyen de savoir si Huawei assure ou non la confidentialité ou s'il espionne ses utilisateurs.

Le gouvernement américain est terrifié par le fait que Huawei contrôle et implémente les réseaux 5g parce qu'il comprend que les fournisseurs de télécommunications ont accès à tout ce que les utilisateurs font sur le réseau. Les sociétés de télécommunications en Amérique peuvent littéralement voir tout ce que tout le monde fait. Heureusement, malgré le fait que ces entreprises de télécommunications disposent d'un pouvoir presque omniscient, il ne semble pas que ce pouvoir ait été terriblement abusé pour l'instant. Le gouvernement américain a à juste titre peur qu'un autre pays ait un tel pouvoir sur nos propres citoyens.

0
Michael d