L’agence de cybersécurité de l’UE alerte sur les dangers de la 5G

Les réseaux mobiles 5G ultra-rapide, qui devrait être disponibles en 2025, posent de « très hauts risques » pour la cybersécurité, selon l’agence européenne pour la cybersécurité (ENISA).

La Commission européenne et les gouvernements européens sont engagés dans la course pour rendre la 5G disponible le plus rapidement possible, et poussent les opérateurs de télécoms à investir des milliards d’euros dans cette nouvelle technologie.

L’ENISA a toutefois calmé les ardeurs politiques entourant la 5G : les connexions mobiles rapides sont accompagnées de risques « moyens à élevés » de cyberattaques, selon l’agence basée à Athènes.

Les entreprises espèrent que la 5G accroîtra leurs revenus, car la technologie devrait permettre à des dispositifs Internet très sophistiqués traitant d’énormes quantités de données et nécessitant des connexions à faible débit de fonctionner, comme les voitures autonomes.

Sécurité des nouveaux réseaux

Malgré le battage médiatique autour de la 5G, l’agence de cybersécurité de l’UE a averti qu’il n’y avait pas suffisamment de garanties en place pour assurer la sécurité des nouveaux réseaux.

Les connexions Internet actuelles qui fonctionnent sur les réseaux mobiles 4G sont déjà vulnérables aux attaques de piratage.

La prochaine génération de réseaux, beaucoup plus rapide, « risque de répéter l’histoire », a averti l’ENISA. Étant donné que la 5G sera disponible pour un nombre encore plus grand de consommateurs avides de données mobiles qui réclament encore plus de bande passante Internet, les retombées pourraient être désastreuses.

« Alors que le mobile joue un rôle énorme dans notre société numérique, en assurant notre infrastructure numérique quotidienne pour soutenir l’économie elle-même, les enjeux sont élevés », a déclaré l’ENISA dans un nouveau rapport le 28 mars.

La 5G en panne en Europe

Les désaccords sur les licences d’utilisations des bandes radioélectriques entre les États membres d’un côté et la Commission et les opérateurs d’un autre freinent le déploiement de la 5G.

Steve Purser, directeur des opérateurs de l’agence, a déclaré à Euractiv que « les protocoles de signalisation actuels n’ont pas été conçus dans une optique de sécurité, ce qui rend impossible à ce stade la mise en place d’une sécurité efficace ».

Les systèmes actuels de protocole de télécommunications qui sous-tendent la messagerie SMS et les appels téléphoniques ont déjà révélé leur faiblesse. L’année dernière, l’opérateur allemand O2 a signalé que des hackers avaient profité d’une faiblesse du système de signalisation 7, ou SS7, pour pirater des comptes bancaires appartenant à des personnes qui accédaient à leurs fonds à partir de leur téléphone portable.

Nouvelles vulnérabilités

Les entreprises de télécommunications se sont empressées de combler les lacunes de sécurité du SS7 et du système de protocole Diameter plus avancé, mais « on s’attend à ce que de nouvelles vulnérabilités soient découvertes », a déclaré l’ENISA.

Les entreprises européennes de télécommunications commencent à tester la technologie 5G cette année. Alors qu’elles s’apprêtent à investir d’énormes sommes d’argent dans les nouveaux réseaux, l’ENISA souhaite que la Commission affecte des fonds publics au « développement d’outils de protection appropriés pour le secteur privé ».

L’ENISA recommande aussi à la Commission de mettre en place des lignes directrices obligeant les entreprises à respecter les mesures de sécurité. « Il pourrait être judicieux d’avoir des exigences de sécurité communes à l’échelle de l’UE pour les fournisseurs de télécommunications qui incluraient des aspects relatifs à la sécurité de la signalisation », écrit l’agence dans son rapport.

Selon une nouvelle enquête de l’ENISA auprès de 39 opérateurs de télécommunications européens, la plupart des entreprises ne subissent qu’un petit nombre d’attaques de cybersécurité chaque année. 61 % des entreprises ont déclaré qu’elles étaient touchées par moins de dix piratages par an. 7 % des entreprises disent subir plus de 100 attaques par an.

Mais la plupart des opérateurs n’appliquent que des mesures de sécurité minimales, comme la protection du routage pour arrêter les pirates ciblant les messages SMS.

L’ENISA a recommandé aux entreprises de redoubler d’efforts face à des attaques de plus en plus complexes. « Les mesures de base ne couvrent que les attaques de base », a averti l’agence.

L’agence a également suggéré que les régulateurs nationaux des télécommunications dans les pays de l’UE examinent comment les lois pourraient être modifiées « afin que la sécurité de la signalisation soit couverte en termes de signalement des incidents et d’adoption d’exigences minimales de sécurité ».

Subscribe to our newsletters

Subscribe