Hacktu Magazine Le magazine de la cybersécurité
Haut débit mobile amélioré (eMBB), Ultra-Fiabilité et Communications à faible latence (URLLC), communication massives de type Machine (mMTC), ces fonctionnalités novatrices positionnent la 5G au rang de véritable grande révolution de nouvelle génération dans le domaine des télécommunications/TIC. Les derniers développement survenus au cours de l’année 2020 tiennent toutes les promesses annoncées par cette technologie.
Du point de vue de la sécurité, la 5G corrige de nombreux problèmes et failles de sécurité des réseaux de la génération précédente, qui sont exploitées par les pirates par exemple pour traquer la position d’un utilisateur, de rétrograder leur service vers des versions moins sécurisées et plus facilement exploitables, violer le secret des communication, espionner, implanter des malwares, réaliser des fraudes à la facturation, etc. L’introduction par exemple des fonctions de cryptage, d’anti-pistage, d’anti-usurpation, de découpage améliorées du réseau, etc., sont en exemple concret des nombreuses améliorations qu’apporteront le 5G.
En outre, le passage à la 5G sera progressif, car même si les normes techniques sont définies et adoptées, les réseaux 5G sont prévus pour s’intégrer et s’appuyer initialement sur les réseaux des générations précédentes (2G, 3G, 4G), avant de les remplacer totalement au fil du temps.
Seulement cinq (5) pays africains ont attribué des fréquences 5G, dont un seul a lancé commercialement le service 5G et comme pour la plupart des pays en Afrique, la Côte d’Ivoire envisage de déployer cette technologie à partir de l’année 2023.
Cependant, les nombreux avantages et améliorations attendues de la 5G entrainent dans leur sillage, un corolaire de défis de sécurité qu’il est difficile d’ignorer. Nous détaillerons dans cet article, cinq (5) des défis les plus importants dans le cadre du déploiement de la 5G.
1) La non-interopérabilité de la 5G avec les réseaux des autres générations
La 5G n’est pas rétro compatible avec les réseaux de la génération précédente, c’est-à-dire que les équipements des générations 3G, 4G devront être soit remplacés, soit complétés avec des appareils ou logiciels spécifiques, afin de fonctionner correctement. La ruée vers des équipements compatibles 5G créé le risque d’acquérir des équipements et/ou logiciels vulnérables dès la conception par des fournisseurs non fiables. Les efforts de contrôle et d’homologation devraient être placés au cœur des préoccupations des régulateurs et agences gouvernementales de contrôle.
2) Vulnérabilités et failles de sécurité héritées de la 3G/4G
Du fait que la 5G doive « cohabiter » avec les réseaux 3G/4G déjà en service avant de les remplacer totalement, les vulnérabilités qui existent dans les réseaux de générations précédentes se répercuteront inévitablement sur les réseaux 5G tout au long de cette période de transition. Les implications économiques de la transition vers la 5G vont assurément conduire les opérateurs à adopter une approche de déploiement hybride ou non autonome, dans laquelle le cœur de réseaux et certains services clés fonctionneront avec les réseaux 4G/3G et des services 5G sont tout de même offerts à la demande.
Les attaques SS7 sont une parfaite illustration du potentiel d’exploitation des vulnérabilités des réseaux 3G/4G. Par ailleurs, des attaques de type dégradation de niveau de protocole peuvent être réalisées pour forcer le réseau à basculer vers les versions les plus vulnérables, afin d’en exploiter les failles, par exemple manipuler un service 5G pour qu’il passe en 4G/3G.
3) Risques et coûts liés à l’approvisionnement d’équipements 5G
De fortes pressions sous fond de tensions géopolitiques sont exercées par les gouvernements sur des fabricants et fournisseurs d’équipements 5G indiquent les enjeux majeures de l’acquisition et du dépliement massif de cette technologie. Les restrictions et sanctions sur des équipements de constructeurs considérés comme peu ou pas fiable pourrait avoir un impact énorme sur le coût d’acquisition des équipements. Une faiblesse de l’offre accessible aux entreprises et opérateurs de télécommunication aura pour effet d’accroitre les coûts d’acquisition des équipements qui risquent d’être répercutés sur le coût d’accès de l’utilisateur final. Face à cet état de fait, il est à parier que les périodes « cohabitation » avec 3G/4G soit très longue, avec les conséquences que cela comporte.
4) Non-respect et imprécision des normes
La mise en œuvre stricte des recommandations et spécifications techniques de déploiement sécurisé de la 5G exerceront une forte pression économique sur les opérateurs de téléphonie. En effet, il sera nécessaire de modifier structurellement l’architecture existante, avec des investissements encore plus importants tant du point de vue des infrastructures, que des ressources humaines compétentes et qualifiées pour la gestion de cette nouvelle technologie. Il est attendu que pour économiser de l’argent et en raison de leur manque d’expérience, les opérateurs implémentent de manière imprécise ou volontairement limitée les exigences définies.
5) Vulnérabilités acquises
Avec les réseaux 5G, il y a un changement radical dans la signalisation, qui se produira sur le protocole de réseau ouvert HTTP utilisé sur le World Wide Web. Surtout, les réseaux 5G utiliseront la dernière génération, HTTP/2, normalisée en 2015 par l’Internet Engineering Task Force (IETF). La 5G favorisera le développement et une très large adoption de services existants tels que l’internet des objets (IoT), LTE-advanced, Multiple Input Multiple Output massif(maMIMO), le cloud computing, les réseaux définis par logiciel (SDN), l’intelligence artificielle (IA), etc. Or, ces services et technologies comportent intrinsèquement des vulnérabilités qui auront assurément un impact sur la sécurité des réseaux 5G.
Par ailleurs, étant donné que la 5G utilise les protocoles IP, HTTP et TLS, la surface d’attaque est très largement plus étendue et offre des points des possibilités d’exploitation ouvertes à tout le monde. La sécurité des réseaux 5G demandera à plusieurs égards des efforts au moins équivalents à ceux qu’il faut déployer pour les systèmes d’information IT & OT.
