Alors que l’Union européenne impose le retrait des équipements télécoms fournis par des vendeurs jugés à haut risque, Aras Nazarovas, chercheur en sécurité chez Cybernews, avertit que la simple substitution par des technologies occidentales ne comble pas les failles de sécurité structurelles sans une transparence accrue.

L’Union européenne a récemment donné trois ans aux opérateurs de télécommunications pour retirer de leurs réseaux les équipements provenant de fournisseurs considérés comme « à haut risque ». Si cette mesure vise principalement les géants technologiques chinois, les experts en cybersécurité nuancent l’efficacité d’une telle décision si elle se limite à un simple remplacement de matériel.

Pour Aras Nazarovas, chercheur principal en sécurité chez Cybernews, le problème est plus profond.

« Remplacer les appareils chinois par des alternatives européennes ou américaines ne résout pas réellement le problème des portes dérobées (backdoors). Cela ne fait que changer l’identité de celui dont vous dépendez », analyse l’expert.

Des fondations invérifiables.

Le nœud du problème réside dans le fait que les gouvernements et les opérateurs télécoms ont bâti des infrastructures critiques sur des systèmes que personne ne peut vérifier de manière indépendante. Selon le chercheur, troquer le matériel scellé d’un vendeur pour celui d’un autre relève davantage de l’image que de la sécurité réelle.

Un routeur ou un équipement réseau peut présenter des failles de sécurité à plusieurs niveaux. La plupart sont accidentelles et non intentionnelles.

« Ces vulnérabilités peuvent se cacher dans le micrologiciel (firmware) qui s’exécute au démarrage de l’équipement, dans le système d’exploitation lui-même, ou dans le logiciel de gestion », détaille Aras Nazarovas.

Qu’il s’agisse d’erreurs de programmation — un mot de passe oublié par un développeur, du code de test laissé dans le produit final ou des bibliothèques logicielles non mises à jour — ou de sabotage délibéré, le résultat est le même : une porte d’entrée pour les attaquants. Ces codes étant enfouis profondément dans les fondations du système, les outils de sécurité standards, qui surveillent la surface, peinent à les détecter.

Les leçons de l’affaire « Salt Typhoon ».

L’histoire récente corrobore cette analyse. En 2025, des enquêtes sur les campagnes liées au groupe chinois « Salt Typhoon » ont révélé comment des pirates avaient réussi à s’infiltrer dans les réseaux téléphoniques des États-Unis et de leurs alliés. Dans certains cas, ils ont détourné les outils d’écoute intégrés aux systèmes, initialement prévus pour être utilisés uniquement avec un mandat judiciaire.

Au-delà des simples télécommunications.

L’enjeu dépasse largement la 5G. Les restrictions européennes s’étendent aux scanners de sécurité aux frontières, aux systèmes de traitement des eaux, aux réseaux électriques et aux dispositifs médicaux.

« Ce sont des systèmes où une cyberattaque peut menacer des vies, par exemple en paralysant des hôpitaux, en contaminant l’approvisionnement en eau ou en provoquant des pannes d’électricité dans les villes », prévient le chercheur.

Il est crucial de noter que l’interdiction des vendeurs chinois ne garantit pas que les remplacements soient plus transparents. Sans exigence d’audits de sécurité indépendants, les vendeurs européens et américains peuvent s’avérer tout aussi opaques que ceux qu’ils remplacent.

Vers une obligation d’audit pour tous.

L’Union européenne dispose ici d’une opportunité pour aller au-delà du simple changement de fournisseur. La solution préconisée par les experts consisterait à exiger que tout vendeur, quelle que soit sa nationalité, respecte des normes de sécurité vérifiables.

Cela impliquerait l’ouverture du code à un examen indépendant, la soumission à des tests de sécurité réguliers et le maintien de processus transparents pour le signalement et la correction des vulnérabilités.

« La bonne question n’est pas de savoir à quel pays on achète l’équipement. C’est de savoir si quelqu’un peut réellement regarder à l’intérieur pour vérifier qu’il est sûr, ou si nous échangeons simplement une série de boîtes noires contre une autre », conclut Aras Nazarovas.

Cybernews (https://cybernews.com) est un média indépendant spécialisé dans la cybersécurité, menant des investigations et des analyses de menaces pour aider consommateurs et entreprises à naviguer dans le paysage de la sécurité numérique.