Alors que l’Union européenne impose aux opérateurs de télécommunications le retrait des équipements jugés à haut risque, un expert en cybersécurité souligne que changer de fournisseur sans audit indépendant ne fait que déplacer la vulnérabilité.

L’Union européenne a récemment accordé trois ans aux opérateurs de télécommunications pour démanteler les équipements provenant de fournisseurs considérés comme « à haut risque ». Si cette mesure vise principalement les technologies chinoises, Aras Nazarovas, chercheur principal en sécurité chez Cybernews (https://cybernews.com/authors/aras-nazarovas/), estime que cette stratégie manque sa cible réelle. Selon lui, substituer des appareils chinois par des alternatives européennes ou américaines ne résout pas le problème fondamental des « portes dérobées » (backdoors).

« Cela change simplement l’identité de celui dont vous dépendez pour ces accès cachés », analyse l’expert. Le problème central réside dans le fait que les gouvernements et les opérateurs ont bâti des infrastructures critiques sur des systèmes que personne ne peut vérifier de manière indépendante. Échanger le matériel scellé d’un vendeur contre celui d’un autre relève davantage de l’apparence que de la sécurité réelle.

Des pièces cachées dans les fondations.

Un routeur ou un périphérique réseau peut présenter des failles de sécurité à plusieurs niveaux. La plupart sont accidentelles et non intentionnelles. Ces vulnérabilités peuvent se loger dans le micrologiciel (firmware) qui s’exécute au démarrage de l’équipement, dans le système d’exploitation lui-même ou dans le logiciel de gestion.

« Il peut s’agir de simples erreurs de codage : un programmeur a oublié d’exiger un mot de passe, a laissé du code de test dans le produit final ou n’a pas mis à jour une bibliothèque comportant des bugs connus », explique Aras Nazarovas. Qu’une faille soit introduite par une ingénierie négligente ou par un sabotage délibéré importe peu au final : elle crée une porte d’entrée pour les attaquants. Ces codes étant profondément enfouis dans le système, souvent dans des parties rarement mises à jour, ces faiblesses peuvent rester invisibles pendant des années.

Les logiciels de sécurité standard peinent à les détecter. Les outils antivirus et de surveillance ne voient que ce qui se passe en surface. « C’est comme surveiller les fenêtres d’un bâtiment depuis l’extérieur », illustre le chercheur. L’actualité récente lui donne raison : en 2025, des enquêtes sur le groupe « Salt Typhoon » (https://cybernews.com/news/salt-typhoon-china-cyber-espionage-ghost-security/), lié à la Chine, ont révélé comment des pirates avaient réussi à s’infiltrer dans les réseaux téléphoniques américains et alliés, détournant parfois les outils d’écoute intégrés réservés aux mandats judiciaires.

Au-delà des télécoms : un risque vital.

La portée de la proposition de l’UE est cruciale car les restrictions s’étendent bien au-delà des réseaux 5G. Elles concernent les scanners de sécurité aux frontières, les systèmes de traitement des eaux, les réseaux électriques et les dispositifs médicaux. Dans ces domaines, une cyberattaque peut menacer des vies en paralysant des hôpitaux, en contaminant l’approvisionnement en eau ou en plongeant des villes entières dans le noir.

Il est important de noter que le simple fait de bannir les fournisseurs chinois ne garantit pas que les remplaçants soient plus transparents ou sécurisés. « Sans exigences d’audits de sécurité indépendants, de vérification ouverte du code et de tests tiers réguliers, les fournisseurs européens et américains peuvent être tout aussi opaques que ceux qu’ils remplacent », prévient l’expert.

Vers une transparence obligatoire.

Pour Cybernews, média indépendant spécialisé dans l’analyse des menaces numériques, l’Europe a ici l’opportunité de faire plus qu’un simple changement de fournisseurs. L’UE pourrait exiger que tout vendeur, quelle que soit sa nationalité, respecte des normes de sécurité vérifiables.

Cela inclurait l’ouverture de leur code à un examen indépendant, la soumission à des tests de sécurité réguliers et le maintien de processus transparents pour le signalement et la correction des vulnérabilités. « La bonne question n’est pas de savoir à quel pays on achète l’équipement, mais si quelqu’un peut réellement regarder à l’intérieur pour vérifier qu’il est sûr, ou si nous échangeons simplement une boîte noire contre une autre », conclut Aras Nazarovas.