Un expert en cybersécurité estime que la décision de l’UE d’exclure les fournisseurs à risque ne garantit pas la sécurité des infrastructures.

Alors que l’Union européenne a récemment accordé trois ans aux opérateurs de télécommunications pour retirer les équipements des fournisseurs jugés « à haut risque », un expert met en garde contre une fausse impression de sécurité. Selon Aras Nazarovas, chercheur principal en sécurité et hacker éthique pour la publication en ligne Cybernews, cette mesure, bien que symbolique, ne s’attaque pas à la racine du problème.

« Remplacer les appareils chinois par des alternatives européennes ou américaines ne résout pas réellement le problème des portes dérobées. Cela ne fait que changer les portes dérobées auxquelles vous faites confiance », affirme Aras Nazarovas. Pour lui, le véritable enjeu réside dans le fait que les gouvernements et les opérateurs ont bâti des infrastructures critiques sur des systèmes que personne ne peut vérifier de manière indépendante. Changer de fournisseur sans changer de méthode revient à privilégier l’apparence sur la sécurité réelle.

Des failles cachées au cœur des systèmes

Un routeur ou un équipement réseau peut présenter des failles de sécurité à plusieurs niveaux, et la plupart ne sont pas intentionnelles. Ces vulnérabilités peuvent se loger dans le micrologiciel (firmware) qui s’exécute au démarrage, dans le système d’exploitation lui-même ou dans les logiciels de gestion. Il peut s’agir de simples erreurs de codage : un programmeur qui oublie d’exiger un mot de passe, laisse du code de test dans la version finale ou omet de mettre à jour une librairie contenant des bogues connus.

« Qu’une faille ait été introduite par négligence ou par sabotage délibéré importe moins qu’on ne le pense. Dans les deux cas, elle crée une porte d’entrée pour les attaquants », précise le chercheur. Parce que ce code est enfoui profondément dans les fondations du système, ces faiblesses peuvent rester indétectables pendant des années. Les logiciels de sécurité traditionnels, comme les antivirus, ne peuvent analyser que la surface et sont souvent incapables de détecter ces menaces avancées.

L’histoire récente le confirme. En 2025, des enquêtes sur la campagne de piratage « Salt Typhoon », liée à la Chine, ont révélé comment des attaquants avaient réussi à infiltrer les réseaux téléphoniques des États-Unis et de leurs alliés, détournant parfois les outils d’écoute légaux, normalement accessibles uniquement sur mandat.

Un enjeu qui dépasse les télécommunications

La proposition de l’Union européenne est d’autant plus cruciale que son champ d’application est large. Les restrictions ne concernent pas uniquement les réseaux 5G, mais s’étendent à des domaines critiques comme les scanners de sécurité aux frontières, les systèmes de traitement de l’eau, les réseaux électriques et les dispositifs médicaux. Dans ces secteurs, une cyberattaque peut avoir des conséquences mortelles, en paralysant des hôpitaux, en contaminant l’approvisionnement en eau ou en provoquant des pannes d’électricité généralisées.

Cependant, interdire les fournisseurs chinois ne garantit en rien que leurs remplaçants soient plus transparents ou plus sûrs. « Sans exigences d’audits de sécurité indépendants, de vérification ouverte du code et de tests réguliers par des tiers, les fournisseurs européens et américains peuvent être tout aussi opaques que ceux qu’ils remplacent », souligne Aras Nazarovas.

Pour une sécurité vérifiable et transparente

L’expert de Cybernews estime que l’UE a une occasion unique d’aller au-delà d’un simple changement de fournisseurs. Elle pourrait imposer des normes de sécurité vérifiables à tous les fabricants, quelle que soit leur nationalité. Ces normes incluraient l’obligation d’ouvrir leur code à un examen indépendant, de se soumettre à des tests de sécurité réguliers et de maintenir des processus transparents pour signaler et corriger les vulnérabilités.

« La bonne question n’est pas de savoir quel pays fournit l’équipement. C’est de savoir si quelqu’un peut réellement regarder à l’intérieur pour vérifier qu’il est sûr, ou si nous ne faisons qu’échanger une série de boîtes noires contre une autre », conclut-il.

Aras Nazarovas est chercheur principal en sécurité de l’information pour Cybernews (https://cybernews.com), une publication en ligne spécialisée dans la cybersécurité. Avec son équipe de recherche, il analyse les menaces et identifie les failles de sécurité pour aider les consommateurs et les entreprises à mieux se protéger.