Une faille zero-day dans le logiciel des routeurs d’entreprise de Huawei a été identifiée comme la cause principale de la panne de télécommunications majeure qui a frappé le Luxembourg en juillet dernier. Ce défaut a été déclenché par l’arrivée de trafic réseau spécialement conçu, entraînant une boucle de redémarrage continue des équipements du fabricant chinois, ce qui a conduit à l’effondrement de parties critiques de l’infrastructure de l’opérateur national POST. Ce dernier a confirmé que l’incident avait provoqué la panne simultanée de ses réseaux 4G, 5G et fixe.
Initialement considérée comme une attaque par déni de service distribué (DDoS), les autorités luxembourgeoises ont ensuite précisé qu’il ne s’agissait pas d’un incident volumétrique classique. Des sources proches de l’événement ont confirmé qu’il s’agissait d’une attaque zero-day exploitant une vulnérabilité inconnue et non corrigée.
Dix mois après l’incident, les informations techniques complètes sur l’exploit n’ont pas encore été publiées et restent confinées à des échanges privés entre le fabricant et ses clients. Bien que des réunions techniques aient eu lieu entre les autorités luxembourgeoises, les équipes de réponse aux incidents européennes et Huawei, aucune alerte publique n’a été émise, ni aucun identifiant CVE attribué, ce qui est inhabituel pour une faille touchant des infrastructures critiques nationales.
Cela soulève plusieurs questions : combien d’opérateurs pourraient être exposés, la faille a-t-elle été véritablement corrigée dans les équipements de Huawei, et des variantes du même problème pourraient-elles encore exister dans des infrastructures similaires ?
Cet incident alimente le débat sur la fiabilité des équipements d’origine chinoise et remet en lumière la question de la souveraineté numérique. Beaucoup plaident pour que l’Europe cesse de dépendre des fabricants chinois et produise ses propres équipements pour éviter d’éventuels espionnages par Pékin.
La Commission européenne considère officiellement Huawei et ZTE comme des fournisseurs à haut risque pour les réseaux 5G depuis 2023 et a demandé aux États membres de les restreindre ou de les exclure des parties sensibles des télécommunications européennes. Bien qu’il n’existe pas encore d’interdiction totale obligatoire dans l’UE, Bruxelles durcit sa position et travaille sur des réformes législatives pour limiter l’utilisation des technologies des fournisseurs jugés problématiques dans les secteurs critiques.
