Avinash Ramessur

Annoncé avec dédain et condescendance dans la fosse qui nous sert de parlement à une question légitime sur les risques à la cybersécurité que pose l’implémentation du projet « Safe City » par le fournisseur attitré (que nous appellerons fournisseur X dans la suite de cet article): « Apportez-moi les preuves et j’agirais ! »

Il s’agit là d’une triple hypocrisie digne du Tartuffe de Molière :

1.Les organismes capables d’apporter ce type de preuves sont des organismes contrôlés par le gouvernement du jour qui, bien évidemment, opère dans l’opacité totale. Comment donc un opposant serait-il capable d’apporter de telles preuves ?

2.Le contrat qui gouverne ce projet a été passé entre le fournisseur X et un organisme qui opère sous la Companies Act 2001 (et qui est donc une entité privée) ce qui rend impossible toute supervision de la part d’un membre du parlement.

3.Même si le gouvernement du jour pense avoir fait son travail, la question se pose quant au niveau de compétence de celui qui l’a entrepris car pour citer un article (voir plus bas), la détection de ce type de risque représente « This stuff is at the cutting edge of the cutting edge, and there is no easy technological solution ».

En somme, pour répondre aussi au ministre afférent qui est devenu grand expert de la cybersécurité (comment ?), il ne faut pas confondre nos propres limites avec celles du monde. Un peu d’humilité devant l’ampleur du problème serait la bienvenue.

Pourquoi donc cela pose problème de confier les arcanes de nos infrastructures de communication de façon quasi-monopolistique au fournisseur X ?

1.La contamination des chaînes d’approvisionnements mondiaux de composants électroniques avec du hardware modifié de façon quasi-indétectable par les entreprises se trouvant dans le pays d’origine du fournisseur X. Ce hardware modifié permettrait d’ouvrir des accès non-autorisés (backdoors) sur des équipements pour soit contrôler l’équipement à distance soit transférer des informations à de tierces parties non-autorisées. Lire à ce titre l’article suivant :

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Comme indiqué dans ce papier, le problème n’est pas limité au seul fournisseur X. Il s’agit d’un comportement généralisé qui met à risque la sécurité nationale de pays affectés et également la sécurité d’entreprises engagées dans une bataille économique mondiale pour survivre.

2.L’utilisation de téléphones contaminés par le même type de puce électronique conduit aux mêmes conséquences à travers l’espionnage d’individus estimés importants au sein d’un pays tiers. Lire à ce titre l’article suivant où les grands responsables d’agences de sécurité lancent les alertes nécessaires.

https://www.theverge.com/2018/2/14/17011246/huawei-phones-safe-us-intelligence-chief-fears

Extrait : « deeply concerned about the risks of allowing any company or entity that is beholden to foreign governments that don’t share our values to gain positions of power inside our telecommunications networks.” He added that this would provide “the capacity to maliciously modify or steal information. And it provides the capacity to conduct undetected espionage. »

Je veux bien qu’ils soient gouvernés par la sécurité nationale de leur propre pays mais quand on est un Petit Poucet avec une souveraineté nationale à défendre sans grands moyens ou, sans grandes compétences au plan local, il faut tendre l’oreille et s’appuyer sur le travail des autres au lieu de faire le matamore.

3.Cerise sur le gâteau : le rapport tout chaud (mars 2019) du GCHQ’s National Cyber Security Centre (NCSC) de l’Angleterre spécifiquement sur le fournisseur X.

Notons que ce document y a été rendu public dans une transparence affichée de l’utilisation des fonds publics pour produire ce rapport et dans l’intérêt public national de la Grande-Bretagne à l’inverse du comportement pitoyablement opaque de nos gouvernants à nous qui choisissent non seulement de masquer leurs insuffisances mais également de faire le tartuffe.

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf

Extraits choisis:

« The Oversight Board advises that it will be difficult to appropriately risk-manage future products in the context of UK deployments, until the underlying defects in X’s software engineering and cyber security processes are remediated »

« At present, the Oversight Board has not yet seen anything to give it confidence in X’s capacity to successfully complete the elements of its transformation programme that it has proposed as a means of addressing these underlying defects »

« Overall, the Oversight Board can only provide limited assurance that all risks to UK national security from X’s involvement in the UK’s critical networks can be sufficiently mitigated long-term. »

https://www.theregister.co.uk/2019/02/20/ncsc_huawei_security/

Extraits :

« Dr Ian Levy of GCHQ’s cyber

arm told the world’s press at a briefing that the supplier X had shown UK supervisors « worrying engineering issues » last year. He added: « As of today we’ve not seen a credible plan. That’s the reality of the situation, unfortunately. » »

« With the British government now admitting that it does not right now allow X’s equipment to be used on its own secure networks… »

Il y a donc de nombreuses raisons de s’inquiéter sur le mal-nommé projet « Safe City » et son implication sur notre souveraineté nationale. C’est bien nous, Mauriciens, qui en seront les cocus parce que des gouvernements étrangers seraient bien mieux au courant des agissements de nos gouvernants que nous. On ne peut qu’imaginer l’utilisation qu’ils en feraient au besoin pour avancer leurs pions sur l’échiquier mondial.

Lors de la même session parlementaire, il fut annoncé de façon narquoise : « Come with specific questions and I will answer them ». Chiche ! Voici nos questions au gouvernement :

1.To provide a network architecture plan describing all core network elements comprising the Safe City project including the name of the suppliers, the respective hardware and software versions and the interconnectivity details of the project with other networks (both internal to the designated operator and external).

2.To indicate whether the equipments listed in 1 above have undergone a thorough hardware scrutiny (including but not limited to optical scans, microscopy, X-ray tomography) for compliance verification of provided hardware with design specifications. To provide report if done.

3.To indicate whether the equipments listed in 1 above have undergone a deep inspection of network traffic on all network interfaces for detection of abnormal behaviour or communication towards unknown targets. To provide report if done.

4.To indicate whether the communication flow generated by the project Safe City is encrypted for communication between network nodes and with end-users. If yes, indicate who is the provider/owner of the encryption keys and whether it has been ascertained that Supplier X does not have access to these keys.

5.To indicate whether wireless technologies will be used for inter-node communications in the project. If yes, which technologies will be used and the relevant safety measures to ensure unauthorised access is not provided (see Safe City incident from same supplier in Pakistan).

6.To indicate which access Supplier X will have to these equipment nodes once they enter operational phase on basis of Operation&Maintenance duties and what are the controls in place to ensure they do not perform tasks contrary to the national security interest of Mauritius.

7.To indicate which controls and other security measures the government has taken to ensure that future software and/or hardware upgrades of the equipment listed in 1 do not contain any spyware which may compromise the national security interest of Mauritius.

Additional questions on the same topic which are also of great relevance :

1.To provide a list of critical government IT and communication infrastructure and their related supplier and their country of origin.

2.To provide a list of suppliers of the main telecommunication operators in Mauritius and their country of origin. If such a list does not exist, indicate why the government has deemed not necessary to establish such a list contrary to the usual practice in a large number of countries for national security interest.

3.With regards to 1&2 above, if the list exists and if it shows a concentration of suppliers from a single country of origin, to indicate what measures the government has taken to mitigate the threat this situation poses to national security.

4.To provide a list of key government and public service individuals and to indicate their official phone brand and associated software version. To indicate the measures the government has taken to ascertain that these phones do not pose a threat to national security interest and whether a periodic report is issued on this matter.

Une petite fable pour terminer : « Si l’on plonge subitement une grenouille dans de l’eau chaude, elle s’échappe d’un bond ; alors que si on la plonge dans l’eau froide et qu’on porte très progressivement l’eau à ébullition, la grenouille s’engourdit ou s’habitue à la température pour finir ébouillantée. »

Moralité : Le bonheur est dans l’ignorance … tant que ça dure !