Risques d'espionnage: des oreilles et des yeux chinois épient nos grandes entreprises

Un grand écran diffuse les images de plusieurs caméras, ce qui permet de suivre en ligne les interventions dans une salle de conférence ou une réunion. Si un orateur se déplace, la caméra se meut avec lui, sans nuire à la qualité de l’image ou du son.

Selon une enquête menée par De Tijd et le site d’information néerlandais Follow The Money, de nombreuses grandes entreprises belges ont installé de tels systèmes de vidéoconférence de la marque chinoise Yealink, surtout depuis les années covid. Le distributeur Benelux de la marque a d’ailleurs vu le total de son bilan plus que doubler pour atteindre 13,3 millions d’euros en 2021. 

À Alost, au siège d’Ontex, le plus grand producteur européen de couches pour bébés, de serviettes hygiéniques et de protections contre l’incontinence, les salles de réunion et la réception ont été équipées fin 2021 d’appareils de Yealink, qui fournit également des téléphones VoIP connectés sur Internet. Chez le groupe de distribution Colruyt, depuis le deuxième trimestre de l’année dernière, toutes les salles de réunion permettant la vidéoconférence, de la plus petite à la plus grande, accueillent désormais quelque 280 appareils Yealink. 

Des entreprises gérant des infrastructures sensibles et critiques dans notre pays ont également installé les appareils chinois. Depuis octobre 2021, le distributeur de gaz et d’électricité Fluvius utilise 117 systèmes de vidéoconférence de Yealink. Ces systèmes ont été jugés les meilleurs à l’issue d’un appel d’offres public. D’autres entreprises dans des secteurs vitaux, comme le fournisseur de gaz Fluxys et l’entreprise énergétique Engie, utiliseraient également la marque chinoise, mais ont refusé de nous le confirmer pour des raisons de sécurité. 

Les administrations publiques en sont équipées également. En Belgique, le Centre national de crise, entre autres, disposait d’équipements Yealink "jusqu’à récemment". Mais le Centre de crise souligne qu’il a également été peu utilisé dans le passé, uniquement comme système de sauvegarde, et jamais pour des informations confidentielles. 

Une clé de déverrouillage pas si unique 

Yealink Network Technology Co Ltd a été fondée en 2001 par Zhi Song Chen, aujourd’hui âgé de 57 ans. Son siège social est établi dans la ville chinoise de Xiamen, et son centre de R&D à Hangzhou. En 2010, Yealink était déjà le plus grand fournisseur de téléphones VoIP en Chine. Quatre ans plus tard, elle grimpait à la deuxième place du marché mondial. Au premier semestre 2023, elle a réalisé un chiffre d’affaires de 255 millions d’euros, dont près de 36% en Europe et 28,5% aux États-Unis. 

En 2015, Yealink a conclu un partenariat stratégique avec Microsoft pour les dispositifs de support d’image pour Teams. Deux ans plus tard, elle a commencé à collaborer avec de grandes entreprises de télécommunications telles que Verizon, AT&T, British Telecom, KPN, Vodafone et, dans notre pays, Proximus. En 2017, Yealink est entrée en bourse à Shenzhen. Le fondateur Zhi Song Chen possède encore plus de 7,5% des actions et quelque 30% du capital sont détenus par des fonds d’investissement chinois. 

Au début de l’année dernière, un sénateur américain avait déjà écrit à l’administration Biden pour mettre en cause Yealink . Un consultant américain avait en effet découvert des risques de sécurité dans l’équipement chinois. L’expert en sécurité néerlandais Jeroen Hermans, qui avait déjà travaillé pour le ministère néerlandais de la Défense, entre autres, a également affirmé avoir mis le doigt sur des failles. Il avait fait part de ses conclusions à Follow The Money l’été dernier et nous avons tout analysé pendant des mois avec d’autres experts.

Les experts s’interrogent notamment sur la sécurité du "provisioning". Si vous avez un nouveau téléphone VoIP, vous devez d’abord le configurer. L’opération est très simple: dès que vous l’allumez, il entre en contact avec les serveurs du fabricant. Ce processus s’appelle le "provisioning". Pour le sécuriser, les documents afférents sont envoyés de manière cryptée. Vous ne pouvez les déverrouiller qu’avec une clé unique, qui se trouve sur votre propre appareil. Or, Jeroen Hermans a découvert que la clé par défaut de tous les téléphones Yealink était la même et que l’entreprise chinoise l’avait publiée ouvertement dans le logiciel qu’elle utilise pour le provisioning. En clair, si vous continuez à utiliser cette clé pour votre appareil, des informations sensibles telles que les données de connexion pourraient également tomber entre les mains de personnes extérieures. 

Dès 2012, les clés de provisioning des téléphones Yealink étaient accessibles à tous, à l’époque via Github, un site web bien connu des développeurs de logiciels. Ce n’est que vers 2019/20 que Yealink a pris des mesures, qui n’étaient pas non plus sans faille. Yealink a décidé de crypter à nouveau une nouvelle clé, mais cette deuxième clé était également accessible. 

 Des téléphones vulnérables aux hackers 

L’une des autres failles de sécurité mises à jour par les experts est que les téléphones VoIP Yealink ont un port réseau ouvert par défaut. Combiné à un logiciel obsolète, cela rend les appareils inutilement vulnérables aux hackers, selon les experts. 

D’ailleurs, après les questions critiques de Jeroen Hermans, Yealink a rendu illisible le micrologiciel de ses produits. Du moins pour les téléphones VoIP examinés par nos experts. Mais cela signifie qu’il n’est plus possible de vérifier de manière indépendante si le nouveau micrologiciel est sécurisé. 

"Yealink n’accorde manifestement pas une grande importance à la sécurité et manque d’expertise technique", observe le cryptographe belge Bart Preneel (KU Leuven), qui jouit d’une renommée internationale. "Au vu du grand nombre de problèmes, j’attribuerais cela à de l’incompétence plutôt qu’à une insécurité délibérée, car si l’on veut dissimuler des failles, on peut le faire de manière beaucoup plus subtile." 

"Si tous les appareils ont ou avaient la même clé secrète partagée, il s’agit bien entendu d’une grave erreur de conception ou de configuration. Certes, cela simplifie fortement la gestion des appareils, mais c’est en fait très peu sûr. Mais indépendamment de cette faille, il n’est pas très malin pour une administration publique ou une grande entreprise d’utiliser des appareils provenant de pays hostiles ou d’autres pays", avertit Bart Preneel.

État chinois 

Yealink est bien connu aussi des services de la Sûreté de l’État belge. "Selon des sources ouvertes, Yealink présente en effet certains risques techniques en matière de sécurité", réagit Peter Gorlé, porte-parole des services de renseignement.

"En outre, Yealink est soumise aux lois chinoises concernant l’accès du gouvernement chinois aux données collectées par les entreprises nationales."

La Chine a promulgué en effet des lois sur la sécurité qui obligent les entreprises technologiques du pays à transférer les données des utilisateurs si le gouvernement en fait la demande. Cette législation peut également contraindre les entreprises chinoises à intégrer des failles et des bogues pour permettre au gouvernement d’accéder aux systèmes. Depuis juillet 2021, les entreprises technologiques opérant en Chine sont par ailleurs tenues de signaler les vulnérabilités de leurs logiciels dans les 48 heures suivant leur découverte. Ces vulnérabilités sont ensuite partagées avec une série d’agences gouvernementales, telles que le ministère de la Sécurité de l’État, qui organise également le cyberespionnage et les attaques. 

Pourtant, la plupart des entreprises belges semblent ne voir aucune malice à utiliser des équipements chinois. Certaines soulignent qu’elles appliquent les normes de sécurité les plus strictes, tandis que d’autres admettent qu’elles se fient principalement au fournisseur et aux certificats présentés. Mais la certification des produits Yealink pour Microsoft Teams est muette sur la sécurité, seule la qualité de l’audio et de la vidéo a été testée, précise un porte-parole de Microsoft. Fluvius insiste sur le fait que pendant les vidéoconférences, tout se déroule exclusivement via des connexions sécurisées entre Fluvius et Microsoft.

Seul le groupe Colruyt admet qu’après une analyse des risques, ses experts informatiques ont qualifié le service cloud de Yealink de peu sûr et ont pris les choses en main. Pourquoi Colruyt a-t-il choisi Yealink? Entre autres, pour son meilleur rapport qualité-prix, la facilité d’installation et le fait qu’"il devait pouvoir prendre en charge à la fois Skype for Business et Teams".

Proximus ne voit aucune menace

Le groupe télécoms Proximus recourt également aux appareils Yealink pour les systèmes de téléphonie qu’il propose aux entreprises. Mais Proximus ne voit "aucun élément concret indiquant une menace spécifique". L’opérateur dit avoir minutieusement vérifié tant la plateforme sur laquelle les équipements Yealink sont utilisés que l’activité réseau des appareils. Parmi les clients Proximus, la Ville de Bruxelles a reçu des centaines d’appareils Yealink, nous a-t-elle confirmé.

Le fait que les principaux opérateurs de télécommunications vendent les téléphones Yealink prouve qu’ils les estiment sûrs, souligne le distributeur Benelux des produits Yealink, Lydis. L’opérateur néerlandais KPN précise toutefois que ce n’est pas à lui, mais au fabricant de garantir un produit "sûr et fiable". S’agissant de la sécurité des données circulant sur la plateforme Yealink, Lydis se réfère à un certificat délivré par le bureau chinois du certificateur international TÜV Rheinland. Or, ce dernier nous a appris que le certificat en question avait été retiré.

Yealink admet que le certificat a expiré à la fin du mois d’août et tente toujours de le remplacer. Mais Yealink conteste toutes les failles de sécurité signalées par les experts. La "clé privée" partagée ne servait qu’à des "démonstrations", selon Yealink. Yealink présume que seul un petit nombre de clients a commencé à utiliser cette clé par défaut comme clé réelle. Néanmoins, suite à nos questions, les clients du Benelux en ont été avertis récemment et Yealink a également supprimé l’option de la clé par défaut.