Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonSelon un rapport, un téléphone de bureau commun pourrait divulguer des informations au gouvernement chinois
Travailleurs dans un centre d'appels à Norwich, Norfolk, Royaume-Uni Getty Images
Rester connecté
Patrick Tucker
Un grand fabricant de téléphones chinois pourrait mettre en danger les consommateurs, les entreprises et même les données de sécurité nationale des États-Unis, et un sénateur américain veut savoir ce que le département du Commerce va faire à ce sujet.
Dans une lettre du 28 septembre obtenue par Defence One, le sénateur Chris Van Hollen, D-Md., a décrit un rapport qui "soulève de sérieuses inquiétudes quant à la sécurité des équipements audiovisuels produits et vendus aux États-Unis par des entreprises chinoises telles que Yealink ."
Yealink n'a pas la reconnaissance du nom du géant chinois controversé des télécommunications Huawei, mais ses téléphones sont largement installés à travers les États-Unis, y compris dans les agences gouvernementales. En septembre, Yealink et Verizon ont annoncé leur intention de vendre "le premier téléphone de bureau cellulaire 4G/LTE du pays".
Dans la lettre, Van Hollen a demandé à la secrétaire au Commerce, Gina Raimondo, si son agence était au courant du rapport de Chain Security, une société basée en Virginie qui analyse l'électronique pour la sécurité. Il a demandé si elle considérait son analyse comme crédible et, dans l'affirmative, ce qu'elle voulait que le Département fasse à ce sujet.
De nombreux problèmes de sécurité soulevés dans le rapport sont similaires à ceux que le gouvernement américain a depuis des années à propos de Huawei. Essentiellement, il existe un certain nombre de failles de sécurité importantes, mais peut-être involontaires, qu'un adversaire pourrait utiliser pour voler des données. Mais avec le téléphone Yealink T54W en particulier, certaines fonctionnalités préoccupantes sont clairement intégrées à dessein.
Le rapport a pointé le logiciel Yealink qui connecte chaque téléphone au réseau local. Appelée plate-forme de gestion des appareils, ou DMP, elle permet aux utilisateurs de passer des appels depuis leur PC et les administrateurs réseau pour gérer les téléphones. Mais cela permet également à Yealink d'enregistrer secrètement ces appels téléphoniques et même de suivre les sites Web visités par les utilisateurs.
"Nous avons observé que si le téléphone est géré par la plateforme de gestion des appareils, et si le PC de l'utilisateur est connecté au téléphone afin d'accéder à un réseau local, il collecte des informations sur ce que vous surfez" sur votre ordinateur , a déclaré Jeff Stern, PDG de Chain Security. "La méthode d'utilisation du téléphone IP de bureau tel que le téléphone Yealink comme commutateur Ethernet pour connecter le PC au réseau local est une pratique commerciale courante. L'administrateur de cette plate-forme peut également lancer un enregistrement d'appel à l'insu de l'utilisateur… ce qu'ils font, c'est qu'ils envoient une commande au téléphone pour enregistrer les appels."
Stern a déclaré que "cette fonctionnalité est destinée à être utilisée par l'employé ou le représentant d'une entreprise cliente. Cependant, chaque système a un administrateur superutilisateur, ou SYSADMIN. Dans ces types de systèmes, le SYSADMIN a généralement accès à tout. Certains systèmes modernes, en particulier après Snowden, refusez cette capacité au SYSADMIN. Mais nous devons supposer que ce n'est pas le cas ici et que le Yealink DMP SYSADMIN est en Chine.
Le rapport de Chain Security note que l'accord de service de Yealink oblige les utilisateurs à accepter les lois chinoises, tandis qu'"un ensemble connexe de conditions de service permet la surveillance active des utilisateurs lorsque l'"intérêt national" l'exige (c'est-à-dire l'intérêt national de la Chine)."
Stern a également noté que le téléphone n'utilise pas non plus de certificats numériques pour empêcher les modifications non autorisées de son logiciel. Cela permet aux attaquants de compromettre beaucoup plus facilement les données du téléphone et potentiellement même l'ensemble du réseau auquel il est connecté, sans attribution à Yealink. "Sans une sorte de moniteur surveillant ce qui se passe sur le téléphone, vous ne sauriez pas que ce micrologiciel est là et il peut faire tout ce que vous voulez en termes de surveillance de votre réseau et du sous-réseau. Le scénario qui nous inquiète avec un appareil comme celui-ci c'est qu'il va surveiller votre réseau et ensuite exfiltrer... essentiellement votre architecture réseau ou votre implémentation réseau."
L'absence d'exigence de signature de micrologiciel n'est pas exactement inconnue. Stern a qualifié cela de "vieille erreur". Mais il a dit: "Il n'y a aucune raison pour que de vieilles erreurs comme celle-ci continuent d'être là. Comme, c'est mauvais."
Defence One a demandé à un porte-parole de Verizon si la société vendait des téléphones avec le Yealink DMP et sans certificats numériques. Le porte-parole a initialement déclaré que la société avait personnalisé le DMP pour résoudre les problèmes liés à la sécurité et aux mises à niveau du micrologiciel.
Cette réponse a laissé Stern avec plus de questions. « Qui s'occupe de la personnalisation du micrologiciel ? Est-ce que [Verizon] a une licence pour modifier le code source du micrologiciel ? Est-ce que [Verizon] prévoit de faire des tests de pénétration sur le micrologiciel avant de le diffuser à leurs utilisateurs ? Est-ce que [Verizon] fait le code source analyse de sécurité sur tous les micrologiciels qu'il reçoit de Yealink ?"
Mais après la publication de cet article, un deuxième porte-parole de Verizon a déclaré que la déclaration initiale de la société était incorrecte. Verizon "n'utilise PAS le DMP mentionné dans l'article. L'accès au DMP [de Yealink] est complètement bloqué dans le micrologiciel personnalisé de Verizon. Verizon n'est pas exposé au DMP."
Le deuxième porte-parole a également déclaré: "Chaque téléphone de bureau One Talk utilise des certificats Cybertrust qui sont validés pour toutes les activités de démarrage de l'appareil et de mise à niveau sécurisée du micrologiciel."
Mais Verizon est loin d'être le seul distributeur de téléphones Yealink. Et Stern a trouvé une variété de problèmes à côté du certificat DMP et du micrologiciel.
Stern a également constaté que le téléphone échange des messages cryptés avec un serveur cloud basé en Chine, Alibaba Cloud, plusieurs fois par jour. Vous ne pouvez pas programmer le téléphone pour qu'il ne le fasse pas. Pour l'arrêter, vous pouvez configurer le routeur réseau de votre organisation pour interdire l'échange, mais uniquement si vous savez que le téléphone le fait en premier lieu.
Les téléphones Yealink contiennent également une unité de microprocesseur spécialisée d'un fabricant de puces chinois appelé Rockchip. Bien sûr, les puces chinoises sont présentes dans toutes sortes d'appareils et les experts en sécurité peuvent tester la plupart d'entre eux pour détecter les bogues. Mais celui-ci n'a pas subi les mêmes tests car, dit Stern, Rockchip l'a conçu spécifiquement pour Yealink. "Celui-ci est clairement un produit spécialisé, basé sur le numéro de modèle développé pour Yealink et il n'y a pas de vulnérabilités documentées à atténuer. Sauf qu'il y a des vulnérabilités, n'est-ce pas? Parce que tout a des vulnérabilités. C'est juste que personne ne le signale parce que c'est un spécialiste puce », a-t-il déclaré.
Cela ne signifie pas exactement que quelque chose ne va pas avec la puce, mais elle n'a pas reçu le même type d'examen minutieux que d'autres composants plus largement distribués.
Un expert de l'industrie des télécommunications qui connaît le rapport, mais qui n'a pas aidé à le rédiger et qui n'a aucune affiliation avec Chain Security, a décrit l'entreprise comme étant réputée. L'expert n'a approuvé ni contesté aucune des conclusions du rapport, mais a déclaré que le libellé de l'accord de service de Yealink était à lui seul suffisant pour justifier un examen par le gouvernement. "Le fait que vous [c'est-à-dire Yealink] êtes lié par la loi chinoise, c'est quelque chose que le gouvernement doit savoir."
Si le département du commerce enquête sur les préoccupations du rapport et les trouve valables, Yealink pourrait se retrouver sur une voie similaire à celle de Huawei, placée sur une liste de technologies non fiables que les clients gouvernementaux ne sont pas autorisés à acheter. L'expert de l'industrie a déclaré qu'il n'y avait pas de processus ou de calendrier établi pour que de telles déterminations se produisent.
Stern a déclaré qu'il pensait que les téléphones Yealink se trouvaient dans les bureaux du gouvernement, car le marché gouvernemental des téléphones IP est d'environ 300 millions de dollars, selon son analyse, et Yealink est l'un des dix principaux fournisseurs. Une recherche sur le Web affiche les manuels Yealink téléchargés pour référence sur les sites Web de nombreuses agences locales, étatiques et fédérales.
Le bureau de Van Hollen n'a fourni aucun détail supplémentaire sur la raison pour laquelle ils avaient envoyé la lettre au département du Commerce. Un porte-parole de Van Hollen a déclaré que "la lettre parle vraiment d'elle-même - le sénateur demande simplement plus d'informations".
Le 28 décembre, le département du Commerce a répondu à Van Hollen dans une lettre séparée obtenue par Defence One. "Nous prenons ces questions au sérieux", a écrit Wynn W. Coggins, directeur financier par intérim et secrétaire adjoint à l'administration. "Le ministère du Commerce partage vos préoccupations concernant la sécurité de la chaîne d'approvisionnement des technologies et services de l'information et des communications (ICTS) et les menaces à cette chaîne d'approvisionnement posées par nos adversaires étrangers et travaille activement pour répondre à ces préoccupations."
Yealink n'a pas répondu à une demande de commentaire sur cette histoire.
Cette histoire a été mise à jour pour refléter les déclarations supplémentaires de Verizon.
PROCHAINE HISTOIRE :Top 10 2021 : Technologie
PROCHAINE HISTOIRE :