Un correctif de sécurité proposé par un employé de Huawei pour le noyau Linux entraîne l’entreprise au cœur d’une polémique. Le correctif baptisé HKSP (Huawei Kernel Self Protection) contient une vulnérabilité pouvant être exploitée de façon triviale. Beaucoup s’en sont pris à la firme, déclarant qu’elle essaie d’introduire sournoisement des vulnérabilités dans le noyau Linux. De son côté, Huawei déclare qu’il n’est pas impliqué dans la proposition de patch. La société a affirmé que l'employé a soumis le code dans le cadre d'un projet personnel, et non au nom de l'entreprise.Les grandes entreprises technologiques qui utilisent beaucoup Linux dans leurs centres de données et leurs services cloud soumettent souvent des correctifs au noyau Linux. Des entreprises comme Google, Microsoft, Amazon et d'autres sont connues pour avoir contribué au code du noyau. Le correctif dont il s’agit ici a été soumis au projet officiel du noyau Linux via sa liste de diffusion dimanche. HKSP a pour but d’introduire une série d'options de renforcement de la sécurité du noyau Linux. La soumission de HKSP a suscité l'intérêt de la communauté Linux.
Parmi ceux qui s’y sont intéressés figure l'équipe de Grsecurity, une entreprise de sécurité centrée sur le noyau Linux. Dans un billet de blogue publié par l’équipe quelques heures après la soumission de HKSP, elle a annoncé avoir trouvé une vulnérabilité exploitable de manière triviale si le correctif devait être approuvé. Cela a eu pour effet de déclencher des théories de conspiration immédiatement en ligne. Elles accusent l’entreprise d'essayer d'introduire furtivement des vulnérabilités dans le noyau Linux. Une chose que Huawei a niée dans une déclaration sur son site Web officiel.
Grsecurity a déclaré que les informations disponibles publiquement montrent que l'auteur du patch est un employé de Huawei, et malgré les tentatives actuelles pour se distancer du code après la publication de son analyse, il conserve toujours le nom de Huawei. L’équipe a également ajouté que selon ses sources, l’auteur est un agent de sécurité principal de niveau 20, le plus haut niveau technique de Huawei. En outre, elle a également affirmé que le patch est rempli de bogues.
« Suite au rapport du site Web de Grsecurity selon lequel le patch HKSP introduit une vulnérabilité trivialement exploitable, Huawei a immédiatement entamé une enquête. L'analyse a montré que le code du patch n'est pas officiellement publié par Huawei et n'est utilisé dans aucun produit de Huawei. Il s'agit seulement d’un code de démonstration utilisé par un individu pour une discussion technique avec la communauté Linux Openwall », a déclaré Huawei dans son billet, en ajoutant que Huawei a des exigences strictes en matière de qualité du code produit.
Dans le paysage politique compliqué actuel, de telles accusations ne sont ni nouvelles ni surprenantes. L'entreprise chinoise a été accusée à de nombreuses reprises au cours de ces dernières années d'avoir inclus des portes dérobées dans ses équipements de réseautage. Toutefois, Huawei a toujours nié ces accusations. Cela a notamment déclenché un bras de fer entre l’entreprise et le gouvernement des États-Unis. La société a été mise sur liste noire et les entreprises locales ont reçu l’interdiction de collaborer avec Huawei ou d’utiliser ses équipements.
Lundi, le patch a été mis à jour et l'employé de Huawei a ajouté une clause de non-responsabilité pour éloigner la société. Néanmoins, le fait qu'un travailleur de Huawei ait écrit un code qui contient des failles de sécurité n'est pas nouveau. L’année dernière, un rapport du gouvernement britannique a révélé que l'équipement de réseau de Huawei était truffé de failles de sécurité et il peut passer parfois des années sans recevoir de correctifs. Enfin, la réaction de la communauté technologique dans ce cas particulier montre également le sentiment global anti-Huawei.
Ce sentiment a été stimulé ces dernières années par d'innombrables problèmes de sécurité dans les produits de l'entreprise, des accusations de vol de propriété intellectuelle, des accusations de dissimulation de portes dérobées dans son firmware, et la crainte de l'Occident sur le fait que le gouvernement chinois puisse profiter des failles contenues dans les équipements de Huawei pour espionner les communications mondiales.
Sources : Page GitHub de HKSP, Analyse de Grsecurity, Déclaration de Huawei
Et vous ?
Quel est votre avis sur le sujet ? Selon vous, cette vulnérabilité est-elle laissée délibérément ? Voir aussi
Abandonner les équipements Huawei retarderait le déploiement de la 5G en Europe « de probablement deux ans », selon le PDG de Vodafone Le gouvernement britannique autorise Huawei à participer au déploiement de la 5G du Royaume-Uni, mais à certaines conditions Le blocus Huawei de Trump fléchit en Europe qui ne veut pas prendre de retard dans le déploiement de la 5G Les USA envisagent de reconsidérer leur coopération avec les alliés qui utilisent les équipements 5G de Huawei en ne partageant plus les informations Les États-Unis demandent à leurs alliés de boycotter les équipements télécoms du chinois Huawei évoquant des préoccupations de sécurité nationale 
