« Huawei a volé nos technologies et créé une "porte dérobée" pour espionner le Pakistan »,

Allègue Business Efficiency Solutions (BES) dans une plainte déposée contre le géant chinois

« Huawei a volé nos technologies et créé une "porte dérobée" pour espionner le Pakistan »,
allègue Business Efficiency Solutions (BES) dans une plainte déposée contre le géant chinois

Les allégations des États-Unis selon lesquelles Huawei serait une menace pour la sécurité nationale du pays commencent à peine à s'apaiser, mais le géant chinois se retrouve déjà mêlé à un autre scandale lié à la sécurité d'un État. Dans une plainte déposée mercredi auprès d'un tribunal fédéral de Californie, Business Efficiency Solutions LLC (BES), un fabricant de logiciels basé dans la municipalité de Buena Park en Californie, accuse Huawei d'avoir volé ses secrets commerciaux à la suite d'une collaboration sur un projet pour le gouvernement pakistanais. Il s'en serait ensuite servi pour espionner le pays.

En plus d'avoir refusé de le payer, Huawei aurait volé les secrets commerciaux de BES

L'histoire remonterait à près de cinq années en arrière. La plainte déposée mercredi devant le tribunal de district américain de Santa Ana, en Californie, décrit comment BES a commencé à travailler avec Huawei en 2016 pour remanier les systèmes informatiques dont dispose le centre intégré de commandement, de contrôle et de communication de la police du Pendjab (PPIC3) de Lahore, capitale de la province du Pendjab au Pakistan. La plainte estime qu'il s'agissait d'un contrat de 150 millions de dollars décroché en partie grâce à BES et que le géant chinois avait joué un rôle de sous-traitant.


BES a déclaré avoir créé un logiciel pour le projet qui collecte les données des agences gouvernementales, contrôle l'accès aux bâtiments, surveille les médias sociaux et gère les drones, entre autres choses. En effet, la demande de proposition (RFP) appelait des propositions décrivant la conception de huit systèmes logiciels :

• Data Exchange System (DES), pour le stockage des données des cartes d'identité nationales, des accises et des douanes, des fournisseurs de téléphones cellulaires, des registres fonciers et fiscaux, des registres d'immigration et des passeports, etc. ;
• Building Management System (BMS), pour la gestion de la sécurité des bâtiments, des systèmes environnementaux et des accès ;
• Resource Management System (RMS), qui permet de gérer les ressources de la police, comme les véhicules et les équipements ;
• Digital Media Forensics Center (DFC), pour la gestion des vidéos et des images fixes capturées sur le réseau de la police.
• Learning Management System (LMS), pour la formation et le soutien du personnel ;
• Media Monitoring Center (MMC), pour la surveillance d'Internet (médias sociaux), de la presse écrite et de la diffusion ;
• Field Assets, including Mobile Emergency Command and Control Vehicles (ECV), pour le suivi des véhicules de commandement, les ordinateurs de poche et les ordinateurs portables utilisés sur le terrain, les caméras corporelles et les caméras miniatures dissimulées ;
• Unmanned Aerial Vehicles (UAV), pour gérer des drones de niveau industriel pour la surveillance en temps réel.

Les autorités pakistanaises ont invité plusieurs entreprises à soumettre des propositions, dont Motorola, Nokia et Huawei. Selon la plainte, Huawei n'avait pas la capacité technique pour fournir les systèmes demandés par l'appel d'offres et, en mars 2016, il s'est donc associé à BES pour développer les huit systèmes logiciels. Le travail de BES sur le projet aurait été déterminant dans la décision de la PSCA (Punjab Safe Cities Authority) d'attribuer le projet à Huawei. Les huit systèmes développés par BES comprenaient des codes propriétaires, des conceptions, des diagrammes et d'autres informations qui sont "des secrets commerciaux précieux au cœur de l'activité de BES".

Huawei aurait obtenu les conceptions de bas niveau de BES pour ces systèmes et aurait ensuite refusé de payer BES. Mais encore, le chinois aurait cherché à obtenir des contrats similaires de modernisation de la police - sans impliquer ni payer BES - dans plusieurs autres villes du Pakistan, ainsi qu'au Qatar, à Dubaï, aux Émirats arabes unis et en Arabie saoudite. Des responsables de Huawei auraient exigé que BES envoie ces informations à l'entreprise en Chine pour qu'elle les teste. BES a déclaré qu'il avait accédé à cette demande, mais avait mis fin à son autorisation d'utiliser la technologie après que Huawei lui a retiré l'accès au laboratoire d'essai.

Huawei n'aurait toujours pas renvoyé les outils de conception confidentiels ni désinstallé le logiciel, comme BES avait déclaré l'avoir accepté. « Après que Huawei a eu en sa possession les précieux secrets commerciaux et autres propriétés intellectuelles de BES, il a utilisé sa connaissance de la technologie de BES pour commencer à se procurer secrètement certaines parties des systèmes logiciels de BES auprès d'autres sources - y compris auprès de fournisseurs que BES a identifiés à Huawei », indique la plainte. Huawei aurait aussi commencé à utiliser l'un des systèmes logiciels conçus par BES dans le cadre du contrat pour établir une "porte dérobée" de la Chine vers le Pakistan.

Cela lui aurait permis de collecter et de consulter des données importantes pour la sécurité nationale du Pakistan et d'autres données privées et personnelles sur des citoyens pakistanais. "Backdoor" n'est peut-être pas le terme approprié, bien qu'il soit difficile d'en être certain sans connaître les détails de l'architecture technique du système. En fait, la plainte affirme, entre autres, que Huawei a utilisé le système d'échange de données (DES) de BES "pour créer une porte dérobée et obtenir des données importantes pour la sécurité nationale du Pakistan et pour espionner les citoyens pakistanais."

Dans la plainte, le terme est utilisé pour décrire une copie du DES du PSCA fonctionnant sur des serveurs basés dans une installation de Huawei à Suzhou, en Chine. Il n'est pas clair si cette copie résulte d'une capacité d'accès à distance secrète ou d'une option de réplication ouverte dans le cadre d'une politique de sécurité indifférente ou permissive.

BES accuse Huawei d'avoir menti sur l'autorisation de stocker les données en Chine

Parmi les pièces jointes comme preuves à la plainte figure un courriel du 28 mars 2017 du PDG et fondateur de BES, Javed Nawaz. Dans son courriel, il demandait à un contact chez Huawei d'obtenir l'approbation écrite de la police du Pendjab qu'elle accepte de stocker ses données sensibles en Chine. « En ce qui concerne la mise en place de l'environnement à Suzhou en Chine, nous voulons nous assurer que le PPIC3 n'a aucune objection à transférer cette technologie en dehors du PPIC3 pour des raisons de sécurité », a écrit Nawaz dans la lettre adressée à son contact chez Huawei.

« Veuillez obtenir l'approbation du PPIC3, par écrit, avant que nous n'exécutions cette fonction. Notre personnel est en route vers le PPIC3 et attendra les instructions avant de mettre à jour le DES sur des serveurs en Chine », avait-il ajouté. La réponse reçue le lendemain indique qu'aucune approbation n'est nécessaire. La plainte indique que Huawei a ensuite déclaré avoir reçu l'approbation du gouvernement pakistanais, sans donner aucune preuve. « Huawei a menacé de mettre fin aux accords entre les parties et de retenir tous les paiements dus à BES, à moins que BES n'installe le système DES dupliqué en Chine », indique la plainte.

« À la lumière des déclarations affirmatives de Huawei selon lesquelles ils avaient l'approbation du gouvernement pakistanais, le système DES dupliqué a été installé en Chine. Selon les informations et les croyances, Huawei-Chine utilise le système DES propriétaire comme une porte dérobée de la Chine vers Lahore pour accéder, manipuler et extraire des données sensibles importantes pour la sécurité nationale du Pakistan », allègue la plainte. Huawei n'a pour l'instant...