François Quentin, Huawei : "Jean-Marie Bockel a fondé sa conviction sur des rumeurs infondées"
Le président de Huawei France revient sur la polémique lancée l’an passé par le sénateur Jean-Marie Bockel. Il estime que ce dernier n’a fondé ses convictions que sur « des rumeurs non fondées » et appelle à remonter le niveau du débat pour adopter une approche systémique de la cybersécurité.
LeMagIT : Lors des Assises de la Sécurité, le sénateur Jean-Marie Bockel a déclaré avoir forgé sa conviction controversée sur les routeurs de Huawei et de ZTE - jusqu’à en suggérer l’interdiction en France - en s’appuyant notamment sur l’expertise de l’Anssi. Quelle est votre réaction ?
François Quentin : Le sénateur Bockel a mené une mission, assez rapide, dans le cadre de laquelle il n’a conduit que des entrevues, dont une manquait : la nôtre. Il ne nous a jamais demandé notre avis, ni quoi que ce soit. Il est allé par contre aux Etats-Unis où il a écouté ce que lui ont dit les partis prenantes américaines. Il a effectivement discuté avec l’Anssi, mais je ne crois pas qu’il lui ait demandé quoi que ce soit. Auditer un produit, cela prend toute de même quelques semaines et c’est un vrai travail de fond. Je n’ai pas dit que l’Anssi n’avait pas regardé. Mais je ne pense pas que le sénateur en ait fait la demande et, qu’à la suite d’une telle demande, des actions aient été menées par l’Anssi. Ce n’est pas comme cela que fonctionne l’administration. Ce n’est pas non plus le rôle d’un sénateur qui mène une mission. Maintenant, vous dire que l’Anssi n’a pas regardé, je ne vous le dirai pas. Je vous dirai même qu’ils ont regardé, avec d’autres parties prenantes françaises, et qu’ils n’ont même rien trouvé. Rien du tout. Absolument rien. S’il y avait eu des éléments factuels, on en aurait entendu parler. Ce qui n’est pas le cas : on n’a que des rumeurs qui tournent en boucle, reprises par les uns, enflées par les autres, etc. On est dans une opération strictement commerciale.
LeMagIT : Si l'Anssi n'a rien trouvé, comme vous le prétendez, comment Jean-Marie Bockel peut-il affirmer avoir forgé sa conviction sur l'expertise l'Anssi ?
F.Q. : J’ai dit « toutes les parties prenantes en France », et pas uniquement l’Anssi. Je pense que le sénateur Bockel a forgé sa conviction sur l’avis des gens qu’il a rencontrés aux Etats-Unis d’abord et sur un contexte de rumeurs non fondées qui lui ont peut-être été présentées comme des faits. Je n’ai pas dit qu’il était de mauvaise foi. Je dis qu’on lui a présenté la situation comme une situation à risque alors que personne, nulle part, n’a jamais trouvé quoi que ce soit, à commencer par la Grande-Bretagne qui mène des essais sous sa responsabilité depuis maintenant plus de deux ans. Essais qui, là encore, n'ont débouché sur rien de concret à l'encontre de nos technologies.
LeMagIT : Des vulnérabilités ont toutefois été
...
F.Q. : C’est évident ! Celui qui n’en a pas et viendra me l'affirmer ; je me ficherai de sa tête ! On peut faire le parallèle avec l’aéronautique : la sécurité des vols repose sur une approche probabiliste et personne n’est à l’abri de la panne qui conduit à la destruction d’un avion avec 500 personnes à bord. Tout le monde le sait. En plus, c’est une chaîne, un système complexe. Des faiblesses au niveau d’un équipement, ça ne veut rien dire ; c’est normal. Je pense que l’on gère aujourd’hui la cybersécurité à l’envers, en se concentrant sur les composants des systèmes et sans appréhender le système concerné dans sa globalité. Heureusement, la Commission Européenne me semble partir dans la bonne direction en estimant que c’est un problème de bout en bout qui concerne la communauté et relève de la réglementation, des architectures, des équipements, etc. Et que c’est donc un problème de coopération. On commence à prendre le problème par le bon bout en le considérant comme international et en refusant l’idée selon laquelle on mettrait un tampon sur des boîtes et que cela suffirait à protéger le consommateur.
LeMagIT : Mais avec les réseaux modernes, l’approche systémique ne se heurte-t-elle pas à la question de la délimitation du système étudié ?
F.Q. : Oui. On est par exemple très loin de savoir modéliser le traitement et l'acheminement d'une simple requête Web. Et à cela s’ajoute la variabilité des contextes réglementaires des différents pays. Nous sommes confrontés à un système complexe hétérogène, y compris dans sa régulation.
LeMagIT : Accepteriez-vous de coopérer avec l'Anssi pour un audit complet de vos équipements, en fournissant vos codes source ?
F.Q.: Nous y sommes prêts, y compris à fournir tous les codes source et firmware de nos équipements. Nous leur avons d'ailleurs déjà proposé de le faire dans une atmosphère, disons, "ouverte". On leur a dit : "chiche". Mais je pense qu'ils ont les moyens de faire de la rétro-ingénierie et qu'ils estiment qu'il n'est pas nécessaire de gérer les codes sources. Je sais qu'ils ont fait des analyses, sur tous les équipements, sans jamais rien trouver; grâce à des clients qui les leur ont mis à disposition. L'un d'eux nous a même récemment demandé, en plus, des logiciels optionnels qu'il n'avait pas achetés... Nous les avons fournis, ils partaient pour examen. Nous en sommes ravis. C'est une chose que l'on cherche à structurer, si possible à rendre ouvert, même si ce n'est pas une obligation; nous respectons la méthode du gouvernement français.
LeMagIT : Quelle recommandation feriez-vous à des prospects ou des clients sensibles au discours de Jean-Marie Bockel ?
F.Q.: Cela ne concerne personne, aucun de nos clients. Nos clients ont tous fait le travail - avec nos équipements, mais aussi avec ceux de nos concurrents. L'un d'entre eux - un très gros opérateur - m'a récemment dit "Monsieur Quentin, s'il y avait un problème, vous ne seriez pas là."
