Quectel répond à la FCC au sujet de la sécurité de ses modules IdO

Quectel Wireless Solutions, un fournisseur mondial de solutions IdO, a commenté aujourd'hui la lettre récemment publiée et adressée à la FCC (Commission fédérale des communications) par la Commission spéciale du Congrès américain qui se demande si les modules IdO de Quectel représentent un risque potentiel pour la sécurité.

« Nous nous réjouissons de cette occasion de travailler avec la FCC et d'autres organes gouvernementaux américains pour démontrer notre approche de la conformité et nos meilleures pratiques en matière de sécurité des appareils, déclare Norbert Muhrer, président et directeur de la sécurité de Quectel Wireless Solutions. Nous sommes déterminés à contribuer à l'avancement d'un monde plus intelligent en fournissant les meilleurs produits et les plus sécurisés de leur catégorie. Cet engagement est démontré par notre vaste base de clients OEM (équipementiers) et par notre souci constant de fournir à nos clients les modules les meilleurs et les plus sécurisés du secteur. »

La lettre de la Commission spéciale du Congrès américain à la FCC contient plusieurs idées fausses sur le fonctionnement des modules de Quectel. Quectel tient à clarifier les déclarations inexactes contenues dans la lettre, comme suit :

Lettre de la Commission spéciale : « Les modules de connectivité sont généralement contrôlés à distance et constituent le lien nécessaire entre l'appareil et l'internet. »

La gestion des appareils et des données relève exclusivement de la responsabilité des clients américains de Quectel ou des fournisseurs/prestataires de services tiers de leurs clients. Les mises à jour du micrologiciel sont gérées et contrôlées par l'OEM qui a fabriqué l'appareil, et non par Quectel.

Lettre de la Commission spéciale : « Ces modules, qui connectent l'appareil à l'internet, ont la capacité à la fois de désactiver l'appareil et d'accéder aux données circulant de l'appareil vers le serveur Web qui fait fonctionner chaque appareil. »

Le contrôle des modules de Quectel est effectué par le microcontrôleur (MCU) ou par l'unité centrale de traitement (CPU) intégrée à l'appareil du client. Quectel elle-même n'exerce aucun contrôle ; ce pouvoir appartient uniquement à l'OEM, c'est-à-dire à l'entité qui a développé l'appareil. La gestion à distance de l'appareil est possible uniquement via la plateforme de gestion des appareils de l'OEM. Un exemple notable de cette question, évoqué dans la lettre, est le cas largement médiatisé des équipements agricoles John Deere, pour lesquels seul l'OEM qui les fabriqués peut désactiver l'équipement en accédant et en arrêtant ses propres MCU, qui contrôlent la machine.

Lettre de la Commission spéciale : « En conséquence, si le CCP peut contrôler le module, il pourrait très bien être capable d'exfiltrer des données ou d'arrêter l'appareil IdO. »

Une fois les modules de Quectel sortis de l'usine et livrés aux clients, les clients de Quectel sont propriétaires des données et Quectel n'a aucun accès aux données collectées. La propriété, le contrôle, le stockage et la modification des données générées par les appareils IdO mis sur le marché incombent clairement aux OEM qui fabriquent les appareils et à leurs clients. Même dans les rares cas hors des États-Unis où Quectel revend le service de connectivité d'un opérateur sans fil, Quectel n'a pas accès aux données de l'appareil.

Lettre de la Commission spéciale : « Cela suscite de graves préoccupations dans le contexte des infrastructures critiques et de tout type de données sensibles. »

Les applications qui nécessitent une sécurité élevée, telles que les infrastructures critiques, utilisent généralement des noms de points d'accès privés (APN, pour access point names) et d'autres méthodes qui contrôlent et surveillent étroitement l'accès au réseau. Cette méthode peut être utilisée pour contrôler et surveiller toutes les données circulant vers, et depuis l'appareil. Toute infrastructure critique est minutieusement élaborée et dotée d'une approche de sécurité à plusieurs niveaux définie et mise en oeuvre uniquement par l'OEM de l'appareil, et non par Quectel.

L'industrie des systèmes cellulaires est fortement réglementée et nécessite des tests intensifs et des certifications. La certification des opérateurs et les attestations requises par la réglementation sont exécutées par des laboratoires tiers de confiance et des laboratoires d'opérateurs qui garantissent que le module est conforme à des exigences techniques strictes. Les modules de Quectel ont obtenu les certifications de la FCC, du PCS Type Certification Review Board (PTCRB) et des principaux opérateurs du monde entier, ce qui prouve l'engagement de Quectel à respecter les normes rigoureuses de l'industrie.

Outre des modules cellulaires, Quectel fournit également des modules et antennes Wi-Fi, Bluetooth et GNSS. En tant que membres de la GSMA, Quectel et ses opérateurs partenaires se conforment à toutes les réglementations et normes applicables de l'industrie cellulaire pour garantir que le flux des données du client final entre l'appareil du client et l'opérateur de réseau mobile est parfaitement sécurisé. Quectel n'a accès à AUCUNE des données de l'appareil.

Quectel s'engage à fournir des modules sécurisés de haute qualité, les meilleurs de leur catégorie, et à aller au-delà des pratiques standard de l'industrie en faisant réaliser des audits de cybersécurité par des tiers indépendants. Récemment, Quectel a également requis les services de la société de sécurité Finite State pour auditer et tester la sécurité de ses modules au moyen de tests d'intrusion rigoureux, assurer une meilleure visibilité de la chaîne d'approvisionnement logicielle et une gestion complète des risques logiciels. Par ailleurs, Quectel participe à la formulation de nouvelles normes de certification de sécurité pour le secteur dans le cadre du CTIA Cybersecurity Certification Working Group, et cherche à obtenir des certifications de cybersécurité supplémentaires auprès de divers organismes américains à mesure que de nouvelles normes sont formulées et adoptées.

Les chipsets et les plateformes logicielles qui sont au coeur des modules de Quectel sont fabriqués par Qualcomm. « Notre partenariat avec Qualcomm souligne l'importance que nous accordons à la collaboration avec des partenaires fiables et sécurisés venant de tout l'écosystème afin de fournir des solutions de haute qualité à l'échelle mondiale, poursuit M. Muhrer. Quectel a une incidence profonde sur l'industrie mondiale de l'IdO. Pour soutenir la distribution de vaccins contre le Covid-19, nous avons fourni des millions de modules cellulaires à de grandes entreprises américaines et internationales, dont Pfizer, Johnson & Johnson, ainsi qu'à d'autres grands fournisseurs de vaccins. Cela met en lumière notre détermination à jouer un rôle central dans les grandes initiatives mondiales. »

À propos de Quectel

La passion de Quectel pour un monde plus intelligent nous pousse à accélérer l'innovation en matière d'IdO. Organisation fortement orientée client, Quectel est un fournisseur mondial de solutions IdO qui offre une assistance et des services exceptionnels à sa clientèle. Notre équipe mondiale croissante de 5 900 professionnels donne le ton à l'innovation pour les modules cellulaires, GNSS, Wi-Fi et Bluetooth, ainsi que pour les antennes et les services.

Quectel dispose de bureaux régionaux et d'un service d'assistance pouvant intervenir dans le monde entier. Notre leadership international est voué à l'avancement de l'IdO et à la construction d'un monde plus intelligent.

Pour plus d'informations, rendez-vous sur : www.quectel.com, LinkedIn, Facebook, et X (anciennement Twitter).

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.