Selon plusieurs personnes proches du dossier, l'incident majeur de l'année dernière qui a paralysé une grande partie du réseau de communication national luxembourgeois a été causé par des attaquants exploitant une vulnérabilité zero-day non divulguée dans le logiciel de routeur d'entreprise de Huawei, provoquant la perturbation des communications mobiles, des appels fixes et des systèmes de contact d'urgence dans tout le pays pendant plus de trois heures. Cette vulnérabilité n'a jamais été officiellement divulguée sur aucun canal public et aucun numéro CVE ne lui a été attribué dans la bibliothèque de vulnérabilités mondialement acceptée. Les autres opérateurs de télécommunications exploitant des équipements similaires n'ont pas reçu d'avertissements publics.
POST Luxembourg est l'opérateur directement concerné par l'accident. Il s'agit d'une entreprise de télécommunications contrôlée par l'État luxembourgeois. Paul Rausch, responsable des communications de l'entreprise, a déclaré que l'incident était une attaque par déni de service (DoS) contre des équipements réseau qui exploitait "un comportement non public et non documenté du système". Aucun correctif n'était disponible au moment de l'incident, et celui-ci n'était « lié à aucune vulnérabilité connue ou précédemment documentée ». Il a déclaré que Huawei avait déclaré par la suite à POST qu'il n'avait jamais rencontré d'attaques similaires sur un réseau client auparavant et qu'il ne disposait pas de solutions toutes faites.
Plusieurs sources ayant reçu des informations confidentielles ont décrit l’incident comme une attaque zero-day. Bien qu'il n'existe actuellement aucune preuve que la même attaque se soit reproduite, la cause technique de cette faille n'a pas encore été expliquée publiquement et les problèmes associés n'ont jamais été reconnus positivement par Huawei. Selon le rapport, Huawei a reçu des demandes détaillées de journalistes avant la publication de l'article, mais n'a fourni aucune réponse.
L'accident s'est produit vers la fin de la journée du 23 juillet 2025. À cette époque, le réseau fixe de POST et les réseaux mobiles 4G et 5G étaient simultanément paralysés, laissant potentiellement des centaines de milliers d'habitants dans l'impossibilité de passer des appels d'urgence pendant toute la durée de l'incident. Les enquêtes ont révélé que cela a été déclenché par un trafic réseau soigneusement conçu qui a piégé les routeurs d'entreprise Huawei dans une boucle de redémarrage continu, provoquant des pannes répétées des nœuds clés du réseau central POST, déclenchant des pannes de communication à l'échelle nationale. Le réseau a été progressivement rétabli plus de trois heures après l'incident, et le centre d'appels d'urgence du pays a reçu des centaines de nouveaux appels en peu de temps.
Au moment de l'incident, le gouvernement luxembourgeois avait décrit l'incident comme "une cyberattaque inhabituellement avancée et sophistiquée". POST a déclaré que cette déclaration fait principalement référence aux capacités techniques requises pour exploiter la vulnérabilité et ne constitue pas une attaque DDoS à grande échelle qui submerge le système avec des pics de trafic au sens traditionnel du terme. Le gouvernement a initialement qualifié l'incident d'attaque par déni de service distribué (DDoS), mais POST a depuis précisé qu'il ne s'agissait pas de la même technique d'attaque de trafic de masse couramment utilisée par les hacktivistes ou les cybercriminels.
Un porte-parole du procureur luxembourgeois a déclaré qu'une enquête menée par la police et des experts en cybersécurité a révélé que des "données falsifiées" avaient été transférées via POST, un fournisseur d'accès Internet, et que ces données "peuvent être utilisées pour lancer des attaques contre n'importe quel serveur cible". Mais dans cet incident, les données n'ont pas été transmises normalement, mais ont déclenché un comportement anormal du système POST, provoquant son arrêt de fonctionnement et son redémarrage. Un porte-parole du Haut-commissariat luxembourgeois à la protection nationale a déclaré que l'enquête finale n'avait trouvé "aucune preuve que l'attaque ait été délibérément lancée avec POST Luxembourg comme cible spécifique". Aucune accusation criminelle n'a été déposée.
Les résultats de l'enquête ci-dessus indiquent que la source de la paralysie à l'échelle nationale pourrait être le fait que le trafic réseau construit de manière malveillante "a traversé" l'infrastructure POST lors de son transit via Internet. Cependant, au lieu de simplement transmettre des données comme un équipement conventionnel, le routeur Huawei a déclenché un état de panne non divulgué qui a provoqué l'arrêt et le redémarrage répétés de l'équipement, l'amplifiant en un incident à l'échelle nationale. Le rapport souligne que le système d'exploitation réseau VRP développé par Huawei a connu dans le passé des vulnérabilités de déni de service liées à un trafic de protocole soigneusement construit, telles que CVE-2021-22359 et CVE-2022-29798. Des failles similaires sont apparues dans les produits d'autres grands fabricants d'équipements réseau : un trafic mal formé peut provoquer des pannes d'équipement, des rechargements répétés et même des intrusions à distance lors du traitement des communications quotidiennes. Cependant, POST a souligné que l'incident luxembourgeois n'est pas lié aux vulnérabilités de Huawei qui ont déjà été rendues publiques.
Le rapport s’est également concentré sur une question plus large de « déficit de divulgation ». Ces dernières années, Huawei a encore soumis des numéros CVE pour certains produits grand public, mais les informations publiques sur les vulnérabilités de ses logiciels réseau d'entreprise sont devenues de plus en plus rares. La plupart des cas publics existants sont divulgués par des chercheurs indépendants en sécurité plutôt que divulgués de manière proactive par les fabricants. La société continue d'émettre des avis de sécurité d'entreprise à ses clients, mais ces avis ne sont disponibles que via un portail client restreint plutôt que sous forme d'avis public à l'échelle du secteur. Par exemple, Huawei a publié le mois dernier un avis de sécurité sur une vulnérabilité de déni de service impliquant l’analyse de paquets via le portail sans numéro CVE. Il n'existe actuellement aucune preuve que cette annonce soit liée à l'incident du Luxembourg.
Après l'attaque, le Luxembourg a tenu une série de réunions techniques avec Huawei pour connaître la cause de l'incident. Les autorités luxembourgeoises de cybersécurité communiquent également les situations pertinentes aux équipes coopératives d’intervention d’urgence dans toute l’Europe via les canaux de coopération gouvernementaux existants. Cependant, à ce jour, aucun CVE n’a été officiellement soumis pour cette vulnérabilité critique du jour zéro, et la communauté mondiale de la cybersécurité n’a donc pas reçu d’avertissement public complet.
Concernant la question de savoir qui devrait être responsable de la soumission des numéros CVE, un porte-parole de la Haute Commission Nationale Luxembourgeoise pour la Protection a déclaré que selon le processus commun de divulgation, la décision appartient au fabricant. POST a déclaré que la société avait fourni des informations techniques aux parties concernées, mais qu'elle n'avait pas le droit de décider comment les divulguer au monde extérieur. Le rapport souligne que Huawei n'a pas répondu aux demandes de renseignements sur les raisons pour lesquelles il n'a pas publié publiquement de CVE pour la vulnérabilité qui a perturbé les communications à travers le pays. Dix mois après l'incident, le monde extérieur ne sait toujours pas si la vulnérabilité a été complètement corrigée, combien d'opérateurs dans le monde ont été ou sont encore exposés au risque et si les équipements réseau exécutant actuellement des systèmes Huawei similaires présentent encore des dangers cachés.