La loi chinoise en matière d’espionnage contraint les firmes technologiques à signaler leurs points faibles

Depuis 2021, une loi chinoise oblige toutes les entreprises technologiques qui opèrent en Chine à signaler leurs vulnérabilités aux instances gouvernementales. Un récent rapport de l’Atlantic Council montre que c’est un problème: ces instances sont en effet liées à des campagnes d’espionnage et à des cyberattaques.

Auparavant, la Chine utilisait la CNVD, la base de données nationale chinoise sur les vulnérabilités, créée pour signaler les points faibles des applications logicielles. Une telle base de données devait protéger les pays contre les cyberattaques, car même dans le cybermonde, mieux vaut prévenir que guérir. Les Américains disposent eux aussi d’un système similaire. Comment fonctionne-t-il? La base de données en question repose entièrement sur le signalement volontaire des vulnérabilités et des bugs des systèmes logiciels. La liste est complétée par les particuliers ou les entreprises technologiques elles-mêmes. Toutefois, cela ne suffit pas aux yeux du gouvernement chinois, notamment du ministère de la sécurité d’État, qui est allé encore plus loin. Selon le rapport de l’ Atlantic Council, c’est désormais un pas de trop.

48 heures

Deux jours ou 48 heures, c’est le délai dont dispose chaque entreprise technologique pour signaler les ‘failles’ ou les bugs dans ses logiciels après leur découverte. La loi de 2021 oblige les entreprises technologiques à le faire via une plate-forme en ligne du ministère chinois de l’industrie et de la technologie de l’information. Or ce ministère ajoute à son tour les bugs piratables à l’une des nouvelles bases de données: la Cybersecurity Threat Intelligence Sharing Platform.

Cette base de données pourrait toutefois contribuer à la stratégie agressive de piratage de la Chine. Les recherches de l’Atlantic Council montrent que les données sont également distribuées à d’autres instances gouvernementales. Des instances gouvernementales connues pour profiter et exploiter ces faiblesses. En d’autres termes: le piratage. Et l’une de ces instances est un bureau du ministère de la sécurité d’État à Pékin. Elle a déjà été responsable de diverses campagnes d’espionnage et de cyberattaques dans le passé.

Deux ans plus tard, quasiment tout semble indiquer que les instances gouvernementales chinoises collectent des informations en vue d’exploiter les bugs ou points faibles. En plus de signaler les bugs, la loi oblige également les entreprises à enregistrer, entre autres, le nom, le modèle et la version des produits contenant des vulnérabilités. Au cours de son enquête, l’Atlantic Council a pu visionner le portail en ligne sur lequel les bugs sont signalés. Là, les chercheurs ont découvert un champ de remplissage obligatoire, ce qui signifie que les producteurs doivent fournir des détails sur les erreurs dans le code source ou ajouter une vidéo qui montre en détail le type de bug et où il se trouve.

Atlantic Council

L’Atlantic Council est un groupe de réflexion qui se concentre principalement sur la recherche en matière de leadership et d’implications internationales, et qui formule des recommandations à l’intention de son vaste réseau autoproclamé de dirigeants mondiaux. Dakota Cary est chercheuse au Global China Hub de l’Atlantic Council, un département spécialisé dans la Chine. Cary a déclaré à Wired que dès que la loi a été annoncée, il était clair que ce serait un problème. Cary: ‘Maintenant, nous avons pu démontrer qu’il existe un véritable chevauchement entre les personnes qui gèrent ce genre de rapports et celles qui mènent des opérations de piratage offensives.’

L’Atlantic Council nuance ses conclusions: toutes les entreprises technologiques suivront-elles de la même manière la ‘loi chinoise sur l’espionnage’? Non, probablement pas. Cependant, certaines entreprises ne savent parfois tout simplement pas ce que leur responsable local transmet aux autorités gouvernementales. ‘Il n’en entend parler que si l’entreprise ne respecte pas les règles’, déclare Cary dans Wired.

Le rapport de l’Atlantic Council aura sans aucun doute également un impact sur les relations internationales entre la Chine et l’Occident. Plus tôt cette année, un groupe chinois a piraté les adresses e-mail de divers gouvernements d’Europe occidentale. Les États-Unis surveillent également de près la technologie chinoise par crainte de cyberattaques. Reste donc à savoir quel sera l’impact de ce rapport à l’avenir.