IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police
Quelles sont les raisons ?

Le , par Michael Guilloux
28 commentaires

5PARTAGES

9  0 
Les autorités chinoises ont mis aux arrêts il y a une semaine Fang Xiaodun, le chef de la plus grande communauté de hackers éthiques en Chine. Avec lui, neuf autres membres du groupe connu sous le nom de Wooyun ont également été arrêtés, mais les raisons de ces arrestations n’ont pas été rendues publiques.

Wooyun est une communauté indépendante de près de 5000 chercheurs en sécurité. Comme la plupart des chercheurs en sécurité, ceux de Wooyun utilisent des techniques de piratage afin d’identifier des failles de sécurité dans les systèmes des entreprises et du gouvernement. Les failles découvertes sont ensuite communiquées discrètement aux entreprises concernées pour leur permettre de les corriger. En contrepartie, les chercheurs de Wooyun peuvent recevoir des primes de la part des entreprises pour les différentes vulnérabilités découvertes dans leurs systèmes. Comme on l’observe fréquemment, certaines entreprises peuvent réagir à l’alerte pour faire corriger les failles signalées, mais d’autres non. Pour ces dernières, passé un certain délai, Wooyun publie sur son site web les détails des failles de sécurité découvertes, un recours ultime pour leur mettre la pression afin de fixer leurs systèmes.

Après la divulgation des failles de sécurité, les entreprises sont alors davantage exposées étant donné qu’un pirate pourrait exploiter ces vulnérabilités pour s’infiltrer dans leurs systèmes. D’ailleurs, le quotidien Hong Kong Free Press rapporte que certaines entreprises ont été piratées peu après que des failles dans leurs systèmes aient été rendues publiques par Wooyun. Hong Kong Free Press ne dit toutefois pas si ce sont ces failles divulguées qui ont été exploitées.

Le 19 juillet, le site de Wooyun sur lequel sont divulguées les failles de sécurité ignorées par les entreprises alertées a été suspendu. Le lendemain, le chef de la communauté de hackers éthiques a annoncé une opération de mise à niveau du site pour justifier cela, en rassurant que la situation sera restaurée d’un moment à l’autre. Mais le site est à ce jour encore suspendu. Les dix membres de Wooyun dont Fang Xiaodun ont également été arrêtés par la police peu de temps après cet évènement sans que les raisons de leur arrestation ne soient communiquées. Selon des sources, le site n’a pas été mis hors service par des parties externes, mais plutôt par des membres de Wooyun pour minimiser certains risques. Auraient-ils été sous pression d’une autorité quelconque ? C’est ce qu’insinuent les observateurs.

Parmi les hypothèses sur cette arrestation, certains affirment que Fang Xiaodun doit répondre de ses actes devant la justice parce que des entreprises auraient été piratées après que Wooyun avait divulgué des détails sur des failles de sécurité dans leurs systèmes. Zhao Zhanling, consultant juridique pour Internet Society en Chine, évoque cette raison. Pour ce dernier, Fang Xiaodun et ses pairs pourraient faire face à des poursuites judiciaires, parce les techniques de piratage employées n’ont pas été exécutées sur les propres plateformes de Wooyun, mais sur celles d’autres organisations. Et en publiant les détails de ces failles sur son site web, Wooyun a permis à des acteurs malveillants de pirater ces entreprises. Cette conclusion est critique parce qu’elle implique par exemple que toutes les entreprises de sécurité en Chine violent la loi lorsqu’elles publient des failles de sécurité alors que les éditeurs alertés n’ont pas corrigé leurs produits.

Outre cette hypothèse, de nombreux observateurs pointent directement le gouvernement chinois du doigt. Certains soupçonnent les membres de Wooyun d’avoir piraté les réseaux du gouvernement pour en identifier les failles, mais sans l’autorisation des autorités chinoises. Ils auraient donc été arrêtés par les autorités qui ont décidé de les traiter au même titre que tous les autres pirates.

Source : Hong Kong Free Press

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

La Chine cherche à restreindre l'utilisation des réseaux sociaux par la presse, les médias ne pourront plus les citer comme source d'information

Une erreur dans cette actualité ? Signalez-nous-la !

28 commentaires
Commenter Signaler un problème
Omote
Avatar de Omote
Membre averti https://www.developpez.com
Le 02/08/2016 à 13:22
Ce n'est pas une arrestation mais un entretien d'embauche insistant.
4  0 
bilgetz
Avatar de bilgetz
Membre averti https://www.developpez.com
Le 02/08/2016 à 12:12
Citation Envoyé par Aiekick Voir le message
Un hacker, qui passé un certain délai divulgue une faille au publique n'est pas éthique !!
Un hacker qui agit comme ça n'est qu'un pirate, car c'est un simple chantage !
S'il était vraiment éthique, il accepterait le fait que certaine entreprise s'en foute et qu'il ne ce ferait potentiellement jamais payé que la faille soie colmatée ou non.
Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.
4  1 
Tagashy
Avatar de Tagashy
Membre confirmé https://www.developpez.com
Le 02/08/2016 à 23:18
Bonjour,
J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
Pour faire une analogie:
Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait
3  0 
squizer
Avatar de squizer
Membre actif https://www.developpez.com
Le 02/08/2016 à 13:14
Citation Envoyé par bilgetz Voir le message
Ils ne divulguent pas pour être payés, ils divulguent pour que ce soit corrigé.
Que l'entreprise se foute de la sécurité est un problème, et si il faut leur forcer la main pour qu'il colmate le trou de sécurité, je ne voit pas le problème.
Sérieux, vous ne voyez pas où est le problème de forcer quelqu'un à faire quelque chose ?
4  2 
pascaldm
Avatar de pascaldm
Membre actif https://www.developpez.com
Le 15/08/2016 à 19:32
Il y a quelques années (entre 1981 et 2000), le simple fait de prendre contact avec un éditeur pour lui notifier une vulnérabilité vous désignait comme coupable et vous étiez poursuivi ou, à tout le moins, inquiété (perquisition à l'aube, convocation au commissariat, interpellation sur le lieu de travail, ...). Cela a été le cas de plusieurs chercheurs de failles de la liste vuln-dev dans les années 1990s (du temps ou elle était indépendante). En fait, il est plus simple pour une entreprise de s'en prendre au messager que de mettre en place une procédure efficace de correction des vulnérabilités (incluant la notification aux utilisateurs des mises à jour).

Sans correction, c'est l'utilisateur qui est exposé et c'est la responsabilité de l'éditeur qui devrait être engagée mais dans la pratique, c'est le contraire qui se passe à cause des forces en présence. Néanmoins, depuis peu les choses commencent à bouger... Aujourd'hui, on voit fleurir des programmes de bug bounty avec des récompenses (financières ou symboliques) aussi bien aux US qu'en France.

Pour la partie éthique, je dirai qu'un chercheur s'inscrivant dans un programme de bug bounty ou notifiant un éditeur sans full-disclosure publique est un hacker éthique. Par contre, s'il s'adonne au marchandage de 0-day alors il bascule du côté obscur de la force. A noter qu'en France, un professionnel de la cybersécurité qui découvre une vulnérabilité inconnue doit en informer l'ANSSI.

Le comportement malheureux de certains acteurs de l'IT réagissant mal à la divulgation de vulnérabilités (partielle ou totale) a produit un essor du marché du 0day ces dernières années. Le vendeur est classiquement un chercheur en cybersécurité indépendant ou une société spécialisée comme feu Vupen ou maintenant Zerodium ou Hacking Team. Les acheteurs sont principalement des cybercriminels ou des Etats. Par exemple, Zerodium a proposé 1 000 000 $ pour une faille spécifique sur IOS 9, tandis que Hacking Team payait de 30 à 40 K€ un exploit distant effectif sur une version de Windows majeure. Ces niveaux de rémunération ont conduit de nombreux experts en recherche de vulnérabilités à travailler exclusivement pour ces canaux. La demande vient des cyberdélinquants et des gouvernements qui utilisent les 0days dans un cadre de sécurité offensive. Cette facette non éthique est nocive, car aussi bien l'éditeur que l'utilisateur sont des victimes et ceux qui en tirent profit sont les chercheurs de vulnérabilités (personnes ou organisation) non éthique et ceux qui exploitent les vulnérabilités (cybercriminels et agences de renseignement).

Le cas des hackers chinois est troublant car il s'agit d'une communauté de whitehats donc de hackers éthiques. Je suis curieux de connaître le mobile des arrestations.
2  0 
TiranusKBX
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 02/08/2016 à 17:39
Il ne faut pas oublier que malgré le "nettoyage" de ces dernières années les services publiques chinois sont bien corrompus.
De ce fait il ne serait pas étonnant que ce soit des représailles d'une ou plusieurs entreprisses voulant se venger même si ces idiots devraient regarder dans le miroir pour voir les fautifs, vus que si l'on vous dit que vous avez oublié de fermer vôtre coffre vous allez vous empresser de le fermer pour éviter le vol, alors pourquoi ce n'est pas fait pour ces entreprisses
1  0 
Matthieu Vergne
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 04/08/2016 à 13:56
Citation Envoyé par Tagashy Voir le message
Bonjour,
J'etudie la sécurité informatique depuis 3 ans et d'apres ce que j'ai lue les "hacker" ont suivie une pratique très courante en sécurité de divulgué la faille d'abord a l'entreprise puis si celle ci n'est pas corriger dans une duree aproprie (2-3 mois) de la divulgué publiquement. Ce n'est pas que ce groupe d'auditeur qui agit ainsi mais une grande partie des auditeurs procedent de cette facon, de plus ce genre de personne n'est pas intéresser par la récompense mais par l'objectif d'obtenir un écosystème sécurisé, certe comme tout le monde ils sont heureux lorsqu'ils sont rémunérés.
Pour faire une analogie:
Imaginez un marchand de serure qui fabrique les serures de tout un quartier mais avec un leger defaut qui permait en utilisant la clé de votre voisin d'ouvrir votre porte. Dans ce cas les auditeurs contacterais discrètement le fournisseur en l'informant du problème. Cependant si au bout de six mois après avoir relancer des dizaines de fois le serrurier celui-ci ne fait rien qu'est ce que vous préféré, savoir que votre porte est vulnérable et que votre serrurier n'en a rien a faire ou que vous ne sachiez rien et que n'importe qui dans votre quartier puisse rentre chez vous sans que vous ne le sachiez? Du côté des auditeurs le choix est vite fait
Perso, je préfère changer de serrurier.
1  0 
pierre++
Avatar de pierre++
Membre actif https://www.developpez.com
Le 05/08/2016 à 17:20
Citation Envoyé par Matthieu Vergne Voir le message
C'est comme les vaccins : c'est une chose de rendre obligatoire les plus importants, mais de là à faire pareille pour tout c'est une autre histoire.
Je ne vois pas le rapport avec les vaccins, et bien qu'il existe des virus informatiques, ce n'est pas le sujet.
[Troll on]
Au sujet de la vaccination obligatoire je suis à 100% contre, ne serait-ce que pour les nombreux scandales associées à ceux-ci. Je ne ferai pas l'affront de recommander une petite recherche sur ce sujet. A chacun de savoir s'il veut se protéger ou non, surtout que ceux qui sont vaccinés sont du coup majoritairement porteur d'une forme de la maladie pour laquelle ils sont vaccinés et du coup risquent de contaminer ceux qui ne sont pas vaccinés.
[Troll off]
Maintenant quand on a été victime de pertes de données parce que les responsables sécurités d'une entreprise n'ont pas voulu comater les failles pour lesquelles ils ont été avertis, on ne peut qu'approuver le fait qu'ils soient "contraints" par les lanceurs d'alertes de le faire. La justice n'a rien avoir là dedans.
Quand petit votre mère(/père) vous "contraignait" à aller vous brosser les dents ou vous coucher, vous n'alliez par réclamer une décision de justice pour vous exécuter.

La justice à avoir quand une entreprise a mis en danger les données de ses clients en ne les protégeant pas des menaces connues, et du coup elle (la justice) arrive trop tard les dégâts sont faits. IMHO il est donc tout a fait légitime que quelqu'un qui découvre une faille leur mette la "pression" pour que celle-ci soit corrigée avant qu'une tierce personne mal intentionnée ne l'exploite.
1  0 
pierre++
Avatar de pierre++
Membre actif https://www.developpez.com
Le 05/08/2016 à 17:34
Citation Envoyé par Kapeutini Voir le message
En fait c'est comme si je disais à mon voisin, la porte de derrière dans ton jardin n'est pas fermée à clé tu devrais la corriger
puis comme il ne fait rien, j'affiche une pancarte devant chez moi indiquant cette faille.
En fait là non plus la comparaison n'est pas terrible car le fait de tout laisser ouvert ne concerne que moi,et mon voisin à la limite qui risque de s’inquiéter de voir que cela peut attirer les voleurs.
Je pencherais plutôt sur la comparaison avec un problème de sécurité dans la fabrication de jouets ou de nourriture, qui malgré qu'il soit signalé au fabricant, celui-ci ne rappelle pas tous ses produits et n'informe pas tous ces clients
1  0 
Tagashy
Avatar de Tagashy
Membre confirmé https://www.developpez.com
Le 06/08/2016 à 16:29
même si cela peut potentiellement être dangereux.
Ce n'est pas potientiellement dangereux c'est dangereux ! Et potentiellement illégal (En france ne pas sécurisé suffisament son SI est illégal pour les particuliers alors pour les entreprises ...) de toute facon si les "hackeurs" ne le divulgait pas au public Shogan.io s'en chargerais et c'est un outil énormément utiliser par les black hat
Il faut arrêter de penser que de forcer la main de quelqu'un est mal.
C'est pourtant ce qui est fait aux employé d'une entreprise lors d'une migrations d'un parc informatique.
Je vois pas pourquoi uniquement les employé qui n'ont pas de connaissance en informatique devrait etre force et pas la SSI qui eux s'y connaisse et son apte a comprendre l'enjeux.
On va me dire ils ont pas le budget et bas justement la divulgation de la faille devrait faire réfléchir les dirigeants et leur permettre d'accorder plus de budget...
d'ailleur 80% des petites entreprises qui ont subit une cyberataque ont fait faillite dans les 3 mois suivants(source http://www.dynamique-mag.com/article/pourquoi-pme-besoin-securite.3883 )Donc il s'agit plus d'un service rendu que d'un problème ...
P.S Oui je supporte ces personnes car la sécurité n'est pas juste une affaire de barbue etant colle a leur ecran 24/24 mais un problème générale
1  0 
Commenter Signaler un problème