Les autorités chinoises ont mis aux arrêts il y a une semaine Fang Xiaodun, le chef de la plus grande communauté de hackers éthiques en Chine. Avec lui, neuf autres membres du groupe connu sous le nom de Wooyun ont également été arrêtés, mais les raisons de ces arrestations n’ont pas été rendues publiques.
Wooyun est une communauté indépendante de près de 5000 chercheurs en sécurité. Comme la plupart des chercheurs en sécurité, ceux de Wooyun utilisent des techniques de piratage afin d’identifier des failles de sécurité dans les systèmes des entreprises et du gouvernement. Les failles découvertes sont ensuite communiquées discrètement aux entreprises concernées pour leur permettre de les corriger. En contrepartie, les chercheurs de Wooyun peuvent recevoir des primes de la part des entreprises pour les différentes vulnérabilités découvertes dans leurs systèmes. Comme on l’observe fréquemment, certaines entreprises peuvent réagir à l’alerte pour faire corriger les failles signalées, mais d’autres non. Pour ces dernières, passé un certain délai, Wooyun publie sur son site web les détails des failles de sécurité découvertes, un recours ultime pour leur mettre la pression afin de fixer leurs systèmes.
Après la divulgation des failles de sécurité, les entreprises sont alors davantage exposées étant donné qu’un pirate pourrait exploiter ces vulnérabilités pour s’infiltrer dans leurs systèmes. D’ailleurs, le quotidien Hong Kong Free Press rapporte que certaines entreprises ont été piratées peu après que des failles dans leurs systèmes aient été rendues publiques par Wooyun. Hong Kong Free Press ne dit toutefois pas si ce sont ces failles divulguées qui ont été exploitées.
Le 19 juillet, le site de Wooyun sur lequel sont divulguées les failles de sécurité ignorées par les entreprises alertées a été suspendu. Le lendemain, le chef de la communauté de hackers éthiques a annoncé une opération de mise à niveau du site pour justifier cela, en rassurant que la situation sera restaurée d’un moment à l’autre. Mais le site est à ce jour encore suspendu. Les dix membres de Wooyun dont Fang Xiaodun ont également été arrêtés par la police peu de temps après cet évènement sans que les raisons de leur arrestation ne soient communiquées. Selon des sources, le site n’a pas été mis hors service par des parties externes, mais plutôt par des membres de Wooyun pour minimiser certains risques. Auraient-ils été sous pression d’une autorité quelconque ? C’est ce qu’insinuent les observateurs.
Parmi les hypothèses sur cette arrestation, certains affirment que Fang Xiaodun doit répondre de ses actes devant la justice parce que des entreprises auraient été piratées après que Wooyun avait divulgué des détails sur des failles de sécurité dans leurs systèmes. Zhao Zhanling, consultant juridique pour Internet Society en Chine, évoque cette raison. Pour ce dernier, Fang Xiaodun et ses pairs pourraient faire face à des poursuites judiciaires, parce les techniques de piratage employées n’ont pas été exécutées sur les propres plateformes de Wooyun, mais sur celles d’autres organisations. Et en publiant les détails de ces failles sur son site web, Wooyun a permis à des acteurs malveillants de pirater ces entreprises. Cette conclusion est critique parce qu’elle implique par exemple que toutes les entreprises de sécurité en Chine violent la loi lorsqu’elles publient des failles de sécurité alors que les éditeurs alertés n’ont pas corrigé leurs produits.
Outre cette hypothèse, de nombreux observateurs pointent directement le gouvernement chinois du doigt. Certains soupçonnent les membres de Wooyun d’avoir piraté les réseaux du gouvernement pour en identifier les failles, mais sans l’autorisation des autorités chinoises. Ils auraient donc été arrêtés par les autorités qui ont décidé de les traiter au même titre que tous les autres pirates.
Source : Hong Kong Free Press
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
La Chine cherche à restreindre l'utilisation des réseaux sociaux par la presse, les médias ne pourront plus les citer comme source d'information
Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police
Quelles sont les raisons ?
Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police
Quelles sont les raisons ?
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !