Chine : le code source des firmes étrangères sera inspecté par un présumé cyberespion
à la solde du gouvernement

Le , par Patrick Ruiz, Chroniqueur Actualités
Il s’agit là d’une des dispositions de la nouvelle loi chinoise sur la cybersécurité entrée en vigueur le 1er juin dernier. Cette dernière confère au Centre chinois d’évaluation des technologies de l’information (CNITSEC) le pouvoir d’attester que les entreprises étrangères dans le processus d’installation sur le sol chinois répondent bien aux normes de cybersécurité du pays. Cela passera entre autres par un examen du code source des applications ou services offerts par ces dernières, si l’on s’en tient à l’article 35 de cette loi.

Le problème ici est qu’une publication de Recorded Future, une entreprise spécialisée dans le renseignement en temps réel, lie le CNITSEC à Boyusec, une entreprise chinoise liée aux activités d’APT3. Le rapport de Recorded Future identifie d’ailleurs APT 3 comme le premier groupe de cybercriminels à être lié de façon directe à un État, en l’occurrence ici la Chine, via le ministère de la Sécurité de l’État chinois (MSS).

La publication de Recorded Future est l’une des plus récentes d’une série relativement longue d’autres rapports qui soulignent les méfaits du groupe APT 3 et qui, très important, le lient au gouvernement chinois. On citera au passage une publication (parue en 2016) du quotidien The Straits times dans laquelle ce groupe est cité comme auteur de cyberattaques contre des départements du gouvernement de Hong Kong. Bryce Bolland, CTO de la firme de sécurité Fireeye Asie Pacifique, relayé par The Straits Times affirmait alors qu’ : « il pense que le groupe responsable des attaques [APT 3] est sponsorisé par la Chine. »


Nul besoin d’être un expert pour comprendre qu’avec sa nouvelle loi sur la cybersécurité, la Chine a fini de jouer à cache-cache. Elle pourra désormais étudier (de façon officielle) le code source des applications et services des entreprises désireuses d’opérer sur son sol, y découvrir des failles de sécurité et les utiliser contre d’autres pays. Vraiment, rien de nouveau sur des schémas de fonctionnement comme celui-ci, si ce n’est l’aspect légal via lequel les opérations seront désormais conduites.

La Chine comme la Russie et les États-Unis, dirait-on. Des développements datant du mois de mai montrent en effet des entreprises comme Cisco, IBM et SAP se soumettre à la demande du gouvernement russe d’ouvrir leurs codes source respectifs pour inspection. Le gouvernement étasunien a également eu à formuler des requêtes similaires. On se souvient du cas Lavabit, un service de courriel suspendu par le gouvernement américain en août 2013, suite à son refus de fournir son code source.

Qu’on se le dise nous sommes bel et bien dans l’ère de la cyberguerre qui, semble-t-il, a commencé sous l’ère Obama avec les cyberattaques dirigées contre des organes du Parti démocrate américain. Des exigences comme celle relative à la soumission du code source pour inspection iront sûrement croissant avec de plus en plus de pays s’entourant d’un cadre légal comme la Chine. Les entreprises pour leur part se verront obligées de plier au risque d’être éjectées de marchés lucratifs. Après tout, pour elles il s’agit de business.

Sources : Recorded Future, The Straits Times

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Microsoft, IBM et Intel refusent de fournir leurs codes source à la Chine dans le cadre d'une nouvelle réglementation en matière de cybersécurité
Le CEO de Kaspersky Lab prêt à ouvrir le code source de ses produits aux autorités américaines pour lever tout doute sur les liens avec le Kremlin


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 04/09/2017 à 7:18
Citation Envoyé par Patrick Ruiz Voir le message
Vraiment, rien de nouveau sur des schémas de fonctionnement comme celui-ci, si ce n’est l’aspect légal via lequel les opérations seront désormais conduites.
du coup ils vont peut-être y aller mollo justement ? ne serait-ce que pour éviter la détestation généralisée de l'opinion publique internationale, à l'instar d'une NSA par exemple

Qu’on se le dise nous sommes bel et bien dans l’ère de la cyberguerre qui, semble-t-il, a commencé sous l’ère Obama (...)
en 2007 déjà la Russie lançait des DDoS contre l'Estonie et la Georgie un an plus tard
Avatar de Thorna Thorna - Membre éprouvé https://www.developpez.com
le 04/09/2017 à 9:24
Depuis des années, je crois bien que les entreprises qui veulent vendre en chine des avions, des usines, etc. doivent en donner les plans et en partager la technologie. C'est sans doute se tirer une balle dans le pied mais il me semble que ça ne freine en aucun cas les grosses boites. J'imagine que si elles doivent donner leur code informatique à des pirates chinois pour pouvoir continuer à vendre, elles le feront aussi, d'autant plus que pour les dirigeants, l'informatique c'est la grande inconnue...
Y'a peut-être un avantage (si c'est en un...) : si les boites donnent officiellement leur code à des pirates avérés, elles ne devraient plus avoir de scrupules à le donner à l'IFF ou je ne sais plus quel organisme qui demande que tous les codes soient publics ?
Avatar de AndMax AndMax - Membre actif https://www.developpez.com
le 04/09/2017 à 9:32
Qu’en pensez-vous ?
Voilà une raison supplémentaire pour n'utiliser que des logiciels libres dans les administrations européennes et françaises.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 06/09/2017 à 18:56
Bonjour,

J'approuverais volontiers le faite d'ouvrir le code source des entreprises qui habituellement le ferment uniquement pour une expertise indépendante universitaire . Comme la visiblement ce n'est pas le cas et que le gouvernement chinois fait ce qu'il veut de ce code source , je trouve que c'est presque de l'abus de pouvoir

Pourquoi pas des expertise indépendante universitaire des codes sources propriétaire Et aussi des cordes source libre ?

En est-il exactement ?

J'ai toujours entendu dire que la Chine était antidémocratique d'ailleurs je me demande si les contrats de licence de macOS iOS et autres choses ne sont pas contraire aux droits chinois dans la mesure ou si ce pays fait partie de la liste des embargo des États-Unis il n'a pas le droit d'utiliser les technologies américaines habituel Voir contrat de licence de logiciel propriétaire .

Est-il vrai que les États-Unis ont mis la Chine sur leur liste d'embargo ?

Merci pour vos renseignements

Meilleures salutations
Avatar de AndMax AndMax - Membre actif https://www.developpez.com
le 07/09/2017 à 10:26
Citation Envoyé par Battant Voir le message
Pourquoi pas des expertise indépendante universitaire des codes sources propriétaire Et aussi des cordes source libre ?
Sur des logiciels libres: aucun problème. Tout le monde (y compris des "experts indépendants universitaires") peuvent lire les sources, les modifier, les améliorer, les republier. Lorsqu'une faille est trouvée, un correctif est proposé dans les heures qui suivent, et toute la presse est au courant.

Sur des logiciels privateurs au contraire, c'est l'obscurantisme qui est de rigeur. Lorsqu'un expert trouve une faille et qu'il a la bonté de la signaler à l'éditeur, il peut se passer des années avant que l'utilisateur puisse bénéficier d'une correction, et parfois ça ne bouge que lorsque la faille est publiée dans les médias.

Sur un logiciel privateur, considérer que c'est de l'abus de pouvoir de laisser l'accès au source à un gouvernement dont le pays est classé à la 100me position au classement de l'Indice de la perception de la corruption, ça peut se comprendre...

Mais bien souvent l'abus de pouvoir est du côté des éditeurs de logiciels privateurs qui se permettent de dissimuler des fonctionnalités (appelée parfois "télémétrie") qui sont de véritables spywares. Je pense qu'une administration (quel que soit le pays) doit pouvoir garder le contrôle sur tous les processus qui tournent sur ses machines, et doit pouvoir assurer la sécurité des données personnelles de ses administrés. Ceci n'est pas possible si la porte est grande ouverte à n'importe quel éditeur privateur, et s'il n'y a pas un contrôle effectif des sources.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 07/09/2017 à 11:04
Bonjour,

Petit exercice : lisez bien les contrats de licence de logiciel que vous installer à la limite passer par la synthèse vocale pour vous faire lire les contrats en petit caractère et vous verrez quel droit vous avez réellement

Vous verrez notamment ce que vous n'avez pas le droit de faire

Je pense que si tout le monde pouvait lire les contrats de licence et les com prenait, peut-être que Linux ou autre système d'exploitation libre aurais plus de parts de marché et moi les logiciels propriétaire

Il est vrai que j'ai beau faire des feed-back à Apple pour leur donner ce que j'aimerais voir venir dans l'iPhone par exemple mais j'ai l'impression que ça tombe dans le vide. Eux ils disent que non mais bon on ne peut que les croire

Est-ce que quelqu'un a déjà signalé un bug ou une faille pour un logiciel propriétaire mais sans réponse ?

Merci pour vos retours d'expérience concernant les feed-back pour un logiciel propriétaire et les bug report

Meilleures salutations
Avatar de oudjira oudjira - Nouveau membre du Club https://www.developpez.com
le 07/09/2017 à 17:23
De toute le façon on est surveiller partout sur le net donc je ne voit pas le degat !! mdr
Avatar de oudjira oudjira - Nouveau membre du Club https://www.developpez.com
le 07/09/2017 à 17:25
Citation Envoyé par Battant Voir le message
Bonjour,

Petit exercice : lisez bien les contrats de licence de logiciel que vous installer à la limite passer par la synthèse vocale pour vous faire lire les contrats en petit caractère et vous verrez quel droit vous avez réellement

Vous verrez notamment ce que vous n'avez pas le droit de faire

Je pense que si tout le monde pouvait lire les contrats de licence et les com prenait, peut-être que Linux ou autre système d'exploitation libre aurais plus de parts de marché et moi les logiciels propriétaire

Il est vrai que j'ai beau faire des feed-back à Apple pour leur donner ce que j'aimerais voir venir dans l'iPhone par exemple mais j'ai l'impression que ça tombe dans le vide. Eux ils disent que non mais bon on ne peut que les croire

Est-ce que quelqu'un a déjà signalé un bug ou une faille pour un logiciel propriétaire mais sans réponse ?

Merci pour vos retours d'expérience concernant les feed-back pour un logiciel propriétaire et les bug report

Meilleures salutations
Vraiment !!!
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 07/09/2017 à 19:49
Citation Envoyé par oudjira Voir le message
De toute le façon on est surveiller partout sur le net donc je ne voit pas le degat !! mdr
Bonjour,

Il faut distinguer la surveillance des faites par les GAFAM de celle opérée par l'état.

Des plugin Firefox existe pour se protéger (je ne sais pas jusqu'à quel point

À ce sujet découvrez l'initiative de Framasoft

https://degooglisons-internet.org/

Quand à la surveillance étatique, c'est un autre problème qui sont pris en compte par des partis politiques spécialisé comme le parti pirate la CNiL ou les préposé à la protection des données .

https://www.partipirate.ch/

https://partipirate.org/

En Europe et en suisse la lloie vous donne le droit d'accès à vos données personnel.. Légalement, vous devriez pouvoir les obtenir sur simple demande

Un jeu sérieux à été développé pour sensibiliser le le publique aux données personnelles

Plus d'infos sur :
Enquête ouverte donnez-moi mes données
http://www.rts.ch/la-1ere/programmes...e/6813759.html
Le jeu sérieux sur les données

https://www.datak.ch/#/start

Que pensez-vous ?

Meilleures salutations
Avatar de oudjira oudjira - Nouveau membre du Club https://www.developpez.com
le 07/09/2017 à 21:07
Citation Envoyé par Battant Voir le message
Bonjour,

Il faut distinguer la surveillance des faites par les GAFAM de celle opérée par l'état.

Des plugin Firefox existe pour se protéger (je ne sais pas jusqu'à quel point

À ce sujet découvrez l'initiative de Framasoft

https://degooglisons-internet.org/

Quand à la surveillance étatique, c'est un autre problème qui sont pris en compte par des partis politiques spécialisé comme le parti pirate la CNiL ou les préposé à la protection des données .

https://www.partipirate.ch/

https://partipirate.org/

En Europe et en suisse la lloie vous donne le droit d'accès à vos données personnel.. Légalement, vous devriez pouvoir les obtenir sur simple demande

Un jeu sérieux à été développé pour sensibiliser le le publique aux données personnelles

Plus d'infos sur :
Enquête ouverte donnez-moi mes données
http://www.rts.ch/la-1ere/programmes...e/6813759.html
Le jeu sérieux sur les données

https://www.datak.ch/#/start

Que pensez-vous ?

Meilleures salutations
Bonsoir !
Selon ma propre expérience je trouve que même l'activation de ce plug-in de firfox ne peut pas garantir ma protection sur le net à 100%. Tu a parler de firfox et les autres navigateur ??
Offres d'emploi IT
Développeur BackEnd Big Data
AUBAY - Ile de France - Boulogne-Billancourt (92100)
Développeur PHP/HTML/CSS expérimenté
S.A.S. boutique.aero - Midi Pyrénées - Blagnac (31700)
Développeur Java H/F
SMILE - Rhône Alpes - Lyon (69000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil