Chine : le code source des firmes étrangères sera inspecté par un présumé cyberespion

à la solde du gouvernement

Il s’agit là d’une des dispositions de la nouvelle loi chinoise sur la cybersécurité entrée en vigueur le 1^er juin dernier. Cette dernière confère au Centre chinois d’évaluation des technologies de l’information (CNITSEC) le pouvoir d’attester que les entreprises étrangères dans le processus d’installation sur le sol chinois répondent bien aux normes de cybersécurité du pays. Cela passera entre autres par un examen du code source des applications ou services offerts par ces dernières, si l’on s’en tient à l’article 35 de cette loi.

Le problème ici est qu’une publication de Recorded Future, une entreprise spécialisée dans le renseignement en temps réel, lie le CNITSEC à Boyusec, une entreprise chinoise liée aux activités d’APT3. Le rapport de Recorded Future identifie d’ailleurs APT 3 comme le premier groupe de cybercriminels à être lié de façon directe à un État, en l’occurrence ici la Chine, via le ministère de la Sécurité de l’État chinois (MSS).

La publication de Recorded Future est l’une des plus récentes d’une série relativement longue d’autres rapports qui soulignent les méfaits du groupe APT 3 et qui, très important, le lient au gouvernement chinois. On citera au passage une publication (parue en 2016) du quotidien The Straits times dans laquelle ce groupe est cité comme auteur de cyberattaques contre des départements du gouvernement de Hong Kong. Bryce Bolland, CTO de la firme de sécurité Fireeye Asie Pacifique, relayé par The Straits Times affirmait alors qu’ : « il pense que le groupe responsable des attaques [APT 3] est sponsorisé par la Chine. »


Nul besoin d’être un expert pour comprendre qu’avec sa nouvelle loi sur la cybersécurité, la Chine a fini de jouer à cache-cache. Elle pourra désormais étudier (de façon officielle) le code source des applications et services des entreprises désireuses d’opérer sur son sol, y découvrir des failles de sécurité et les utiliser contre d’autres pays. Vraiment, rien de nouveau sur des schémas de fonctionnement comme celui-ci, si ce n’est l’aspect légal via lequel les opérations seront désormais conduites.

La Chine comme la Russie et les États-Unis, dirait-on. Des développements datant du mois de mai montrent en effet des entreprises comme Cisco, IBM et SAP se soumettre à la demande du gouvernement russe d’ouvrir leurs codes source respectifs pour inspection. Le gouvernement étasunien a également eu à formuler des requêtes similaires. On se souvient du cas Lavabit, un service de courriel suspendu par le gouvernement américain en août 2013, suite à son refus de fournir son code source.

Qu’on se le dise nous sommes bel et bien dans l’ère de la cyberguerre qui, semble-t-il, a commencé sous l’ère Obama avec les cyberattaques dirigées contre des organes du Parti démocrate américain. Des exigences comme celle relative à la soumission du code source pour inspection iront sûrement croissant avec de plus en plus de pays s’entourant d’un cadre légal comme la Chine. Les entreprises pour leur part se verront obligées de plier au risque d’être éjectées de marchés lucratifs. Après tout, pour elles il s’agit de business.

Sources : Recorded Future, The Straits Times

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Microsoft, IBM et Intel refusent de fournir leurs codes source à la Chine dans le cadre d'une nouvelle réglementation en matière de cybersécurité
Le CEO de Kaspersky Lab prêt à ouvrir le code source de ses produits aux autorités américaines pour lever tout doute sur les liens avec le Kremlin