Depuis 2021, la Chine a mis en place une nouvelle loi obligeant toutes les entreprises technologiques opérant sur son territoire à signaler les vulnérabilités de leurs systèmes aux autorités gouvernementales. Cette initiative, censée renforcer la sécurité nationale, soulève des inquiétudes quant à la manière dont les données sont gérées et utilisées.
Dans un récent rapport publié par l’Atlantic Council, il est révélé que cette loi, en apparence bien intentionnée, présente des implications importantes pour la sécurité en ligne et les relations internationales. La Chine avait précédemment utilisé la CNVD (National Vulnerability Database), une base de données nationale destinée à signaler les vulnérabilités des logiciels, pour protéger le pays contre les cyberattaques. Cependant, la nouvelle loi va plus loin en imposant un délai strict de 48 heures pour signaler toute vulnérabilité découverte.
Conformément à cette loi, les entreprises technologiques doivent signaler les failles à travers une plate-forme en ligne du ministère chinois de l’industrie et de la technologie de l’information. De là, les vulnérabilités sont ajoutées à la Cybersecurity Threat Intelligence Sharing Platform, une base de données qui, selon le rapport de l’Atlantic Council, pourrait être utilisée à des fins potentiellement malveillantes.
L’Atlantic Council met en lumière le fait que les données de cette plate-forme sont également partagées avec d’autres instances gouvernementales en Chine, certaines étant associées à des campagnes d’espionnage et de cyberattaques passées. Cette situation suscite des préoccupations quant à l’utilisation des vulnérabilités signalées, suggérant que certaines d’entre elles pourraient être exploitées pour des activités de piratage.
En plus de signaler les vulnérabilités, la loi exige également que les entreprises enregistrent des informations détaillées sur les produits contenant des vulnérabilités, telles que le nom, le modèle et la version. Les chercheurs de l’Atlantic Council ont constaté que le portail en ligne utilisé pour signaler les vulnérabilités comporte des champs de remplissage obligatoires, obligeant ainsi les entreprises à fournir des détails sur les erreurs du code source, voire à ajouter des vidéos démontrant la nature du bug et son emplacement.
Selon Dakota Cary, chercheuse au Global China Hub de l’Atlantic Council, cette nouvelle loi a suscité des préoccupations dès son annonce. Elle souligne qu’il existe un chevauchement notable entre les individus responsables de ces rapports et ceux qui mènent des opérations de piratage offensives.
Cependant, l’Atlantic Council admet que toutes les entreprises technologiques ne suivront pas nécessairement la loi chinoise de la même manière. Certaines entreprises pourraient ne pas être pleinement conscientes de ce que leurs responsables locaux transmettent aux autorités gouvernementales. L’impact de ce rapport sur les relations internationales entre la Chine et l’Occident reste à déterminer, mais il pourrait potentiellement influencer les décisions politiques futures concernant la technologie chinoise et les cyberattaques.
Cette nouvelle loi chinoise sur la cybersécurité soulève des questions cruciales sur la protection des données, la sécurité en ligne et les relations internationales, et elle continuera à susciter un débat animé dans les années à venir. Dans la foulée, la justice américaine vient de se pencher sur une nouvelle puce produite par la société Huawei. Un processeur de 7 nanomètres.
Une puce intégrée dans le nouveau fleuron de la marque chinoise, le Huawei Mate 60 Pro et Pro +. « Coquine » la société Huawei a lancé son nouveau téléphone au moment de la visite de la secrétaire américaine au commerce, Gina Raimondo, en Chine. (AC)
