Selon la loi, les entreprises chinoises – y compris étrangères – sont tenues de signaler immédiatement les vulnérabilités des systèmes et les erreurs de codes à une agence gouvernementale. Cependant, les experts préviennent que la Chine utilise des pirates informatiques contrôlés par l'État et pourrait utiliser les informations sur les vulnérabilités pour accéder presque sans entrave aux systèmes des entreprises.
Le groupe de réflexion Atlantic Council a publié un rapport analysant la nouvelle réglementation chinoise qui oblige les entreprises à signaler les vulnérabilités de sécurité et les erreurs de code au ministère de l'Industrie et des Technologies de l'information (MIIT) dans les 48 heures. Dans le même temps, les experts préviennent que la Chine contrôle plusieurs groupes de pirates informatiques et peut immédiatement utiliser les informations pour mener des attaques. Le rapport s’intitule donc « Comment la Chine militarise les vulnérabilités logicielles ». Dans leur analyse, les experts du groupe de réflexion supposent même que la source constante actuelle de vulnérabilités zero-day remonte à la base de données chinoise du MIIT.
De nombreuses nouvelles vulnérabilités Zero Day de la base de données MIIT ?
Les règles chinoises interdisent aux chercheurs de publier des informations sur les vulnérabilités avant qu'un correctif ne soit disponible, à moins qu'ils ne se coordonnent avec le propriétaire du produit et le MIIT. La publication de codes de validation montrant comment une vulnérabilité est exploitée n'est pas non plus autorisée.
Selon le rapport, la divulgation de la vulnérabilité au bureau de Pékin du 13e Bureau MSS est particulièrement préoccupante. Les experts soulignent que le bureau a passé les vingt dernières années à accéder rapidement aux vulnérabilités logicielles.
Presque aucun partage des vulnérabilités ICS
Depuis mai 2021, selon la base de données CNVD, il y a eu un déclin presque complet des vulnérabilités ICS signalées publiquement en Chine (Image : Sleight of Hand, Cary et Del Rosso, Atlantic Council).
Le rapport révèle également que de nombreuses vulnérabilités signalées dans le domaine ICS (Industrial Control System) ne sont plus communiquées aux entreprises concernées. Les bases de données de l’État chinois n’ont montré quasiment aucune vulnérabilité dans le domaine ICS depuis mai 2021. Avant cela, il y avait entre 40 et 80 vulnérabilités, voire plus, chaque mois. En mai 2021, ils se situent soudainement entre 1 et 10. En comparaison, la CISA américaine continue de publier des rapports ICS mensuels sur plus de 100 vulnérabilités.
Les experts soulignent que de nombreuses entreprises étrangères ne savent même pas que leurs employés chinois signalent ces vulnérabilités. Après tout, ils pourraient être punis s’ils contournent la loi chinoise.
Plus d’informations sur AtlanticCouncil.org