BEIJING - Les experts en technologie en Chine qui trouvent une faiblesse dans la sécurité informatique seraient tenus d'en informer le gouvernement et ne pourraient pas vendre ces connaissances en vertu de règles renforçant davantage le contrôle du Parti communiste sur l'information.
Les règles interdiraient les experts du secteur privé qui découvrent les exploits « zero-day » ou des faiblesses de sécurité auparavant inconnues, et vendraient les informations à la police, aux agences d'espionnage ou aux entreprises. De telles vulnérabilités ont été une caractéristique d'attaques de piratage majeures, dont une ce mois-ci imputée à un groupe lié à la Russie qui a infecté des milliers d'entreprises dans au moins 17 pays.
Pékin est de plus en plus sensible au contrôle des informations sur sa population et son économie. Les entreprises n'ont pas le droit de stocker des données sur les clients chinois en dehors de la Chine. Des entreprises, dont le service de covoiturage Didi Global Inc., qui a récemment fait ses débuts sur le marché boursier américain, ont été publiquement averties de renforcer la sécurité des données.
En vertu des nouvelles règles, toute personne en Chine qui découvre une vulnérabilité doit en informer le gouvernement, qui décidera des réparations à effectuer. Aucune information ne peut être communiquée à des « organisations ou individus étrangers » autres que le fabricant du produit.
Personne ne peut "collecter, vendre ou publier des informations sur les vulnérabilités de sécurité des produits réseau", disent les règles émises par l'Administration du cyberespace de Chine et les ministères de la police et de l'industrie. Ils prennent effet le 1er septembre.
L'aile militaire du parti au pouvoir, l'Armée populaire de libération, est un leader avec les États-Unis et la Russie dans la technologie de la cyberguerre. Des agents de l'APL ont été accusés par des procureurs américains de piratage d'entreprises américaines pour voler des technologies et des secrets commerciaux.
Les consultants qui trouvent des faiblesses « jour zéro » disent que leur travail est légitime parce qu'ils servent la police ou les agences de renseignement. Certains ont été accusés d'avoir aidé des gouvernements accusés de violations des droits humains ou des groupes qui espionnent les militants.
Rien n'indique que de tels chercheurs du secteur privé travaillent en Chine, mais la décision d'interdire le domaine suggère que Pékin le considère comme une menace potentielle.
La Chine a progressivement renforcé le contrôle de l'information et de la sécurité informatique au cours des deux dernières décennies.
Les banques et autres entités considérées comme sensibles sont tenues d'utiliser uniquement des produits de sécurité fabriqués en Chine dans la mesure du possible. Les fournisseurs étrangers qui vendent des routeurs et d'autres produits de réseau en Chine sont tenus de divulguer aux régulateurs le fonctionnement des fonctionnalités de chiffrement.
Cela ne fait que bloquer le commerce des cyber-armes. Cela n'empêche pas les chercheurs d'informer les entreprises des produits, même si elles sont en dehors de la Chine.
Aucun commentaire:
Enregistrer un commentaire