Discussion :

[Patrick Ruiz]

Chine : le code source des firmes étrangères sera inspecté par un présumé cyberespion
À la solde du gouvernement

Il s’agit là d’une des dispositions de la nouvelle loi chinoise sur la cybersécurité entrée en vigueur le 1^er juin dernier. Cette dernière confère au Centre chinois d’évaluation des technologies de l’information (CNITSEC) le pouvoir d’attester que les entreprises étrangères dans le processus d’installation sur le sol chinois répondent bien aux normes de cybersécurité du pays. Cela passera entre autres par un examen du code source des applications ou services offerts par ces dernières, si l’on s’en tient à l’article 35 de cette loi.

Le problème ici est qu’une publication de Recorded Future, une entreprise spécialisée dans le renseignement en temps réel, lie le CNITSEC à Boyusec, une entreprise chinoise liée aux activités d’APT3. Le rapport de Recorded Future identifie d’ailleurs APT 3 comme le premier groupe de cybercriminels à être lié de façon directe à un État, en l’occurrence ici la Chine, via le ministère de la Sécurité de l’État chinois (MSS).

La publication de Recorded Future est l’une des plus récentes d’une série relativement longue d’autres rapports qui soulignent les méfaits du groupe APT 3 et qui, très important, le lient au gouvernement chinois. On citera au passage une publication (parue en 2016) du quotidien The Straits times dans laquelle ce groupe est cité comme auteur de cyberattaques contre des départements du gouvernement de Hong Kong. Bryce Bolland, CTO de la firme de sécurité Fireeye Asie Pacifique, relayé par The Straits Times affirmait alors qu’ : « il pense que le groupe responsable des attaques [APT 3] est sponsorisé par la Chine. »

Nul besoin d’être un expert pour comprendre qu’avec sa nouvelle loi sur la cybersécurité, la Chine a fini de jouer à cache-cache. Elle pourra désormais étudier (de façon officielle) le code source des applications et services des entreprises désireuses d’opérer sur son sol, y découvrir des failles de sécurité et les utiliser contre d’autres pays. Vraiment, rien de nouveau sur des schémas de fonctionnement comme celui-ci, si ce n’est l’aspect légal via lequel les opérations seront désormais conduites.

La Chine comme la Russie et les États-Unis, dirait-on. Des développements datant du mois de mai montrent en effet des entreprises comme Cisco, IBM et SAP se soumettre à la demande du gouvernement russe d’ouvrir leurs codes source respectifs pour inspection. Le gouvernement étasunien a également eu à formuler des requêtes similaires. On se souvient du cas Lavabit, un service de courriel suspendu par le gouvernement américain en août 2013, suite à son refus de fournir son code source.

Qu’on se le dise nous sommes bel et bien dans l’ère de la cyberguerre qui, semble-t-il, a commencé sous l’ère Obama avec les cyberattaques dirigées contre des organes du Parti démocrate américain. Des exigences comme celle relative à la soumission du code source pour inspection iront sûrement croissant avec de plus en plus de pays s’entourant d’un cadre légal comme la Chine. Les entreprises pour leur part se verront obligées de plier au risque d’être éjectées de marchés lucratifs. Après tout, pour elles il s’agit de business.

Sources : Recorded Future, The Straits Times

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Microsoft, IBM et Intel refusent de fournir leurs codes source à la Chine dans le cadre d'une nouvelle réglementation en matière de cybersécurité
Le CEO de Kaspersky Lab prêt à ouvrir le code source de ses produits aux autorités américaines pour lever tout doute sur les liens avec le Kremlin

[BufferBob]

Vraiment, rien de nouveau sur des schémas de fonctionnement comme celui-ci, si ce n’est l’aspect légal via lequel les opérations seront désormais conduites.

du coup ils vont peut-être y aller mollo justement ? ne serait-ce que pour éviter la détestation généralisée de l'opinion publique internationale, à l'instar d'une NSA par exemple

Qu’on se le dise nous sommes bel et bien dans l’ère de la cyberguerre qui, semble-t-il, a commencé sous l’ère Obama (...)

en 2007 déjà la Russie lançait des DDoS contre l'Estonie et la Georgie un an plus tard

[Thorna]

Depuis des années, je crois bien que les entreprises qui veulent vendre en chine des avions, des usines, etc. doivent en donner les plans et en partager la technologie. C'est sans doute se tirer une balle dans le pied mais il me semble que ça ne freine en aucun cas les grosses boites. J'imagine que si elles doivent donner leur code informatique à des pirates chinois pour pouvoir continuer à vendre, elles le feront aussi, d'autant plus que pour les dirigeants, l'informatique c'est la grande inconnue...
Y'a peut-être un avantage (si c'est en un...) : si les boites donnent officiellement leur code à des pirates avérés, elles ne devraient plus avoir de scrupules à le donner à l'IFF ou je ne sais plus quel organisme qui demande que tous les codes soient publics ?

[AndMax]

Qu’en pensez-vous ?

Voilà une raison supplémentaire pour n'utiliser que des logiciels libres dans les administrations européennes et françaises.

[Battant]

Bonjour,

J'approuverais volontiers le faite d'ouvrir le code source des entreprises qui habituellement le ferment uniquement pour une expertise indépendante universitaire . Comme la visiblement ce n'est pas le cas et que le gouvernement chinois fait ce qu'il veut de ce code source , je trouve que c'est presque de l'abus de pouvoir

Pourquoi pas des expertise indépendante universitaire des codes sources propriétaire Et aussi des cordes source libre ?

En est-il exactement ?

J'ai toujours entendu dire que la Chine était antidémocratique d'ailleurs je me demande si les contrats de licence de macOS iOS et autres choses ne sont pas contraire aux droits chinois dans la mesure ou si ce pays fait partie de la liste des embargo des États-Unis il n'a pas le droit d'utiliser les technologies américaines habituel Voir contrat de licence de logiciel propriétaire .

Est-il vrai que les États-Unis ont mis la Chine sur leur liste d'embargo ?

Merci pour vos renseignements

Meilleures salutations

[AndMax]

Pourquoi pas des expertise indépendante universitaire des codes sources propriétaire Et aussi des cordes source libre ?

Sur des logiciels libres: aucun problème. Tout le monde (y compris des "experts indépendants universitaires") peuvent lire les sources, les modifier, les améliorer, les republier. Lorsqu'une faille est trouvée, un correctif est proposé dans les heures qui suivent, et toute la presse est au courant.

Sur des logiciels privateurs au contraire, c'est l'obscurantisme qui est de rigeur. Lorsqu'un expert trouve une faille et qu'il a la bonté de la signaler à l'éditeur, il peut se passer des années avant que l'utilisateur puisse bénéficier d'une correction, et parfois ça ne bouge que lorsque la faille est publiée dans les médias.

Sur un logiciel privateur, considérer que c'est de l'abus de pouvoir de laisser l'accès au source à un gouvernement dont le pays est classé à la 100me position au classement de l'Indice de la perception de la corruption, ça peut se comprendre...

Mais bien souvent l'abus de pouvoir est du côté des éditeurs de logiciels privateurs qui se permettent de dissimuler des fonctionnalités (appelée parfois "télémétrie") qui sont de véritables spywares. Je pense qu'une administration (quel que soit le pays) doit pouvoir garder le contrôle sur tous les processus qui tournent sur ses machines, et doit pouvoir assurer la sécurité des données personnelles de ses administrés. Ceci n'est pas possible si la porte est grande ouverte à n'importe quel éditeur privateur, et s'il n'y a pas un contrôle effectif des sources.

[Battant]

Bonjour,

Petit exercice : lisez bien les contrats de licence de logiciel que vous installer à la limite passer par la synthèse vocale pour vous faire lire les contrats en petit caractère et vous verrez quel droit vous avez réellement

Vous verrez notamment ce que vous n'avez pas le droit de faire

Je pense que si tout le monde pouvait lire les contrats de licence et les com prenait, peut-être que Linux ou autre système d'exploitation libre aurais plus de parts de marché et moi les logiciels propriétaire

Il est vrai que j'ai beau faire des feed-back à Apple pour leur donner ce que j'aimerais voir venir dans l'iPhone par exemple mais j'ai l'impression que ça tombe dans le vide. Eux ils disent que non mais bon on ne peut que les croire

Est-ce que quelqu'un a déjà signalé un bug ou une faille pour un logiciel propriétaire mais sans réponse ?

Merci pour vos retours d'expérience concernant les feed-back pour un logiciel propriétaire et les bug report

Meilleures salutations

[oudjira]

De toute le façon on est surveiller partout sur le net donc je ne voit pas le degat !! mdr

[oudjira]

Bonjour,

Petit exercice : lisez bien les contrats de licence de logiciel que vous installer à la limite passer par la synthèse vocale pour vous faire lire les contrats en petit caractère et vous verrez quel droit vous avez réellement

Vous verrez notamment ce que vous n'avez pas le droit de faire

Je pense que si tout le monde pouvait lire les contrats de licence et les com prenait, peut-être que Linux ou autre système d'exploitation libre aurais plus de parts de marché et moi les logiciels propriétaire

Il est vrai que j'ai beau faire des feed-back à Apple pour leur donner ce que j'aimerais voir venir dans l'iPhone par exemple mais j'ai l'impression que ça tombe dans le vide. Eux ils disent que non mais bon on ne peut que les croire

Est-ce que quelqu'un a déjà signalé un bug ou une faille pour un logiciel propriétaire mais sans réponse ?

Merci pour vos retours d'expérience concernant les feed-back pour un logiciel propriétaire et les bug report

Meilleures salutations

Vraiment !!!

[Battant]

De toute le façon on est surveiller partout sur le net donc je ne voit pas le degat !! mdr

Bonjour,

Il faut distinguer la surveillance des faites par les GAFAM de celle opérée par l'état.

Des plugin Firefox existe pour se protéger (je ne sais pas jusqu'à quel point

À ce sujet découvrez l'initiative de Framasoft

https://degooglisons-internet.org/

Quand à la surveillance étatique, c'est un autre problème qui sont pris en compte par des partis politiques spécialisé comme le parti pirate la CNiL ou les préposé à la protection des données .

https://www.partipirate.ch/


https://partipirate.org/

En Europe et en suisse la lloie vous donne le droit d'accès à vos données personnel.. Légalement, vous devriez pouvoir les obtenir sur simple demande

Un jeu sérieux à été développé pour sensibiliser le le publique aux données personnelles

Plus d'infos sur :
Enquête ouverte donnez-moi mes données
http://www.rts.ch/la-1ere/programmes...e/6813759.html
Le jeu sérieux sur les données

https://www.datak.ch/#/start

Que pensez-vous ?

Meilleures salutations

[oudjira]

Bonjour,

Il faut distinguer la surveillance des faites par les GAFAM de celle opérée par l'état.

Des plugin Firefox existe pour se protéger (je ne sais pas jusqu'à quel point

À ce sujet découvrez l'initiative de Framasoft

https://degooglisons-internet.org/

Quand à la surveillance étatique, c'est un autre problème qui sont pris en compte par des partis politiques spécialisé comme le parti pirate la CNiL ou les préposé à la protection des données .

https://www.partipirate.ch/


https://partipirate.org/

En Europe et en suisse la lloie vous donne le droit d'accès à vos données personnel.. Légalement, vous devriez pouvoir les obtenir sur simple demande

Un jeu sérieux à été développé pour sensibiliser le le publique aux données personnelles

Plus d'infos sur :
Enquête ouverte donnez-moi mes données
http://www.rts.ch/la-1ere/programmes...e/6813759.html
Le jeu sérieux sur les données

https://www.datak.ch/#/start

Que pensez-vous ?

Meilleures salutations

Bonsoir !
Selon ma propre expérience je trouve que même l'activation de ce plug-in de firfox ne peut pas garantir ma protection sur le net à 100%. Tu a parler de firfox et les autres navigateur ??

[Battant]

Bonjour,

Je pense que la plupart des autres navigateurs comme Google chrome ou Internet Explorer ou Edge , non qu'un seul but laisser entrer le maximum de publicité ciblée . Y en a-t-il d'autres plus Sécur tort Browser N'est-il pas dangereux ?

Quand on niveau de protection c'est vrai que Firefox ne pourrait garantir selon vous une sécurité à 100 % mais c'est déjà quelque chose si vous avez une expérience, oui vous la raconter ici à fin que tout le monde puisse en profiter ou c'est trop confidentiel ?

Meilleures salutations

[oudjira]

Bonjour,

Je pense que la plupart des autres navigateurs comme Google chrome ou Internet Explorer ou Edge , non qu'un seul but laisser entrer le maximum de publicité ciblée . Y en a-t-il d'autres plus Sécur tort Browser N'est-il pas dangereux ?

Quand on niveau de protection c'est vrai que Firefox ne pourrait garantir selon vous une sécurité à 100 % mais c'est déjà quelque chose si vous avez une expérience, oui vous la raconter ici à fin que tout le monde puisse en profiter ou c'est trop confidentiel ?

Meilleures salutations

Bonsoir !
Tor n'est ni mauvais ni bon donc ça depend de l'utilisation de l'utilisateur.A propos de Firfox, Selon les experts en securité informatique ou les pirates si ce 99% de protection c'est dejà vulnérable.Tu peux imaginé la suite, ce qui fait que je ne donne pas trop de confiance au net.

[domi65]

Elle pourra désormais étudier (de façon officielle) le code source des applications et services des entreprises désireuses d’opérer sur son sol, y découvrir des failles de sécurité et les utiliser contre d’autres pays

Elle pourra aussi essayer de se protéger, non seulement de ses failles, mais d'éventuels outils espions et autres portes dérobées. Vu comme ça, C'est bien plus légitime. Personnellement, et comme beaucoup, j'utilise autant que possible des logiciels libres, sachant qu'il ont peu de chance d'en contenir, alors que je n'ai rien, à priori, à cacher.
Le fait pour la Chine de le faire ouvertement est pour moi une vertu qui s'oppose à l'hypocrisie. Ce type de transparence est rare en Chine ; saluons-la. Et les fabricants de logiciels se trouvent dissuadés de passer des kiloheures à développer des cochonneries qui risquent d'être découvertes. Ces heures libérées permettront de rechercher et corriger les failles. Que du benef pour ces entreprises !
(C'est vrai que certains conspirationnistes soutiennent que les logiciels étasuniens ne peuvent être exportés que par une autorisation de la NSA. Dans ce cas, évidemment, la décision chinoise est bien gênante...)

[niéslojni_oum]

... je ne pense pas! en fait d'abus de pouvoir, il suffit de bien se renseigner, et de faire fi des soi-disant "fake news": Le Pdg de Kaspersky doit se présenter incessamment sous peu devant le concongrès pour "apporter la preuve que son logiciel ne comporte rien de malicieux"! nous ne sommes plus à l'heure de la présomption d'innocence, mais bien celle de la paranoïa instituée! Ll'antivirus Kaspersky a été banni du marché américain et Fedora mentionne expressément sur son site que la distribution éponyme ne doit pas être distribuée en Crimée, mais que personne n'est obligé de "l'ouvrir" bêtement....
En fait d'abus de pouvoir, je crois qu'il faudrait plutôt songer à l'équité de traitement, et en profiter: ne serait-ce pas l'occasion que certains éditeurs ouvrent leurs codes justement!?
Tout le monde sait depuis belle lurette que Windaube ménage des portes dérobées et fait des concesssions auprès d'un certain gouvernement sans pour autant ouvrir son code. Qu'à cela ne tienne: contrôle oui! ouverture de code en prime, pourquoi pas!?
Sur un autre registre, qui peut encore prétendre que tel ou tel smartphone n'est pas un mouchard!? et qu'il est curieux de voir les derniers modèles impossibles à rooter, soi-disant pour des raisons de sécurité du système!... qu'on se penche un peu sur la conf' par défaut de nos joujous, et reparlons-en! ouverture de code? je suis d'accord! pour que personnellement je puisse brider mon téléphone ou mon ordinateur comme il se doit, et conserver un semblant de sécurité et de vie privée!

[niéslojni_oum]

j'oubliai! l'article nous informe que finalement, le groupe APT3, c'est des chinois! allez savoir! avant hier, c'était les russes, et hier les nord-coréens! une chose est sûre! le Grou, c'est pas du gruyère!

[BufferBob]

qu'on se penche un peu sur la conf' par défaut de nos joujous, et reparlons-en!

excellente idée ! plutôt que de s'enregistrer sur un forum d'informatique uniquement pour parler politique, s'intéresser à la technique pour savoir de quoi ont parle me semble une alternative tout à fait pertinente

[niéslojni_oum]

excellente idée ! plutôt que de s'enregistrer sur un forum d'informatique uniquement pour parler politique, s'intéresser à la technique pour savoir de quoi ont parle me semble une alternative tout à fait pertinente

Pour ce qui est des OS embarqués et les Téléphones je ne suis pas un expert, et pour ce qui d'opiner "technique" sur les forums, - à temps perdu certainement! - vous n'avez là non plus pas de leçons à recevoir (cf stats...).

[Vincent PETIT]

Je confirme que la Chine tente d'imposer le partage de la technologie lorsqu'on fait fabriquer là bas. Nous avions rencontré des problèmes il y a une dizaine d'années, nous l'avions donc fait mais en ne documentant rien (ni le soft, ni le hard et le tout avec des explications très générales.)

Bref, je me demande quand même si ce n'est pas un écran de fumée ? Les chinois ont beau avoir eu accès à tout le code propriétaire et si des le lendemain ce logiciel proporiaitaire fait une mise à jour profonde ? Les chinois vont vraiment examiner chaque mise à jour de chaque logiciel ? Ils ne vont pas être débordés ?

En hardware on le fait facilement sur des composants programmables comme les FPGA. Le jour où les chinois examinent le code, le FPGA faisait une tâche mais après une mise à jour il peut faire complètement autre chose. Dans le cas de ce composant, c'est carrément le hard et le soft qui changent. Ceci est valable pour les microcontrôleurs aussi.