A la Une

La Chine n’est pas honnête avec sa base de données de vulnérabilités

Les failles de sécurité sont censées être divulguées rapidement. La Chine a menti quand ils l’ont annoncé, selon des chercheurs. James Martin / CNET

Des chercheurs de Recorded Future affirment que le gouvernement chinois a modifié sa base de données pour dissimuler les failles de la cybersécurité qu’ils pourraient utiliser.

Informer le monde des vulnérabilités dès que possible est un élément important de la cybersécurité. Le plus tôt vous le faites savoir, les entreprises et les personnes plus rapides peuvent obtenir des correctifs pour corriger ces failles de sécurité afin de limiter l’impact.

Mais le gouvernement chinois a été sélectivement lent à révéler certaines vulnérabilités et à mentir sur les dates auxquelles il les a annoncées, selon des chercheurs de Recorded Future.

La société de cybersécurité a étudié la base de données nationale sur la vulnérabilité de la Chine, soulignant qu’elle a révélé deux fois plus de failles de sécurité que la National Vulnerability Database des Etats-Unis d’Amérique, à l’exception des exploits qu’elle utilisait probablement pour pirater les autres.

Dans une nouvelle étude présentée lors du sommet des analystes de Kaspersky Security à Cancun, au Mexique, Christopher Ahlberg, directeur général de Recorded Future, a déclaré vendredi avoir découvert que le gouvernement chinois mentait à propos de la publication de ces vulnérabilités.

« Ils espèrent gagner une fenêtre où ils peuvent faire en sorte que les gens ne corrigent pas et gardent les vulnérabilités ouvertes », a déclaré Ahlberg dans une interview avant la présentation.

Dans une vulnérabilité, ils ont découvert que le gouvernement chinois avait à l’origine révélé des vulnérabilités avec les téléphones BLU et son firmware Adups en septembre 2017, bien qu’elles aient été découvertes en novembre 2016.

Les chercheurs de Futures ont regardé en arrière la divulgation en février, et ont trouvé la date changée pour dire que la Chine a révélé la vulnérabilité en janvier 2017, plus de huit mois plus tôt que le message original.

« Ils ont été en mesure de garder le firmware vulnérable pour une fenêtre de temps, et ils ont utilisé ce trou comme un moyen d’attaquer les habitants de Hong Kong », a déclaré Ahlberg.

Ils ont exploré la base de données de la Chine et ont conclu que 267 des 268 divulgations tardives avaient changé de date de publication, a indiqué M. Ahlberg. Les dossiers modifiés montrent que le gouvernement chinois peut prendre des vulnérabilités, les utiliser sans jamais le divulguer au public et puis mentir tranquillement qu’il l’a annoncé beaucoup plus tôt, a déclaré le PDG.

Cela devient un problème majeur quand on sait que les entreprises qui font des affaires en Chine – les géants de la technologie comme Apple, Facebook et Samsung – sont sous la vigilance de la loi nationale sur la cybersécurité, y compris ses vulnérabilités, a-t-il dit.

« Ils avaient une méthodologie pour siphonner les vulnérabilités de grande valeur, et ils voulaient couvrir cette méthodologie et être en mesure de continuer à faire cela », a déclaré Ahlberg. « Mais en essayant de dissimuler, ils ont mis leur processus là-bas. »

Alfred Ng

Traduction : MIRASTNEWS

Source: CNET

1 Trackback / Pingback

  1. La Chine n’est pas honnête avec sa base de données de vulnérabilités – rachid ouaissa

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s

%d blogueurs aiment cette page :