Pékin sanctionne Alibaba Cloud pour ne pas l'avoir averti en premier de la faille Log4j
Un important partenariat entre le gouvernement chinois et Alibaba Cloud dans le cadre de la cybersécurité est suspendu pour six mois. En cause : le premier reproche au second de ne pas l'avoir averti le premier de la vulnérabilité informatique Log4j, dont la découverte a été attribuée à un ingénieur du groupe. Etre au courant avant même Apache, qui édite le logiciel touché par la faille, aurait pu permettre à Pékin de l'exploiter à des fins d'espionnage sans que personne ne le sache.
Le ministère de l'Industrie et des Technologies de l'information (MIIT) a décidé de suspendre pour une durée de 6 mois son partenariat avec Alibaba Cloud à la suite de la faille informatique Log4j, rapporte le South China Morning Post (média appartenant à SCMP, filiale d'Alibaba) dans un article publié le 22 décembre 2021.
Il rapproche à la filiale du groupe chinois de ne pas l'avoir alerté le premier de cette faille, alors que c'est l'un de ses ingénieurs qui serait à l'origine de sa découverte, d'après les informations de Bloomberg. Les équipes d'Alibaba ont suivi les bonnes pratiques habituelles du secteur, c'est-à-dire qu'elles ont contacté Apache, l'éditeur du logiciel en cause, avant de rendre leur découverte publique.
Or, une loi nationale impose désormais aux entreprises de signaler en priorité toute vulnérabilité au gouvernement dans un délai de deux jours. Ce qu'Alibaba n'aurait donc pas fait, empêchant ainsi Pékin d'être le premier et le seul au courant de cette faille informatique... et pourquoi pas de l'exploiter à des fins d'espionnage étatique.
Une faille particulièrement grave
Comme le MIIT l'explique dans un récent avis, c'est "un tiers" qui l'a informé de cette vulnérabilité. Cette dernière est considérée comme particulièrement grave par Pékin car elle "peut conduire au contrôle à distance des équipements, ce qui peut entraîner de graves dommages tels que des vols de données et l'interruption des services."
Le MIIT avait choisi Alibaba Cloud dans le cadre d'un partenariat de coopération dans le secteur de la cybersécurité et du partage des informations. La suspension sera réévaluée dans 6 mois en fonction des mesures internes prises par Alibaba Cloud, écrit le ministère dans son avis. En attendant, la décision pourrait affecter les perspectives commerciales de la filiale du groupe, d'autant plus que le gouvernement chinois a récemment demandé aux entreprises publiques de migrer leurs données d'opérateurs privés tels qu'Alibaba et Tencent vers un cloud national.
La décision du MIIT s'inscrit également dans un contexte de pression accentuée du gouvernement chinois envers les grandes entreprises technologiques nationales. En novembre dernier, Pékin a ainsi interdit à Tencent, propriétaire notamment du réseau social WeChat aux 1,2 milliard d'utilisateurs, de sortir de nouvelles applications ou de mettre à jour les existantes sans contrôle préalable. Des sanctions records ont également été infligées, comme celle de 2,34 milliards d'euros à Alibaba pour ses pratiques monopolistiques.
Des premières victimes
La faille dans la bibliothèque open source de journalisation Log4j, développée par Apache, aurait été détectée pour la première fois le 24 novembre dernier. Cette bibliothèque est très souvent utilisée dans les projets de développement Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE. Des cybercriminels se sont déjà emparés de cette vulnérabilité. Certains ont notamment ciblé le ministère de la Défense belge.
SUR LE MÊME SUJET
Pékin sanctionne Alibaba Cloud pour ne pas l'avoir averti en premier de la faille Log4j
Tous les champs sont obligatoires
0Commentaire
Réagir
