Voici mon résumé de ma série sur la cybersécurité en Chine, issue du récent webinaire au cours duquel j'ai discuté de la cybersécurité en Chine. Pour regarder ce webinaire, allez ici.

Pour lire la partie 1 de cette série, allez ici. La première partie décrit la situation de la cybersécurité en Chine. Pour lire la partie 2 de cette série, allez ici. La partie 2 explique pourquoi la cryptographie n'est pas une solution et considère le programme Golden Tax Malware comme un exemple de malware CCP. Pour lire la partie 3, allez ici. Je discute de la manière dont les entreprises sont essentiellement obligées de s'installer dans un système de réseau non sécurisé afin d'exposer leurs données au PCC et j'en examine les implications internationales.

Dans cet article, j'aborde les options pratiques des entreprises étrangères pour gérer le système de cybersécurité de la Chine.

En réponse à mon récent webinaire sur la cyber-insécurité chinoise, les téléspectateurs et les lecteurs ont posé une question raisonnable: que pouvons-nous faire pour faire face à la situation de la cyber-insécurité en Chine? Comment pouvons-nous opérer en Chine tout en protégeant nos données critiques? L'hypothèse de cette question est qu'il doit exister une solution technique de cybersécurité qui permettra aux entreprises et aux particuliers de protéger leurs données techniques privées en Chine. Le problème est technique, il doit donc y avoir une solution technique.

C'est un symptôme d'un techno-optimisme irréaliste. La réponse à la question est assez simple et directe. Vous ne pouvez presque rien faire. Toute forme de données que vous transmettez à travers la frontière chinoise est disponible pour inspection et utilisation par le Parti communiste et ses agents. Le titre de mon webinaire (No Place to Hide) n'est pas une hyperbole. Une fois à l'intérieur des frontières de la Chine, il n'y a vraiment aucun endroit où se cacher.

Alors, que faut-il faire? Vous avez trois choix de base.

1. Identifiez les données techniques que vous ne souhaitez pas que le CCP obtienne. Ensuite, ne transférez ces données à aucun endroit en Chine pour quelque raison que ce soit. Si cela signifie que vous ne pouvez pas faire des affaires en Chine, c'est ce que cela signifie.

2. Capitulez simplement et laissez vos données être saisies par le Parti.

3. Supposons que tous vos systèmes en Chine sont compromis. Travaillez ensuite avec votre consultant en cybersécurité pour concevoir un système en Chine qui fonctionnera dans une situation où toutes les personnes impliquées savent que le système est compromis. C'est le genre de programme utilisé par les personnes qui travaillent dans des environnements hostiles. C'est le domaine de l'espionnage et des opérations derrière les lignes en temps de guerre. Ces techniques d'évasion sont régulièrement fournies aux dissidents et aux opprimés opérant en Chine. Donc les techniques d'évasion existent. Le problème est que ces techniques supposent un environnement ouvertement conflictuel. Les personnes qui utilisent ces techniques comprennent que la punition suivra si la technique d'évasion est découverte. Pour cette raison, il est trop risqué pour les gestionnaires et les employés sur le terrain d'utiliser cette approche. Donc, bien que cette approche soit techniquement faisable, l'application de ces techniques n'est pas pratique pour le moment. Cependant, une fois que le problème est compris, il peut être possible pour les professionnels étrangers de la cybersécurité de concevoir des techniques utilisables qui peuvent être appliquées en toute sécurité dans un environnement compromis comme la Chine.

Telles sont les trois réponses possibles au système chinois du «aucun endroit où se cacher». Tant que le Parti et ses agents exploitent le système de cyber-insécurité, il n'y a pas d'endroit où se cacher en Chine. Chaque entité et individu opérant en Chine doit faire une évaluation franche des risques de travailler dans le système existant. Il n'y a pas d'échappatoire pour affronter directement le problème.

Considérez pourquoi toute autre alternative ne fonctionnera tout simplement pas. Par exemple, nous pouvons imaginer une situation où un puissant investisseur étranger en Chine déclare ce qui suit aux régulateurs:

Nous savons que vous souhaitez voler les données hébergées sur nos serveurs situés en Chine. Nous ne transférerons ces données en Chine que si vous nous fournissez une exemption générale au MLPS et au reste du système de cyber-insécurité. Nous hébergerons nos données sur des serveurs installés par nos propres techniciens. Nous n'utiliserons que des équipements que nous avons inspectés pour détecter les logiciels malveillants et les portes dérobées. Nous utiliserons notre propre cryptage et nous ne vous fournirons pas les clés. Nous communiquerons sur notre propre VPN sécurisé qui nous exempte de tout contrôle par le Great Firewall. Nous utiliserons notre propre logiciel antivirus basé à l'étranger. Nos systèmes réseau fonctionneront à l'aide du serveur et du logiciel de système d'exploitation les plus avancés.

Nous savons que ce système n’est pas conforme au système de cybersécurité, de surveillance et de contrôle de la Chine. Mais nous permettre d'utiliser notre système non conforme qui fonctionne en dehors du Grand Pare-feu et en dehors du système de cyber-insécurité est le prix que la Chine doit payer pour que notre entreprise opère en Chine ou transfère toute technologie de quelque nature que ce soit en Chine. À prendre ou a laisser.

Puisque cette demande viole la loi et la politique chinoises, le gouvernement chinois la rejettera. Mais aux fins de cette discussion, supposons que les autorités chinoises aient accepté de permettre à un investisseur étranger d'opérer en Chine en utilisant ce type de système. Cela ne fonctionnerait toujours pas. Comme je l'ai souligné dans mon webinaire et mon rapport de webinaire, le système chinois force toute personne opérant en Chine dans un environnement non sécurisé et une fois dans cet environnement non sécurisé, tout système de cybersécurité échouera. Penser qu'une cyber-solution fournira un endroit où se cacher est un fantasme dangereux.

Dans mon webinaire, j'ai décrit certaines des façons dont le système PRC conduit toutes les personnes et entités dans un environnement réseau non sécurisé. Comme je l'ai noté dans le webinaire, l'objectif ultime des régulateurs de la RPC est d'installer des logiciels malveillants sur tous les périphériques réseau. Les téléphones intelligents constituent une cible principale de ce programme. Aujourd'hui en Chine, personne ne peut fonctionner sans téléphone intelligent. Pratiquement tous les aspects de la vie quotidienne et professionnelle nécessitent des applications pour téléphones intelligents. Le Parti et ses agents le comprennent et se concentrent donc sur l'installation de logiciels malveillants sur les téléphones intelligents.

L'utilisation forcée de WeChat est un exemple du fonctionnement du système. Certains de nos lecteurs ont demandé s'ils devraient être concernés par WeChat en tant que vecteur d'infection par des logiciels malveillants sur leurs systèmes. Cette question passe à côté du problème. Malware WeChat IS. Si vous installez WeChat sur votre système, vous installez des logiciels malveillants. Aucune campagne de phishing sophistiquée n'est requise. Vous l'avez fait vous-même. Il y a une raison pour cela. Aucune entreprise ne peut faire des affaires en Chine sans utiliser WeChat. Il n'y a pas d'échappatoire si vous opérez en Chine ou si, en dehors de la Chine, vous travaillez avec des entreprises et des particuliers chinois.

Comme pour le malware fiscal Golden Shield, pratiquement toutes les applications pour smartphone distribuées par le gouvernement de la RPC sont une forme de malware. Voici quelques exemples de ceci.

1. L'étude de la pensée de Xi Jinping est désormais obligatoire en Chine. Le Parti a créé une application pour smartphone destinée à promouvoir cette étude: le Étudiez l'application Great Nation. Plus de 100 000 000 Chinois ont téléchargé l'application. Étant donné que l'avancement au sein du Parti et de la bureaucratie nécessite l'utilisation de l'application (et puisque l'utilisation est surveillée), elle est régulièrement consultée. L'application est plus qu'un outil éducatif, c'est une forme de malware et elle fait tout ce qui suit: collecte d'informations, transmission et protection de fichiers, exécution de code et portes dérobées, obscurcissement pour masquer les fonctionnalités et collaboration avec des entreprises externes. Le cadre étranger moyen n'aura pas cette application installée. Mais les membres de la cellule du Parti dans son bureau et les personnes avec lesquelles elle fait affaire le feront également. Il n'y a donc aucun moyen efficace d'éviter la portée de l'application et de ses fonctions de collecte de données.

2. De nombreux gouvernements en Chine ont créé des applications pour téléphones intelligents pour surveiller l'auto-quarantaine et d'autres mesures dans le cadre de leurs programmes de contrôle des coronavirus. Le plus connu d'entre eux a été créé à Hangzhou et, comme pour l'application Great Nation, cette application est également une forme de malware. Cette application est nécessaire pour les fonctions quotidiennes de la vie: entrée dans les quartiers, achat de billets de train et de bus, entrée dans les centres commerciaux. Cette application ne peut pas être évitée.

3. Même les touristes étrangers et les autres visiteurs étrangers en Chine sont contraints de pénétrer dans le système malveillant de smartphone chinois. Le contrôle des frontières chinoises est devenu une procédure régulière pour inspecter le smartphone de chaque personne entrant en Chine et ces inspections sont particulièrement approfondies pour l'entrée dans des zones sensibles telles que le Xinjiang et le Tibet. Dans le cadre du processus d'inspection, les agents aux frontières installent désormais régulièrement des logiciels malveillants de suivi sur ces smartphones et les touristes ne sont pas autorisés à se désinscrire car la conformité est une condition d'entrée. Cette procédure montre comment fonctionne le système de cyber-insécurité de la Chine. Première étape, l'inspection policière est obligatoire. Deuxième étape, la police prend toutes les données qu'elle veut prendre. Troisième étape, la police abandonne les logiciels malveillants de suivi (RAT) pour rendre le périphérique réseau accessible en permanence par le gouvernement chinois et ses entreprises préférées. C'est exactement ce que fera le MPS lors de «l'inspection» des réseaux informatiques de bureau et des systèmes cloud hors site. L'inspection est une couverture pour l'insertion de logiciels malveillants. L'insertion de logiciels malveillants est l'objectif principal.

Donc, comme on peut le voir, tous les systèmes en réseau sont traités de la même manière: smartphones, réseaux informatiques, systèmes cloud. L’objectif du PCC est de pousser tous les utilisateurs de ces réseaux dans un environnement non sécurisé. Beaucoup de nos lecteurs ont exprimé des inquiétudes quant à l'utilisation de matériel chinois. Ils pensent pouvoir échapper à la surveillance des données chinoises en utilisant leurs propres périphériques matériels auto-certifiés. Mais le matériel n'est pas le problème. Le problème est le logiciel. Le Parti et ses agents vous permettront d'utiliser le matériel de votre choix. Le système de cyber-insécurité, car il vous impose son système en vous forçant dans un environnement logiciel compromis et non sécurisé. Si vous êtes en Chine ou si vous traitez avec la Chine, vous faites partie du système de surveillance de la Chine.

Votre matériel n’a pas d’importance pour la Chine, même s’il est vrai qu’une grande partie du matériel fabriqué en Chine (voir le système 5G de Huawei) a été développé pour surveiller à l'extérieur Chine. Cela peut être vu par la saga continue des tentatives de Huawei de participer au déploiement des réseaux 5G au Royaume-Uni. Même si Huawei a subi une pression intense pour faire face aux problèmes de sécurité au Royaume-Uni, le Conseil de surveillance britannique de Huawei a annoncé que les systèmes Huawei ne respectaient pas les normes de sécurité minimales.

La raison de l'échec n'est PAS liée au matériel Huawei, qui en soi n'est pas génial. Les problèmes de sécurité sont liés au composant logiciel. «Des preuves persistantes de mauvaises pratiques de codage ont été trouvées, y compris des preuves que Huawei continue de ne pas suivre ses propres directives internes de codage sécurisé.» Le rapport a trouvé des «vulnérabilités critiques face aux utilisateurs» dans les produits à accès fixe causées par «une qualité de code particulièrement médiocre» et l'utilisation d'un ancien système d'exploitation.

Cela fait écho à ma description de base du fonctionnement du système non sécurisé: les utilisateurs sont obligés d'utiliser des logiciels mandatés par le gouvernement mal écrits et des systèmes d'exploitation obsolètes. Même en soumettant un produit à un gouvernement étranger très suspect, Huawei n'est pas en mesure d'échapper à la structure de base du régime de cyber-insécurité de la RPC car ses ventes en Chine exigent qu'elles fonctionnent de cette manière. Tout cela est une caractéristique d'un système qui donne la priorité au suivi des CCP par rapport aux revenus.

Cela nous ramène ensuite à la question initiale: que peut-on faire quand il n'y a pas de moyen pratique de protéger les données du réseau qui traversent la frontière chinoise? Le système chinois de cyber-insécurité est conçu pour rendre tous les réseaux de toute nature accessibles au Parti et à ses agents. Cet accès comprend la collecte et l'utilisation de toutes les données disponibles sur chaque réseau opérant à l'intérieur des frontières de la RPC. Pour une entreprise à capitaux étrangers, cela signifie l'accès et l'utilisation de toutes les données techniques qui traversent la frontière chinoise.

Donc, la réponse à ce qui peut être fait est que vous comprenez la réalité. Ne vous trompez pas en pensant que vous pouvez vaincre le système de cyber-insécurité omniprésent en Chine. En ce sens, la réponse est assez simple: s'il y a des données auxquelles vous ne voulez pas que le PCC accède, n'envoyez pas ces données en Chine. Pendant des années, les investisseurs étrangers ont travaillé pour trouver une «solution de contournement» au système chinois. Il n'y a pas de contournement. La Chine ne fait pas de failles.

Le titre de mon webinaire disait tout: il n'y a pas de place pour se cacher.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *