Microsoft, Intel et IBM ne veulent pas livrer leur code source à la Chine

Les nouvelles règles chinoises de cybersécurité inquiètent Microsoft, Intel, IBM et d’autres. Pékin réclame, entre autres, le partage du code source de leurs logiciels propriétaires.

Les nouvelles règles chinoises de cybersécurité déroutent l’industrie informatique américaine, rapporte le Wall Street Journal. La Chine demande notamment à ses fournisseurs IT, éditeurs de logiciels, fabricants de matériel réseau et autres acteurs technologiques, de partager avec elle le code source de leurs solutions propriétaires. Pékin veut ainsi s’assurer de l’absence de vulnérabilités et de portes dérobées (backdoors) qui permettraient à des pirates informatiques de l’espionner.

Microsoft, IBM et Intel font partie des grands groupes américains qui ont émis des objections au projet de Pékin. Tous s’inquiètent de l’étendue des détails à communiquer pour que leurs technologies propriétaires soient classées comme « sécurisées et contrôlables » par la Chine.

Partage du code source

« Le partage du code source en lui-même ne prouve pas [que la technologie soit] sécurisée et contrôlable », a déclaré Microsoft lors d’une récente consultation sur le sujet. « Cela prouve seulement que le code source existe ». Soupçonné de collusion avec la NSA américaine depuis les révélations de Snowden, Microsoft autorise déjà l’accès confidentiel à ses codes sources sur certains marchés, y compris chinois. Permettre aux officiels de « visualiser » le code source de ses solutions dépuis son nouveau « centre de transparence » de Pékin devrait suffire, selon Redmond, plutôt que de « partager le code source » avec les autorités chinoises… Mais ces dernières auraient d’ores et déjà rejeté la requête.

Intel, de son côté, a déclaré qu’une règle obligeant les fabricants de puces à divulguer le code source de leurs produits « nuirait à l’innovation technologique et diminuerait le niveau de sécurité » de l’offre concernée. Intel et Microsoft s’interrogent également sur un standard de sécurité qui classerait à un niveau plus élevé les produits dont le développement et la distribution ne peuvent pas être perturbés par la « politique ». Intel a demandé des clarifications.

Leurs observations ont été récemment révélées par le Technical Committee 260 (TC260). Formé à l’initiative du gouvernement chinois, ce comité de définition de standards techniques promeut la nouvelle loi chinoise de cybersécurité adoptée le 7 novembre dernier.

Localisation de données

Une autre multinationale américaine impliquée dans la consultation, IBM, a déclaré qu’une distinction devrait être établie entre les services informatiques destinés à un usage commercial et les services dédiés aux applications gouvernementales. « Les salles informatiques utilisées pour le Cloud Computing commercial ne devraient pas être obligatoirement situées à l’intérieur des frontières de la Chine », selon Big Blue. Mais le comité TC260 estime que la localisation de données ne doit pas seulement être traitée sous l’angle commercial, rapporte le quotidien de Wall Street.

Les attentes chinoises en matière de divulgation d’adresses IP divisent également. Malgré tout, il est très peu probable que les exigences de Pékin en matière de cybersécurité détournent les entreprises américaines du marché chinois. Un marché qu’elles investissent avec le soutien de partenaires locaux et de coentreprises. Pékin soutient d’ailleurs que ses nouvelles règles de sécurité s’appliqueront sans distinction aux entreprises nationales et aux entreprises étrangères. Mais certains y voient l’occasion pour le gouvernement chinois de favoriser les firmes locales…

Les nouvelles régles chinoises de cybersécurité doivent entrer en vigueur en juin 2017.