Executive Summary

Le 1er juin 2017, après des années de débats nationaux et internationaux, la loi nationale chinoise sur la cybersécurité est enfin entrée en vigueur. Une grande partie de la loi était axée sur la protection des données des utilisateurs chinois, tandis que les évaluations de la loi mettaient l'accent sur les répercussions négatives potentielles pour les entreprises et les technologies étrangères, ainsi que sur les difficultés liées au respect des nouvelles exigences légales contraignantes, vagues et générales.

Les recherches de Recorded Future se sont concentrées sur les pouvoirs étendus que la loi sur la cybersécurité confère au Centre chinois d'évaluation des technologies de l'information (CNITSEC), un bureau relevant du principal service de renseignement extérieur chinois, le ministère de la Sécurité d'État (MSS). La loi confère aux « départements chargés des informations sur les réseaux », dont le CNITSEC, le pouvoir de procéder àdes « examens de sécurité nationale »(voir article 35) des technologies que les entreprises étrangères souhaitent utiliser ou vendre sur le marché chinois.

L'intégration du MSS dans l'architecture de sécurité de l'information de la Chine via le CNITSEC permettra (1) d'identifier les vulnérabilités des technologies étrangères que la Chine pourrait ensuite exploiter dans ses propres opérations de renseignement, et (2) de placer les entreprises étrangères devant un choix impossible : soit céder leur technologie exclusive ou leur propriété intellectuelle au MSS, soit être exclues du marché des technologies de l'information de la Chine continentale, qui devrait atteindre 242 milliards de dollars en 2018.

Background

In our May 2017 blog post attributing the threat actor group APT3 to the Chinese MSS, we also identified a Chinese information security organization that is actually run by the MSS — CNITSEC, also referred to in this piece as “the center.”

Selon une étude universitaire publiée dans « China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain » (La Chine et la cybersécurité : espionnage, stratégie et politique dans le domaine numérique), le CNITSEC est dirigé par le MSS et regroupe une grande partie de l'expertise technique en matière de cyberespionnage des services de renseignement. Le CNITSEC est utilisé par le MSS pour « réaliser des tests de vulnérabilité et des évaluations de la fiabilité des logiciels ». Selon un câble du Département d'État américain datant de 2009, il semblerait que la Chine puisse également exploiter les vulnérabilités découlant des activités du CNITSEC dans le cadre d'opérations de renseignement. L'ancien directeur du CNITSEC et actuel secrétaire du parti, Wu Shizhong, se présente lui-même comme membre du MSS, y compris dans le cadre de ses fonctions de directeur adjoint du Comité national chinois des normes de sécurité de l'information, qu'il occupait encore en janvier 2016.

Analysis

CNITSEC’s role in the new information technology regulatory regime has become apparent only over the last few months as the Chinese state began to finalize and publicize regulations in support of the CSL.

Cybersecurity Law Is Broad and Language Is Vague

Avant d'examiner le rôle du CNITSEC, il est important de passer en revue les sections pertinentes de la CSL et les obligations auxquelles les entreprises étrangères sont susceptibles d'être soumises (pour une traduction anglaise de qualité, veuillez consulter China Law Translate). Il est important que les entreprises prennent conscience du caractère imprécis et de la portée étendue de la CSL ainsi que de la loi sur la sécurité nationale de 2015, car ces deux textes contiennent des formulations vagues qui peuvent être invoquées par les autorités chinoises pour imposer des examens de sécurité nationale, le partage de données avec les autorités gouvernementales et même des inspections de technologies exclusives ou de propriété intellectuelle.

Upon its passage in November 2016, one of the poorest-defined sections of the law was “Chapter Three: Network Operations Security.” Chapter three includes 18 articles which define the “network security protection” responsibilities of “network operators” and additional legal responsibilities for companies that operate “critical information infrastructure.”

Seul l'un des trois termes mentionnés ci-dessus a été défini dans la loi elle-même. La CSL stipule que les « opérateurs de réseau » sont les « propriétaires, gestionnaires et fournisseurs de services de réseau ». Selon une analyse de la loi réalisée par KPMG:

Enterprises and institutions that provide services and conduct business activities through networks may also be defined as “network operators.” In addition to traditional telecom operators and internet firms, network operators may also include:

• Financial institutions that collect citizens’ personal information and provide online services, such as banking institutions, insurance companies, securities companies, and foundations.
• Providers of cybersecurity products and services.
• Enterprises that have websites and provide network services.

This is such a broad interpretation of the term that it could encompass any business that uses the internet or collects user data in China. Further, companies that are categorized as “network operators” are subject to a review by government regulators if they ever wish to transfer large amounts of user data abroad (see Article 37).

Conformément à l'article 28 de la CSL, les « opérateurs de réseau » sont également tenus de fournir une assistance aux organismes publics et de sécurité de l'État afin de « préserver la sécurité nationale et enquêter sur les crimes ». Cela pourrait contraindre les entreprises à fournir aux autorités chinoises chargées de l'application de la loi et à la sécurité de l'État des informations sur des utilisateurs ou des activités qui ne sont pas considérées comme des crimes en Occident, en particulier les «crimes liés à Internet ». Certaines de ces « infractions liées à Internet » comprennent l'utilisation d'Internet pour « fabriquer ou déformer des faits, répandre des rumeurs, perturber l'ordre social », « insulter ou diffamer autrui » et propager des « informations préjudiciables ». Un sous-ensemble des « opérateurs de réseau » est classé par la loi comme exploitant des « infrastructures d'information critiques » et soumis à des réglementations et contrôles encore plus stricts. Le texte de la CSL classe les « infrastructures d'information critiques » comme suit :

Public communication and information services, power, traffic, water, finance, public services, electronic government (e-gov), and other critical information infrastructure that if destroyed, lost functionality, or leaked data, might seriously endanger national security, the national economy and the people’s livelihood, or the public interest.

La définition de la « sécurité nationale » donnée par l'État chinois a été officialisée dans la « loi sur lasécurité nationale » de juillet 2015 comme suit :

The relative absence of international or domestic threats to the state’s power to govern, sovereignty, unity and territorial integrity, the welfare of the people, sustainable economic and social development, and other major national interests, and the ability to ensure a continued state of security.

Les entreprises de ce secteur, ainsi que tous les produits ou services qu'elles achètent, seront également soumis à un « examen de sécurité nationale », qui,selon le Financial Times, permet au gouvernement de « demander le code source des programmes informatiques » et « d'examiner la propriété intellectuelle des entreprises ». L'article précise également que « même les entreprises de livraison de repas rapides pourraient être considérées comme des infrastructures essentielles, ont estimé les autorités réglementaires de Shanghai lors d'un essai pilote de la loi », probablement parce qu'elles détiennent des informations personnelles sur des millions d'utilisateurs chinois.

CNITSEC’s Role in CLS Provides MSS Collection Opportunities As outlined in our blog on APT3 and the MSS and detailed again above, CNITSEC has never officially acknowledged its relationship with the MSS, but the center’s mandate to serve the Chinese state, party, and government organizations, as well as conduct reviews under the CSL, is well-documented.

• CNITSEC’s website describes the center as having a broad mandate, bestowed by the central government, to conduct security vulnerability evaluations and risk assessments of party and government information networks; security testing of information technology, products, and systems; boasts “first-class” vulnerability analysis resources and equipment; and professional research and development technical labs.
• In a June 2017 interview given to the Chinese-language paper Southern Metropolitan, CNITSEC’s Chief Engineer Wang Jun confirmed that CNITSEC had been certified by the Chinese government to conduct the national security reviews under the CSL. Wang further explained that a review could be initiated by a relevant state department, a national industry, or by the market, which included users and the public.
• Lors d'une conférence tenue plus tard dans le mois, M. Wang a prononcé un discours liminaire sur le même sujet, établissant un lien explicite entre l'article 59 de la loi sur la sécurité nationale de 2015, qui a instauré l'obligation légale d'un examen et d'un contrôle de la sécurité nationale des investissements commerciaux, des technologies, des produits et des services étrangers, les examens de sécurité prévus par le 13e plan quinquennal de la Chine et les examens de sécurité nationale prévus par la CSL.

Wang (photo below) also emphasized in this speech that the CSL national security reviews would focus on the possible impact on national security, security risks, security reliability, control, security mechanisms, and technological transparency. He continued to maintain that the reviews would be conducted by professional “third parties” that were ostensibly objective and independent, however, with CNITSEC, an office within the MSS, emerging as a certified national security reviewer, it calls into question any other organization that has also been certified.

Le CNITSEC gère également la base de données nationale chinoise sur les vulnérabilités en matière de sécurité de l'information (CNNVD), qui est le centre national d'évaluation de la sécurité de l'information, et est responsable de la construction, de l'exploitation et de la maintenance de la plateforme nationale de gestion des données sur les vulnérabilités en matière de sécurité de l'information.

De manière explicite, le CNNVD fonctionne de manière similaire à d'autres bases de données nationales sur les vulnérabilités (NVD), telles que la NVD du National Institute of Standards and Technology (NIST) du gouvernement américain, qui est gérée par une division du Department of Homeland Security (DHS) chargée d'identifier, de signaler et de créer des correctifs pour les vulnérabilités logicielles. Bien qu'il n'existe pas d'équivalent exact du DHS en Chine, la mission et le champ d'action du ministère de la Sécurité publique (MPS) sont très similaires et sont largement considérés comme l'équivalent du DHS en Chine. L'équivalent américain le plus proche du MSS est la Central Intelligence Agency (CIA) ; toutefois, le MSS est également habilité à recueillir des renseignements à l'intérieur de la Chine, certaines de ses fonctions s'apparentant à celles du Federal Bureau of Investigation (FBI). À titre de comparaison, le MSS qui gère le CNNVD serait à peu près l'équivalent de la CIA qui gère le NIST NVD.

Le problème fondamental lié au fait que le MSS gère le CNITSEC et le CNNVD, et plus largement, au rôle du MSS dans l'infrastructure organisationnelle de la sécurité de l'information en Chine, réside dans le fait que le MSS est la «principale agence de renseignement civile » chinoise, chargée à la fois des opérations de renseignement extérieur et de contre-espionnage. Selon «China’s Security State: Philosophy, Evolution, and Politics » (L'État sécuritaire chinois: philosophie, évolution et politique), le MSS est « chargé de collecter et d'évaluer les renseignements civils pertinents pour la sécurité nationale et de mener des opérations de contre-espionnage contre les pays étrangers ».

This means that the MSS is using the broad language and new authorities in China’s cybersecurity law to possibly gain access to vulnerabilities in foreign technologies that they could then exploit in their own intelligence operations. The MSS has a voice in which vulnerabilities are reported via the CNNVD, because they run it; they could also easily identify and hide from the public a critical weakness in software or hardware, then turn around and use it in their own operations.

Il existe deux différences essentielles entre la manière dont le MSS pourrait gérer le CNNVD et la manière dont la CIA ou la NSA interagissent avec le système NVD du NIST. Tout d'abord, bien qu'il ait été largement démontré que les vulnérabilités exploitées par la série d'outils ETERNAL de la NSA n'avaient pas été signalées à Microsoft ou au NIST NVD avant leur acquisition par le groupe ShadowBrokers, la NSA ne figure pas dans le NIST NVD et n'a pas activement censuré ces vulnérabilités dans la base de données. Le MSS (via le CNITSEC) gère le CNNVD et peut choisir de supprimer ou de contrôler les vulnérabilités signalées au public.

Second, the MSS could leverage research conducted by the CNNVD to support their operations. U.S. intelligence agencies such as the NSA and CIA identify vulnerabilities based on their own research and are not allowed to leverage NIST NVD’s non-public research.

Impact

The vagueness and opacity of the definitions in the CSL means that many foreign companies, especially those considered part of the “critical information infrastructure,” will have to make the grim choice between giving their proprietary technology/intellectual property to the MSS and being excluded from the mainland Chinese market. Allowing their technology to be security reviewed by the MSS could have a secondary ramification of putting current customers or users at increased risk for Chinese state-sponsored cyberattacks.

Foreign companies seeking to conduct business in China, especially those in the “critical information infrastructure” sectors, now face a host of technical, legal, and ethical decisions about operating in China that might not have been previously considered. These decisions will impact both the tactical and strategic plans and operations for companies in a wide range of industry verticals.

First, with the knowledge that the MSS could discover and operationalize vulnerabilities in proprietary products or services, companies need to evaluate three possible risk scenarios:

• Risk to a company’s own machines or networks.
• Risk to a company’s product or service.
• Derivative risk to customers, clients, or users around the world.

Most products and services utilized in China will not be wholly unique from their global counterparts, raising the risk that vulnerabilities discovered by the MSS could be utilized to exploit international users of these machines, networks, products, and services. Companies in this loosely defined “critical information infrastructure” sector are at greatest risk. These likely include software and hardware vendors; SaaS (software as a service), IaaS (infrastructure as a service), PaaS (platform as a service) companies; cloud, security, and network providers; and many more.

Deuxièmement, coopérer avec les autorités chinoises en fournissant des informations sur les sujets faisant l'objet d'enquêtes nationales pourrait exposer les entreprises à des critiques publiques en Europe et en Amérique du Nord, à des poursuites judiciaires et à d'éventuelles sanctions de la part de plusieurs niveaux de gouvernement. En 2007, Yahoo s'est retrouvé dans le collimateur d'une commission d'enquête bipartisane du Congrès américain après avoir fourni aux autorités chinoises des informations liées à l'emprisonnement d'un journaliste dissident. Le PDG et le conseil général de l'entreprise ont été qualifiés de «pygmées moraux » etd'« irresponsables »par le président de la commission des affaires étrangères de la Chambre des représentants, et ont été contraints de défendre leur réputation auprès d'associations de défense des droits civiques depuis l'incident. Yahoo a même été contraint de régler à l'amiable un procès privé résultant de sa coopération avec le gouvernement chinois. À l'avenir, de plus en plus d'entreprises seront contraintes de trouver un équilibre entre le respect des réglementations chinoises et le respect de l'éthique commerciale occidentale afin d'éviter des difficultés similaires.

Editor’s Note

This is not meant to replace legal advice or counsel. Please make sure to consult local legal counsel for additional concerns regarding China’s cybersecurity law.