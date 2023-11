La révélation par Microsoft au cours de l’été d’une campagne d’espionnage chinoise utilisant de faux identifiants pour s’introduire dans des agences gouvernementales et des entreprises américaines rappelle que la Chine dispose de cybercapacités sophistiquées et qu’elle est prête à les utiliser. Mais il ne s’agit pas simplement d’avoir un produit avec un code vulnérable.

Si des entreprises ont des activités commerciales en Chine – comme le font bon nombre des entreprises technologiques les plus importantes et les plus influentes d’Amérique – elles pourraient être involontairement complices des opérations de surveillance chinoises, selon un nouveau rapport publié par l’American Security Project. Pourtant, cela reste absent des discussions sur le risque dans les états financiers publics de nombreuses entreprises technologiques.

C’est une curieuse omission, car les risques sont élevés : la loi chinoise exige que les entreprises implantées sur place fournissent aux services de sécurité du Parti communiste chinois un accès au code source et à d’autres données sensibles, si cela leur est demandé. La loi chinoise exige également que les chercheurs en sécurité – y compris ceux travaillant pour des entreprises technologiques – partagent d’abord les vulnérabilités du code informatique avec le gouvernement.

Il y a dix ans, Edward Snowden, alors entrepreneur de la National Security Agency, a divulgué des documents classifiés prétendant montrer que les entreprises technologiques américaines étaient tenues, en vertu de la loi américaine, de fournir des informations sur les étrangers à la communauté du renseignement américain. Au lendemain des fuites, les entreprises technologiques américaines ont été confrontées à une telle atteinte à leur réputation que bon nombre d’entre elles ont signalé les risques comme étant importants dans leurs informations financières. Ils se sont également battus avec acharnement pour – et ont gagné – le droit d’être plus transparents envers leurs clients et le grand public sur la fréquence à laquelle la communauté du renseignement américain leur demandait de coopérer. Si la surveillance américaine représentait un risque aussi grave pour la fortune commerciale des entreprises technologiques américaines, la Chine devait sûrement en faire autant également.

Certes, il existe un monde de différence entre le cadre juridique américain pour les opérations de renseignement et celui de la Chine. Notre pays est ancré dans une démocratie, avec des limites prescrites par la loi et soumise à plusieurs niveaux de surveillance par les trois pouvoirs du gouvernement. Nous débattons ouvertement des contours de ce cadre, comme le fait actuellement le Congrès en ce qui concerne les autorités de surveillance autorisées par le Foreign Intelligence Surveillance Act. La Chine donne carte blanche aux services de sécurité pour poursuivre leurs enquêtes et opérations, sans limites connues.

Les risques liés aux cyberopérations chinoises ne s’arrêtent pas aux résultats financiers d’une entreprise. Le Bureau du directeur du renseignement national a averti que « la Chine est presque certainement capable de lancer des cyberattaques qui pourraient perturber les services d’infrastructures critiques » aux États-Unis, notamment les systèmes ferroviaires et les oléoducs et gazoducs. Ici, en Californie, par exemple, une campagne de cyberespionnage chinois a ciblé le Metropolitan Water District de Californie du Sud, qui fournit de l’eau à 19 millions de Californiens.

Il est vrai que les relations de nombreuses entreprises technologiques américaines avec la Chine sont complexes. La Chine est un marché immense qui oblige depuis longtemps les entreprises étrangères à s’implanter dans le pays afin d’y vendre leurs produits.

Le pays dispose également d’une main-d’œuvre technologique extrêmement talentueuse que les entreprises technologiques souhaitent exploiter en basant certaines de leurs opérations en Chine. Toutefois, lorsqu’il s’agit d’espionnage, ces organisations basées en Chine répondent en fin de compte au Parti communiste chinois et non à la direction des géants américains de la technologie.

Le représentant Ro Khanna, D-Santa Clara, membre du comité spécial de la Chambre sur la Chine, a raison de dire que les entreprises technologiques américaines doivent repenser leurs relations avec la Chine. Au minimum, il est temps pour les entreprises technologiques d’être plus transparentes sur leurs opérations commerciales en Chine et sur la manière dont elles gèrent les risques. Ils pourraient publier des statistiques globales sur le volume des demandes de surveillance en provenance de Chine, et si le gouvernement chinois interdit une telle divulgation, les entreprises devraient le dire publiquement.

Il est temps que le Congrès demande aux géants américains de la technologie d’expliquer comment ils évaluent et gèrent ces risques.

Andrew J. Grotto est chercheur invité à la Hoover Institution et chercheur en sécurité au Centre pour la sécurité internationale et la coopération de l’Université de Stanford et a été directeur principal de la politique de cybersécurité dans les administrations Obama et Trump.