Le géant chinois du cloud est peut-être à l’origine de la découverte d’une faille des plus graves, sa lenteur à prévenir les autorités chinoises lui valent la suspension de l’accord de partage d’informations entre lui et le gouvernement.
C’est un chercheur chinois, travaillant pour Alibaba Cloud, qui aurait le premier découvert la vulnérabilité de Log4j. Il en a informé la fondation Apache fin novembre. Et ce n’est que le 9 décembre que les autorités chinoises sont avertis de l’existence de cette faille, sans que l’on sache si l’information provient du bulletin de sécurité émis par Apache ou d’une autre partie.
Toujours est-il qu’Alibaba a tardé à notifier Pékin. En effet, une loi récente contraint toute organisation chinoise à signaler à l’administration les vulnérabilités qu’elle découvre sous deux jours. Selon un porte-parole du gouvernement, « Alibaba n’a pas signalé cette vulnérabilité au régulateur dans les délais impartis et n’a pas apporté son soutien aux autorités pour gérer les menaces de cybersécurité ».
Législation sur les divulgations
En conséquence de quoi l’Etat a décidé de geler pour six mois l’accord de partage d’informations qui le lie au géant du cloud. Le gouvernement chinois, et notamment le Bureau du Comité central en charge du cyberespace, ou CAC, a récemment renforcé sa législation eu égard à la cybersécurité et à la protection des données personnelles.
Ce n’est pas la première fois qu’Alibaba est dans le viseur des autorités chinoises, qui est bien moins tendre depuis un an envers ses fleurons technologiques. L’entrée en bourse d’Ant Financial, filiale du groupe fondé par Jack Ma, a vu son IPO est stoppée in extremis, tandis que le fondateur de l’entreprise a été porté disparu pendant plusieurs semaines.