Le gouvernement chinois a mis en détention Fan Xioadun, le leader de la plus grande communauté de hackers ethiques dans le pays. Neuf autres membres de son groupe Wooyun ont aussi été mis en arrêt. Aucune raison officielle n’a été communiquée concernant cette arrestation.
Les techniques des hackers éthiques
Wooyun est une communauté indépendante regroupant près de 5000 chercheurs dans le domaine de la sécurité. A ce titre, ses membres utilisent les mêmes techniques de piratage afin de déceler des failles de sécurité dans les systèmes du gouvernement et des entreprises. Après avoir été identifiées, elles sont ensuite signalées discrètement aux sociétés concernées pour qu’elles les corrigent. Grâce à ce travail, les entreprises offrent des primes à ces hackers éthiques pour les différentes failles localisées dans leurs systèmes.
Force est de constater que certaines sociétés n’ont pas les moyens de réparer les brèches détectées. Pourtant, une fois qu’un certain délai est passé, ces hackers divulguent sur leur site web toutes les informations concernant les failles détectées. Le but est de pousser ces entreprises à mettre au point leurs systèmes. Après la publication des vulnérabilités, les sociétés concernées sont de plus en plus vulnérables aux attaques. Les pirates sont mieux informés et auraient facilement accès aux données personnelles. Le journal Hong Kong Free Press a d’ailleurs indiqué que certaines entreprises ont été piratées quelque temps après la publication des failles. Ce quotidien chinois ne précise pas toutefois si ce sont réellement ces failles divulguées qui ont été exploitées.
Le site de Wooyun, mis hors service avant l’arrestation
On a remarqué que le 19 juillet 2016, le site de Wooyun a été bloqué, après avoir été ignoré par les entreprises. Pour justifier cette suspension, le leader de la communauté de hackers éthiques explique le lendemain qu’il procède juste à une opération de mise à niveau du site. Il voulait rassurer que tout sera remis dans l’ordre dans le plus bref délai, une promesse non tenue au bout du compte. Peu de temps après, Fang Xiaodun et les neuf autres membres ont été arrêtés par la police sans aucune raisons officielle.
D’après les sources, le site n’a pas été suspendu par des parties externes au groupe, mais par des membres de Wooyun afin de réduire certains risques. Mais bon nombre d’observateurs estiment qu’une autorité politique a fait pression « dans les coulisses ». Certaines personnes, en revanche, insinuent que Fang Xiaodun devrait s’expliquer devant la justice, car des entreprises auraient été victimes de piratage peu de temps après la publication des failles sur le site de Wooyun. Voilà une hypothèse soutenue par Zhao Zhanling, consultant juridique pour Internet Society en Chine. Selon lui, ces dix personnes arrêtées pourraient être poursuivies en justice, car ils n’ont pas utilisé les plateformes de Wooyun pour recourir aux techniques de piratage.
En effet, ils ont employé celles d’autres organisations. Ainsi, deux attaquants malveillants ont réussi à pirater ces entreprises. Cet état de fait est dangereux, car cela signifierait que toutes les entreprises