La Cyberspace Administration of China (CAC) a publié de nouvelles réglementations plus strictes sur la divulgation des vulnérabilités qui obligent les chercheurs en sécurité à découvrir des failles critiques dans les systèmes informatiques à les divulguer obligatoirement aux autorités gouvernementales dans les deux jours suivant le dépôt d’un rapport.

Le « Règlement sur la gestion de la vulnérabilité de sécurité des produits de réseau » devraient entrer en vigueur à compter du 1er septembre 2021, et visent à normaliser la découverte, le signalement, la réparation et la publication des vulnérabilités de sécurité et à prévenir les risques de sécurité.

« Aucune organisation ou individu ne peut profiter des vulnérabilités de sécurité des produits réseau pour se livrer à des activités qui mettent en danger la sécurité du réseau, et ne doit pas collecter, vendre ou publier illégalement des informations sur les vulnérabilités de sécurité des produits réseau », stipule l’article 4 du règlement.

En plus d’interdire la vente de failles de sécurité auparavant inconnues, les nouvelles règles interdisent également la divulgation des vulnérabilités à des « organisations ou individus étrangers » autres que les fabricants de produits, tout en notant que les divulgations publiques devraient être accompagnées simultanément de la publication des réparations ou mesures préventives.

« Il n’est pas permis d’exagérer délibérément les dommages et les risques de vulnérabilités de sécurité des produits de réseau, et ne doit pas utiliser les informations de vulnérabilité de sécurité des produits de réseau pour effectuer des spéculations malveillantes ou des fraudes, des extorsions et d’autres activités illégales et criminelles », article 9 (3) de le règlement lit.

En outre, il interdit également la publication de programmes et d’outils pour exploiter les vulnérabilités et mettre les réseaux en danger pour la sécurité.