Chine : Green Dam, un filtre Web vulnérable et potentiellement volé

La Chine va imposer, dès le 1^er juillet, aux constructeurs informatiques de pré-installer un filtre Web baptisé Green Dam, sur les ordinateurs personnels commercialisés sur son territoire. Un filtre, dont la mission sera de bloquer l’accès à certains sites directement depuis le PC de l'utilisateur.

Las, le dit filtre ne serait pas totalement légitime, selon l’éditeur américain Solid Oak Software. Ce dernier affirme en effet avoir trouvé des bouts de code de son logiciel de contrôle parental CyberSitter dans le filtre chinois – « au moins une bonne part » du code du logiciel chinois, selon le président de Solid Oak. Ce dernier indique vouloir bloquer la distribution de ce filtre officiel en saisissant directement les constructeurs, et notamment HP et Dell, déjà passablement ennuyés d'être contraints d'installer des filtres gouvernementaux sur leurs PC vendus en Chine. Jinhui Computer System Engineering Co., l’éditeur chinois sélectionné par les autorités locales pour fournir Green Dam, dénonce les affirmations de Solid Oak dans les colonnes du Wall Street Journal, assurant que « c’est impossible. » Pour obtenir gain de cause, Solid Oak devra saisir la justice chinoise.

En attendant, des chercheurs en sécurité informatique de l’université du Michigan ont découvert des failles importantes dans le logiciel de filtrage chinois : ces failles, exploitables à distance, peuvent permettre à l’administrateur d'un site Web visité par l’utilisateur de Green Dam de prendre contrôle de son ordinateur personnel - pour peu, bien sûr, que le site en question incorpore le code nécessaire pour tirer parti des failles du filtre.

Reste, bien sûr, à savoir si Green Dam emprunte du code à CyberSitter et à qui imputer les failles relevées par les chercheurs. Sur ce point, les chercheurs de l'université n'ont pas tranché, mais ils relèvent dans leurs conclusions, que Green Dam s’appuie sur des listes noires de sites Web qui « semblent avoir été copiées d’un logiciel américain de filtrage », CyberSitter plus précisément. Ces listes portent notamment sur des sites pornographiques et politiques.