Chine: un pipeline de recherche de vulnérabilités de plus en plus structuré et aligné sur l’État
Source: Natto Thoughts (Substack). Contexte: analyse sur deux décennies de transformation de l’écosystème chinois de recherche de vulnérabilités, passant de communautés informelles à un pipeline structuré et en partie aligné sur l’État. L’article met en avant une double mécanique: des règles « top-down » imposant la divulgation des vulnérabilités aux entités publiques (RMSV avec obligation de déclaration sous 48 h au MIIT, et CNNVD), et des réseaux « bottom-up » d’experts d’élite liés de façon informelle à des sous-traitants APT. Les concours nationaux (Tianfu Cup, Matrix Cup) et des plateformes de bug bounty (ex. Butian de Qi An Xin) structurent l’écosystème, tandis que les récompenses financières grimpent (jusqu’à 2,75 M$) et que l’intérêt s’élargit aux produits chinois en plus des cibles occidentales. Les frontières se brouillent entre recherche légitime et opérations offensives sponsorisées par l’État, nourrissant des inquiétudes sur le stockage de vulnérabilités et une opacité croissante. ...