Des chercheurs de Georgia Tech révèlent des faiblesses dans la chaîne d'approvisionnement en renseignement sur les menaces

Brenden Kuerbis, chercheur à l'École de politique publique de la Georgia Tech, a esquissé lundi une proposition pour renforcer la chaîne d'approvisionnement en renseignement sur les menaces, jugée vulnérable aux actions adverses. Des chercheurs de cette université ont identifié des failles dans cet écosystème mondial essentiel à la cybersécurité internet, qui permet aux défenseurs de collecter, analyser et partager des informations sur les cyberattaques transfrontalières. Leur travail sera présenté lors du symposium NDSS à San Diego. Cette fragilité s'inscrit dans un contexte tendu : en janvier 2026, la Chine a semblé interdire des logiciels de sécurité développés par certaines firmes américaines et israéliennes, probablement par crainte de fuites de données si des entreprises locales les utilisaient. Avant cette mesure, l'écosystème souffrait déjà de faiblesses structurelles. Les chercheurs mettent en lumière trois acteurs principaux : les plateformes de renseignement comme VirusTotal, service de scan de fichiers et d'URL, et MalwareBazaar ; les entreprises antivirus qui génèrent leurs propres données et outils ; ainsi que les services de sandbox pour malware. La proposition repose sur un système de traçabilité des données, ou provenance, pour améliorer le partage sécurisé. Les acteurs pourraient l'adopter non par altruisme, mais car l'exclusion d'un pool vérifiable serait coûteuse dans un environnement de menaces global. Le vrai défi réside dans une gouvernance transnationale légitime, perçue comme telle par des participants sous mandats étatiques conflictuels. Le document intitulé « Actively Understanding the Dynamics and Risks of the Threat Intelligence Ecosystem » détaille ces dynamiques et risques lors de sa présentation au NDSS. Sans structure institutionnelle adaptée, le renseignement sur les menaces risque de devenir un jeu à somme nulle dans les rivalités géopolitiques.