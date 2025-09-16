Lors d'un événement majeur en matière de cybersécurité, le Grand Pare-feu de Chine a subi une violation massive de données le 11 septembre. Des chercheurs ont confirmé que plus de 500 Go de documents internes sensibles, de codes sources complets, de journaux opérationnels et de communications internes avaient été divulgués en ligne. Cette fuite sans précédent comprend des référentiels de packaging et des runbooks essentiels à la construction et à la maintenance du système national chinois de filtrage du trafic, offrant un aperçu rare de ses mécanismes sophistiqués.
Le Great Firewall of China (GFW) ou Grand Pare-feu de Chine est l'ensemble des mesures législatives et technologiques mises en uvre par la République populaire de Chine pour réglementer l'Internet au niveau national. Son rôle dans la censure d'Internet en Chine est de bloquer l'accès à certains sites web étrangers et de ralentir le trafic Internet transfrontalier. Outre la censure, le Grand Pare-feu a également influencé le développement de l'économie Internet interne de la Chine en favorisant les entreprises nationales et en réduisant l'efficacité des produits des entreprises Internet étrangères.
Les techniques déployées par le gouvernement chinois pour maintenir le contrôle du Grand Pare-feu peuvent inclure la modification des résultats de recherche pour certains termes, comme cela a été le cas après l'arrestation d'Ai Weiwei, et la demande aux conglomérats mondiaux de supprimer certains contenus, comme cela s'est produit lorsqu'ils ont demandé à Apple de retirer l'application du journal économique Quartz de son App Store chinois après avoir rendu compte des manifestations de 2019-2020 à Hong Kong.
En novembre 2021, le Grand Pare-feu a déployé une nouvelle technique de censure qui détecte passivement le trafic entièrement chiffré en temps réel, et le bloque par la suite. La nouvelle capacité de censure du GFW affecte un grand nombre de protocoles populaires de contournement de la censure, y compris, mais sans s'y limiter, Shadowsocks, VMess et Obfs. Bien que la Chine ait depuis longtemps sondé activement ces protocoles, il s'agit du premier rapport de détection purement passive, ce qui a conduit la communauté anti-censure à se demander comment la détection était possible.
Les données divulguées proviendraient de Geedge Networks, une société souvent associée à Fang Binxing, souvent surnommé le « père » du Grand Pare-feu. Le laboratoire MESA de l'Institut d'ingénierie de l'information, une branche de recherche de l'Académie chinoise des sciences, semble également être lié à cette fuite. Cet incident met en lumière les entités impliquées dans le développement et le déploiement de technologies avancées de contrôle d'Internet.
Parmi les nombreux fichiers divulgués figurent ce qui semble être des systèmes complets pour des plateformes avancées d'inspection approfondie des paquets (DPI). Ces systèmes contiennent des modules de code spécialement conçus pour identifier et limiter divers outils de contournement d'Internet. Une partie importante de la pile technologique est axée sur la détection des VPN basée sur la DPI, l'empreinte SSL sophistiquée et la journalisation complète des sessions, mettant en évidence les capacités avancées utilisées pour la surveillance et le contrôle du réseau.
Les analystes du Great Firewall Report, qui ont été parmi les premiers à vérifier et à indexer les documents divulgués, affirment que ceux-ci détaillent l'architecture interne d'une plateforme commerciale nommée « Tiangou ». Cette plateforme est décrite comme un « Great Firewall in a box » clé en main, conçu pour être déployé par les fournisseurs d'accès à Internet (FAI) et aux points d'entrée frontaliers. Les premières implémentations auraient utilisé des serveurs HP et Dell, avant un changement stratégique vers du matériel d'origine chinoise en réponse aux sanctions internationales.
Il est alarmant de constater qu'une fiche de déploiement divulguée illustre l'adoption généralisée de ce système, révélant son installation dans 26 centres de données au Myanmar. Les tableaux de bord en direct du système ont été observés en train de surveiller un nombre impressionnant de 81 millions de connexions TCP simultanées. Selon certaines informations, la société de télécommunications publique du Myanmar aurait exploité le système, l'intégrant dans les principaux points d'échange Internet afin de faciliter le blocage massif et le filtrage sélectif des contenus à l'échelle nationale.
La portée mondiale de l'infrastructure DPI de Geedge s'étend au-delà du Myanmar. Des enquêtes révèlent que cette technologie a été exportée vers plusieurs autres pays, notamment le Pakistan, l'Éthiopie et le Kazakhstan. Dans ces pays, les équipements de censure sont souvent déployés en conjonction avec des plateformes d'interception légales. Au Pakistan en particulier, la technologie de Geedge ferait partie d'un système plus vaste connu sous le nom de WMS 2.0, capable d'effectuer une surveillance globale en temps réel sur les réseaux mobiles.
L'ampleur et la spécificité de cette fuite de données permettent de comprendre comme jamais auparavant comment la censure d'Internet en Chine est non seulement mise en place, mais aussi commercialisée et exportée dans le monde entier. Le reportage de WIRED détaille en outre comment les documents divulgués démontrent la capacité du système Geedge à intercepter les sessions HTTP non cryptées, ce qui soulève d'importantes préoccupations concernant la confidentialité et la sécurité en ligne.
Les chercheurs commencent tout juste à explorer les vastes archives du code source. Bien qu'une grande partie de celles-ci fasse encore l'objet d'une évaluation approfondie, les experts estiment que la présence de journaux de compilation détaillés et de notes de développement pourrait être déterminante pour identifier les faiblesses au niveau des protocoles ou les vulnérabilités opérationnelles. Ces informations pourraient potentiellement être exploitées par des outils de contournement de la censure, offrant ainsi de nouvelles perspectives aux défenseurs de la liberté numérique.
L'archive complète est désormais reproduite par diverses entités, dont Enlace Hacktivista. Les chercheurs recommandent vivement la plus grande prudence à toute personne envisageant de télécharger ou d'examiner ces documents, et conseillent d'utiliser des machines virtuelles (VM) isolées ou d'autres environnements sandboxés afin d'atténuer les risques de sécurité liés aux données sensibles.
Cette divulgation intervient alors que la Chine s'est coupée d'une grande partie de l'Internet mondial pendant un peu plus d'une heure en milieu du mois d'août. Le groupe d'activistes Great Firewall Report a repéré la panne, qui, selon lui, a perturbé tout le trafic vers le port TCP 443 le port standard utilisé pour acheminer le trafic HTTPS. Lincident fait penser aux tests de lInternet souverain russe destiné à saffranchir de la dépendance technologique aux USA.
Source : Les analystes du Great Firewall Report
