Bâton à l'export - ForkLog : cryptomonnaies, IA, singularité, avenir

# Matraque à l'export

Comment et pourquoi Pékin aide les régimes autoritaires à contrôler Internet

Les données divulguées confirment : Pékin est passé de la censure intérieure à l'exportation active d'outils de contrôle. Des entrepreneurs chinois fournissent des solutions d'infrastructure prêtes à l'emploi pour lutter contre la dissidence au Pakistan, en Éthiopie et au Myanmar.

Cependant, la principale conclusion des récentes fuites concerne non pas la politique, mais la vulnérabilité de la vie privée de chaque utilisateur du réseau face à la technologie de vérification approfondie des paquets de données (DPI) de nouvelle génération.

ForkLog a analysé les documents fuités des entreprises technologiques chinoises Geedge Networks et KnownSec.

Anatomie de la fuite

À l'automne, deux grands ensembles de données ont été rendus publics. Le premier - 100 000 documents de la société Geedge Networks, spécialisée dans la surveillance réseau et la censure. Le second - 12 000 fichiers de la firme KnownSec, liée à la sécurité nationale de la RPC.

La fuite offre une rare opportunité de jeter un coup d'œil « sous le capot » de l'industrie de la cybersurveillance. Alors que les experts supposaient auparavant l'existence de versions d'exportation du Grand pare-feu chinois, les spécifications techniques, l'architecture et les clients spécifiques sont désormais connus.

Geedge Networks n'est pas simplement une entreprise de technologie. Elle est étroitement liée au MESA Lab ( laboratoire d'État de la RPC) et à Fan Binsin, surnommé le père du pare-feu chinois. Les fuites montrent que les développements, testés pendant des années sur la population de la RPC, sont désormais emballés dans un produit commercial destiné à être vendu à l'étranger.

Le grand pare-feu dans la boîte

Le principal développement de Geedge est le système Tiangou Secure Gateway (TSG). Il s'agit d'un complexe matériel et logiciel, installé dans les centres de données des fournisseurs d'accès Internet. Il permet d'analyser, de filtrer et de bloquer le trafic à l'échelle d'un pays.

Son architecture est modulaire et extrêmement efficace :

1. Cyber Narrator — système de surveillance en temps réel. Il enregistre chaque action de l'utilisateur : les sites visités, les requêtes DNS, les adresses IP, les horodatages et le volume des données transférées. C'est un journal d'activité de l'ensemble de la population.
2. TSG Galaxy — centre d'analyse. Les données de Cyber Narrator y affluent. Le système établit des profils d'utilisateurs, identifie des tendances et des graphes sociaux.
3. Tiangou — télécommande. Permet aux opérateurs ( employés des services secrets ou de la police ) d'ajouter des mots-clés à la liste noire, de bloquer des domaines et des utilisateurs spécifiques.

Le système ne fonctionne pas seulement sur la base des adresses IP. Une analyse approfondie DPI est utilisée. Si le trafic est chiffré (HTTPS), le système analyse les métadonnées et les modèles de comportement pour déterminer le type d'information transmise.

Cas du Myanmar : technologies contre la protestation

La fuite a confirmé la géographie des approvisionnements. La Chine exporte un modèle de contrôle gouvernemental clé en main. Les documents mentionnent des codes de projets pour différents pays :

1. K18/K24 (Kazakhstan): phase active de déploiement;
2. P19 (Pakistan) : utilisé pour contrôler les troubles sociaux ;
3. M22 (Myanmar) : le système a été déployé pour réprimer les manifestations après le coup d'État militaire de 2021.

Le dernier cas est le plus révélateur : le rôle des technologies chinoises dans la répression du mécontentement civil a été confirmé. Après le coup d'État militaire, les nouvelles autorités ont dû faire face à la nécessité de contrôler l'espace informationnel.

Les documents Geedge confirment : l'entreprise a fourni l'infrastructure pour les fournisseurs birmans. Le système surveille 81 millions de connexions Internet simultanément.

Que fait exactement le système en Birmanie :

• dé-anonymisation — identification des utilisateurs de VPN;
• blocage des outils — les enregistrements internes montrent que Geedge a identifié et classé 281 services VPN populaires ( y compris ExpressVPN) et des messageries comme Signal;
• filtrage dynamique — dans les rapports, il a été noté un passage de « surveillance » à « blocage actif » de presque tous les moyens de contournement en quelques mois.

En Birmanie, l'équipement Geedge a été découvert dans les centres de données de l'opérateur Frontiir et de la société Investcom. Cela prouve que les technologies à double usage sont intégrées directement dans l'infrastructure télécom civile.

Centres de scam et menace mondiale

Parallèlement à l'espionnage d'État, la menace des structures criminelles utilisant les mêmes zones grises augmente. Dans la région, les centres de scam prospèrent - des territoires fermés d'où les escrocs attaquent des utilisateurs dans le monde entier.

Les États-Unis ont déjà commencé à lutter contre cette infrastructure en émettant un ordre de saisie des terminaux Starlink utilisés par des fraudeurs en Birmanie. Google, pour sa part, a poursuivi en justice les opérateurs de la plateforme Lighthouse, qui sont impliqués dans le phishing.

Cependant, la combinaison d'une faible protection juridique et d'une puissante infrastructure technique ( fournie de l'extérieur ) crée des conditions idéales pour la cybercriminalité.

KnownSec : espionnage et cyberarmes

Si Geedge s'occupe de la “défense” (censure), alors la fuite de KnownSec révèle des capacités offensives. Les documents contiennent des informations sur des outils pour le piratage et l'accès à distance aux appareils sous Windows, Linux, Android et iOS.

Principales découvertes:

1. Échelle du vol. Les hackers ont déclaré avoir volé 95 Go de données du service d'immigration indien et 3 To d'enregistrements d'appels de l'opérateur sud-coréen LG U Plus. Les cibles comprennent des organisations de 80 pays.
2. Outils. Des outils ont été découverts pour extraire des conversations de Telegram et Signal sur des appareils Android infectés.
3. Hardware-hacks. Il est fait mention de power banks « trojan » qui téléchargent des données depuis le smartphone lors de la connexion au chargeur.
4. Utilisation de l'IA. Les cybercriminels ont utilisé des modèles linguistiques ( en particulier, Claude d'Anthropic ) pour écrire du code malveillant et analyser des données volées, contournant les mécanismes de protection des réseaux neuronaux.

Boucle de retour : rodage à l'exportation

Les technologies ne se vendent pas simplement - l'expérience de leur utilisation à l'étranger revient en Chine pour renforcer le contrôle interne. Les fuites indiquent que Geedge applique des travaux provenant du Pakistan et de la Birmanie pour moderniser les systèmes de surveillance au Xinjiang et dans d'autres provinces de la RPC.

Les documents décrivent les fonctions expérimentales suivantes :

• scoring social — attribution d'un score de fiabilité à l'utilisateur. Niveau de base — 550 points. Si le score n'augmente pas ( par exemple, sans fourniture de biométrie), l'accès à Internet est limité;
• géofencing — création de limites virtuelles pour des utilisateurs spécifiques sur la base des données des tours de téléphonie mobile.

Conclusions pour chacun

Les informations sur l'exportation d'armes cybernétiques chinoises peuvent sembler éloignées de l'utilisateur ordinaire, ne vivant pas au Myanmar ou au Pakistan. Cependant, les fuites détruisent plusieurs mythes populaires sur la sécurité numérique :

1. HTTPS et cryptage — ne sont pas une panacée. Les systèmes DPI modernes, comme Tiangou, ont appris à analyser efficacement le trafic chiffré. Même s'ils ne voient pas le contenu du paquet, ils analysent les métadonnées : la taille, la fréquence des requêtes, les temps. Cela permet de déterminer avec une grande précision l'utilisation de VPN, Tor ou de messageries, même si le trafic lui-même est illisible.
2. Le VPN ne cache pas. La principale tâche des systèmes comme Cyber Narrator n'est pas simplement de bloquer le VPN, mais de marquer l'utilisateur. Le fait de recourir à des moyens de contournement devient en soi un déclencheur pour le système, plaçant l'utilisateur dans le groupe des “suspects”. En Birmanie, cela a conduit à une chasse ciblée contre ceux qui utilisaient des applications spécifiques.
3. L'analyse comportementale est plus importante que les mots-clés. Les systèmes ont évolué de la recherche de mots à la construction de graphes de relations. Les algorithmes analysent avec qui vous interagissez, dans quels groupes vous êtes et comment vous vous déplacez. Une fuite a révélé des plans pour mettre en place un « système de notation de réputation » - un système automatisé qui prend des décisions de blocage d'accès sur la base d'un ensemble de facteurs comportementaux, plutôt que d'une seule infraction.
4. La menace matérielle est d'actualité. L'histoire des « banques d'alimentation espionnes » rappelle que le danger ne provient pas toujours du code logiciel. Connecter un gadget à des sources d'alimentation ou des ports USB non vérifiés dans des lieux publics comporte un risque réel de piratage physique.

Conclusion

Les fuites de KnownSec et de Geedge Networks ont confirmé l'existence d'un marché mondial du « autoritarisme numérique ». La Chine propose aux régimes non seulement du matériel, mais aussi des méthodes de contrôle.

Pour l'utilisateur ordinaire, c'est un signal : l'ère du contournement simple des blocages touche à sa fin. Elle est remplacée par une confrontation avec des algorithmes capables de détecter des anomalies dans le trafic chiffré et de construire un profil d'une personne à partir d'indices indirects. La confidentialité exige maintenant non seulement l'installation d'une application, mais aussi la compréhension des traces laissées par chaque action en ligne.