Une fuite importante de plus de 500 Go de documents internes, de codes sources, de journaux de travail et de communications liés au grand pare-feu chinois a été confirmée par les chercheurs. Les données, qui ont fait surface en ligne le 11 septembre, révèlent le fonctionnement interne du système national de filtrage du trafic chinois.
Les fichiers divulgués proviendraient de Geedge Networks, une société liée à Fang Binxing, souvent appelé le « père » du Grand Pare-feu, et du laboratoire MESA de l’Institut d’ingénierie de l’information, une division de recherche de l’Académie chinoise des sciences. La fuite révèle ce qui semble être des systèmes de construction complets pour les plates-formes d’inspection approfondie des paquets (DPI), ainsi que des modules de code conçus pour identifier et limiter des outils de contournement spécifiques. Selon les chercheurs du Great Firewall Report, une partie importante de la technologie se concentre sur la détection VPN basée sur DPI, les empreintes digitales SSL et la journalisation de session complète.
Les documents détaillent l’architecture interne d’une plate-forme commerciale appelée « Tiangou », commercialisée comme un « grand pare-feu clé en main dans une boîte » pour les fournisseurs d’accès Internet (FAI) et les passerelles frontalières. Les premiers déploiements de Tiangou auraient utilisé des serveurs HP et Dell avant de passer à du matériel d’origine chinoise en raison des sanctions. Une feuille de déploiement divulguée indique que le système a été mis en œuvre dans 26 centres de données au Myanmar, avec des tableaux de bord en direct surveillant 81 millions de connexions TCP simultanées. Le système était exploité par la société de télécommunications publique du Myanmar et intégré aux principaux points d’échange Internet, permettant un blocage massif et un filtrage sélectif.
Les implications de cette fuite s’étendent au-delà des frontières chinoises. Des rapports de WIRED et d’Amnesty International suggèrent que l’infrastructure DPI de Geedge a été exportée vers d’autres pays, notamment le Pakistan, l’Éthiopie et le Kazakhstan, souvent utilisée conjointement avec des plateformes d’interception légales. Au Pakistan, l’équipement de Geedge ferait partie d’un système plus vaste connu sous le nom de WMS 2.0, capable d’assurer une surveillance globale des réseaux mobiles en temps réel.
La fuite donne un rare aperçu de l’ingénierie et de la commercialisation de l’appareil de censure chinois. Les documents divulgués révèlent également que le système de Geedge peut intercepter des sessions HTTP non cryptées. Les chercheurs analysent actuellement les archives du code source, la présence de journaux de construction et de notes de développeurs révélant potentiellement des faiblesses au niveau du protocole ou des faux pas opérationnels que les outils de contournement de la censure pourraient exploiter.
L’intégralité des archives est actuellement reflétée par Enlace Hacktivista et d’autres. Le téléchargement ou l’examen de l’archive ne doit être effectué que sur des machines virtuelles isolées ou dans d’autres environnements sandbox en raison des risques de sécurité potentiels.
La divulgation de ces informations pourrait avoir des conséquences importantes sur les pratiques de censure et de surveillance d’Internet à l’échelle mondiale.
