Fuite sans précédent de documents internes du Grand Firewall chinois (GFW) : analyse liée à Geedge et MESA

D’immenses régimes dictatoriaux s’entendent pour surveiller des centaines de millions de personnes... On dirait l’intrigue d’un roman de SF horrifique, mais c’est bien quelque chose qui se produit dans le monde réel.

L’affaire Edward Snowden est encore très présente dans les mémoires, et voilà qu’il faudrait encore que je voie ici des commentaires du genre sur les dictateurs — ce serait pas encore un 2-jjik, par hasard ? S’il vous plaît, ne faites pas que coder enfermés dans votre chambre et allez voir un peu le monde, ici et ailleurs ~

En laissant de côté la politique, qu’essayez-vous exactement de dire ?
Je ne comprends absolument pas l’enchaînement ni le contexte des phrases.

Je ne vois rien sur la Corée ici, donc je ne comprends pas pourquoi on s'est soudainement mis à parler de politique coréenne.

Veuillez quitter ce site.
Ce genre d'obsession politique n'a pas sa place dans cette communauté.

À vous entendre, on dirait que vous vivez depuis longtemps dans le monde d’Internet et que vous n’arrivez pas vraiment à communiquer avec qui que ce soit dans la vie réelle.
Au lieu de rester dans votre coin à poster ce genre de commentaires, vous feriez mieux de sortir un peu et d’aller à la rencontre de « vraies personnes ».

1. Je ne soutiens pas ce parti.
2. Je ne sais pas où vous avez appris cette attitude à traiter les gens de « 2jjik », mais cela vous fait passer pour quelqu’un d’impoli et de grossier.
3. Donner des leçons de vie à quelqu’un sans rien savoir de lui est une chose risible. En quoi êtes-vous supérieur à moi ?
4. Ce n’est pas parce que cet incident s’est produit que ce genre d’agissements commis par les dictateurs actuels devient quelque chose de banal ou de non surprenant.

Le code source de Big Brother a fuité !

Commentaires Hacker News

• Il y a ici une analyse et une discussion intéressantes

  • Parmi les premiers clients de Geedge après sa création en 2018 figurait le gouvernement du Kazakhstan, à qui l’entreprise vendait son produit phare, Tiangou Secure Gateway (TSG)

  • Cette solution surveille et filtre tout le trafic web à la manière du Great Firewall chinois, et contrôle même les tentatives de contournement

  • Le même outil a aussi été déployé en Éthiopie et au Myanmar, où il a servi à faire respecter efficacement l’interdiction des VPN. Geedge a collaboré avec des opérateurs télécoms locaux (Safaricom, Frontiir, Ooredoo, etc.) pour mettre en place des systèmes nationaux de censure

  • La fuite de documents internes a révélé comment les employés de Geedge ont rétroconçu les principaux outils VPN pour trouver des moyens de les bloquer. Plus précisément, 9 VPN commerciaux auraient été « résolus », et diverses techniques auraient été appliquées pour détecter et bloquer leur trafic

  • En Chine, la plupart des VPN commerciaux sont inaccessibles, et les principaux outils anticensure sont eux aussi très difficiles d’accès

  • Les documents divulgués contiennent même des informations de capture d’e-mails en clair

  • Il est supposé que la récente dynamique de blocage des VPN en Russie utilise elle aussi ce type de technologie

    • En voyant que le pare-feu russe « toque » directement à des endpoints websocket suspects, ou coupe des connexions SSH à fort trafic, on pense que le gouvernement russe a acheté et utilise toute la stack chinoise

  • En voyant la mention de la capture d’e-mails en clair, on se dit qu’il serait étonnant que les pays occidentaux ne fassent pas eux aussi quelque chose de similaire

    • Il faut agir en ayant tous conscience que cette situation est une réalité ordinaire

• Il est souligné que lorsque les gouvernements introduisent des dispositifs de contrôle technique contre leurs citoyens, le pouvoir de contrepoids que possédait la population face à l’État disparaît

  • La censure de masse, la surveillance et les atteintes à la vie privée sont incompatibles avec la dignité humaine

  • La logique utilitariste de la censure en ligne au nom de « l’intérêt public », qu’il s’agisse du terrorisme ou de la protection de l’enfance, ne regarde que les effets de premier ordre et ignore les conséquences au-delà

  • Une fois qu’un gouvernement a goûté à la douceur de la censure, il ne remet jamais le bouchon sur la bouteille

  • Au final, on ne s’arrête pas au blocage des seuls contenus dangereux ou offensants : la censure s’étend arbitrairement au service des intérêts de ceux qui cherchent à conserver le pouvoir

  • On espère que cette fuite liée au Great Firewall aidera chercheurs et militants à trouver de nouvelles manières de résister à la censure

  • Quelqu’un fait une brève remarque disant que tu comprends fondamentalement mal le champ de bataille

  • En prenant pour exemple un incident au début du mois où des jeunes Népalais ont incendié eux-mêmes des bâtiments et chassé des députés en réponse à un vaste blocage des réseaux sociaux par le gouvernement, il est dit que, parfois, on a bel et bien remis le bouchon sur cette « bouteille »

  • En rappelant le cas allemand, quelqu’un met en garde contre l’optimisme selon lequel la fuite du GFW serait utile

• On en vient à se demander quel genre d’être humain raté choisit d’utiliser son talent pour fabriquer de tels outils

  • Si cela rapporte de l’argent, quelqu’un finira forcément par le faire. Ou on peut l’y forcer
    • Il est souligné qu’il faut malheureusement toujours raisonner ainsi sur la plupart des sujets

• Quelqu’un partage son expérience passée de vie dans un pays utilisant autrefois le GFW

  • Avant l’apparition de v2ray, utiliser un protocole arbitraire permettait souvent de contourner le blocage

  • En transformant une connexion SSH en socks5 et en l’enveloppant dans du ROT13 ou un chiffrement ROTn arbitraire, on pouvait éviter le symptôme où le pare-feu réduisait progressivement le débit après quelques Ko

  • OpenSSH révélait son nom et sa version en clair lors de la connexion, ce qui le rendait facile à identifier

  • Avec le temps, le pare-feu est devenu plus agressif et a commencé à ralentir immédiatement les protocoles non identifiés

  • En imitant du trafic HTTP légitime, par exemple en faisant semblant de télécharger un fichier favicon.ico, on pouvait échanger en sécurité uniquement les paquets de contenu

  • Le projet Iodine avait tenté quelque chose de similaire avec des paquets ping, mais c’était plus lent

  • Aujourd’hui, v2ray recommande même de faire ressembler au maximum le trafic à du vrai trafic, y compris avec l’apparence d’une page web valide et un certificat

  • Une fois qu’il a commencé à gagner de l’argent, il a aussi envisagé d’envoyer le trafic en round-robin sur plusieurs IP, car une IP constante permet de construire une empreinte

  • Il ne vit plus dans ce pays, donc il n’a pas pu tester cette hypothèse, mais en voyant les sources fuitées il pense que cela pourrait faire un projet de week-end intéressant

  • Alors que des décodeurs de trafic pour TCP, HTTP, QUIC, etc. étaient explicitement mentionnés, il n’y en avait pas pour UDP, sans que cela change le contournement. Il suppose qu’une limitation de débit par IP identique s’appliquait probablement aussi à UDP à un niveau inférieur

  • Pour ajouter à mon expérience, j’ai exploité un serveur Outline sur la même IP pendant 3 ans, et le GFW bloquait toujours cette IP après environ 3 jours

    • Outline obscurcit le trafic avec shadowsocks, mais il semble être bloqué après 3 jours d’observation
    • J’ai l’intention d’essayer lors de ma prochaine visite une expérience consistant à faire tourner en permanence plusieurs serveurs
    • Mon VPN de secours (avec openvpn/wireguard) était bloqué de façon similaire après environ 3 jours lui aussi
    • Récemment, pendant une semaine, je n’ai alterné qu’entre deux serveurs, et il est intéressant de constater qu’ils n’ont pas été bloqués
    • J’en déduis que les schémas de trafic comptent probablement davantage que le protocole

  • Quelqu’un demande plus d’explications sur l’idée d’envelopper une connexion SSH dans du ROT13 ou du ROTn pour éviter le blocage du pare-feu

    • Il dit vouloir l’implémenter lui-même et aimerait voir le script ou l’outil s’il en reste quelque chose
    • Ces dernières années, il a continué à développer un prototype de soft router warps exploitant des techniques d’exfiltration, et s’intéresse à l’application d’approches similaires à d’autres protocoles réseau au-delà du smuggling DNS/HTTP
    • Lien de référence vers son projet : https://github.com/tholian-network/warps

• On se demande qui est le « Snowden chinois » à l’origine de cette fuite

  • On espère que personne ne le retrouvera jamais

• Quelqu’un dit savoir que le trafic QUIC ne peut pas être attaqué via une technique MITM, et se demande comment le GFW le traite : blocage total ou simple filtrage

  • Il est répondu qu’il en va de même non seulement pour QUIC, mais aussi pour TLS et les autres canaux chiffrés

    • Il n’est pas difficile d’identifier ces canaux et de les bloquer
    • Le schéma de trafic d’une connexion normale à un site web et celui d’un utilisateur qui envoie tout son trafic via une seule connexion sont très différents
    • Par exemple, les gros sites vidéo comme YouTube sont déjà bloqués en Chine, ce qui rend le trafic VPN très facile à cibler
    • Des techniques de réponse adaptées existent pour chaque grand protocole, y compris QUIC
    • Le protocole seul n’est pas la réponse, et pour lutter réellement contre le GFW il faut un protocole anticensure sur mesure
    • Avec un protocole générique et largement utilisé, on ne peut pas échapper à l’analyse de motifs du pare-feu

  • Selon le rapport https://gfw.report/publications/usenixsecurity25/en/#3, le pare-feu chinois renifle les informations SNI dans le handshake, comme pour TLS, afin de bloquer

  • Quelqu’un se demande pourquoi QUIC serait différent de HTTP1.1 ou 2 du point de vue des attaques MITM

    • Ce qui empêche le MITM, au fond, c’est le certificat
    • Si les autorités peuvent imposer la confiance dans un certificat racine, QUIC ne change pas grand-chose

  • Il est affirmé qu’un trafic QUIC chiffré n’empêche pas réellement le MITM

  • En général, on s’appuie plutôt sur les métadonnées comme l’IP de connexion, ou sur des attaques par rétrogradation

    • Tant que tous les serveurs ne prendront pas en charge QUIC, le pare-feu pourra prétendre qu’un serveur ne prend pas en charge QUIC
    • On pourrait croire qu’un contournement via Cloudflare serait sûr, mais en réalité l’Espagne a déjà bloqué l’ensemble de Cloudflare pendant des matchs de football, donc il ne faut pas se croire à l’abri

• L’idée est avancée que si de tels systèmes de censure sont installés un peu partout, c’est le résultat d’un effort coordonné

  • On a l’impression que tous les dirigeants sont soudainement devenus enclins à l’autoritarisme
    • Même les dirigeants des démocraties occidentales font seulement semblant d’accorder de l’importance à la démocratie, mais au fond ils sont pareils

• J’ai juste besoin d’un pare-feu simple qui bloque les publicités

• Au début, quelqu’un s’inquiétait de voir des pays occidentaux comme le Royaume-Uni imiter ce type de système

  • Il ne pense pas que tout le monde cherche activement à le copier immédiatement, mais ce n’est pas non plus une inquiétude totalement excessive

  • En réalité, nous nous rapprochons de plus en plus de ce genre de système

  • Le fait que le Parti communiste chinois doive mobiliser un système aussi massif pour empêcher l’accès des citoyens à l’information et l’expression d’opinions dissidentes montre que le régime a de sérieux problèmes

  • Nous avons de la chance de vivre dans une société relativement libre

  • Internet recule progressivement face à l’intervention des gouvernements et à la censure. Ce n’est pas souhaitable

  • Le but de ce type de système n’est pas de bloquer à la source toute désobéissance ou toute prise de conscience, mais de ralentir la vitesse à laquelle des rumeurs ou des informations de propagande deviennent virales

    • Cela donne au gouvernement le temps de préparer la réponse nécessaire
    • Dans des régions qui ne sont pas préparées socialement à une circulation de l’information sans restriction, cela peut provoquer des effets pervers, comme les lynchages liés à WhatsApp en Inde
    • Dans une situation où les États-Unis dominent de fait l’Internet mondial, un État dépourvu de dispositifs de contrôle devient vulnérable à diverses opérations d’influence et révolutions de couleur. (La Chine fait exception)
    • Au final, tous les pays construiront leur propre version du GFW, car il n’existe pas d’alternative pour assurer la souveraineté numérique
    • Les États-Unis ne l’adopteront qu’en dernier, grâce à leur forte influence et aux moyens juridiques qu’ils peuvent appliquer aux entreprises internet sur leur territoire

  • Quelqu’un mentionne avoir écouté le podcast politique britannique Not Another One, où il est dit que la politique britannique de blocage de la pornographie, avec son contrôle excessif de l’accès à certains contenus, attire aussi l’attention de responsables politiques étrangers

    • Il y a 20 ans, il était difficile d’imaginer que des enfants puissent accéder à ce type de contenus extrêmes
    • Au Royaume-Uni, l’édition de livres obscènes est régulée par les Obscene Publications Acts, alors que le contenu en ligne a été toléré dans une structure différente

  • À l’origine, le GFW aurait été construit par Cisco, et l’Occident dispose déjà de toutes les technologies nécessaires

    • Il suffirait d’un prétexte pour le déployer à tout moment
    • La Chine dépend des exportations, donc elle ne bloque pas tout
    • Il existe aussi de nombreux services proxy, mais la plupart ont des liens avec le gouvernement

  • En réalité, presque toutes les entreprises utilisent déjà en interne une partie de ce type de système (proxy, pare-feu, filtre de contenu)

    • C’est particulièrement courant dans les secteurs fortement régulés comme la finance ou la banque
    • Moi aussi, j’exploite sur mon réseau un proxy qui filtre arbitrairement les contenus indésirables, comme les publicités

  • À l’interprétation selon laquelle le régime du Parti communiste chinois serait faible au point de devoir bloquer l’opinion des citoyens, quelqu’un répond en prenant l’exemple d’OpenAI

    • De même qu’en IA, la qualité des données compte plus que l’architecture du modèle, chez les humains aussi la qualité des informations injectées est plus importante
    • Le but principal du Great Firewall est de censurer l’opposition politique, mais il sert aussi en partie à éviter que les citoyens chinois ne soient happés par des médias de « malbouffe »
    • Douyin (le TikTok chinois) est fortement censuré politiquement, mais la qualité des vidéos y est plus « saine »
    • Douyin privilégie l’harmonie sociale, tandis que TikTok est guidé par la maximisation des revenus publicitaires
    • Les actions du gouvernement chinois ne s’expliquent pas suffisamment par la seule « répression de l’opposition politique » : elles peuvent aussi être vues comme une partie d’une mission plus large de réalisation de « l’harmonie sociale » confucéenne
    • Cela explique mieux des comportements de l’État, y compris la surrégulation, ainsi que la différence entre les algorithmes de Douyin et de TikTok. La seule « répression de l’opposition » n’est pas le seul critère

• Toute cette discussion donne l’impression d’être remplie d’avocats du diable

  • Cela exprime l’idée que la société est en train de se dégrader