Révélations sur le rôle du secteur privé dans la censure chinoise en ligne
Une fuite de données a permis à la société de cybersécurité SentinelOne de révéler comment TopSec, une entreprise chinoise, fournit des outils de censure à Pékin.
Une entreprise privée chinoise de cybersécurité au chevet de Pékin pour censurer l’internet. C’est ce que révèle une fuite de données que SentinelOne, une (autre) société de cybersécurité – américaine, cette-fois-ci – s’est procurée.
Dans un rapport publié le 21 février dernier, Alex Delamotte, Aleksandar Milenkoski et Dakota Cary, trois chercheurs travaillant pour SentinelOne, ont partagé certaines de leurs trouvailles issues d’une fuite d’un document de travail interne à TopSec, une société chinoise de premier plan – et historique, car fondée en 1995, quand même ! – spécialisée dans la fourniture de solutions de cybersécurité pour les entreprises et les organismes gouvernementaux.
Parmi les clients de TopSec, qui peut se targuer de posséder 1000 brevets et 87 droits d’auteur sur des logiciels et compte 12 filiales à travers la Chine, on retrouve les Commissions municipales d'inspection de la discipline, qui appliquent les règles du Parti communiste chinois (PCC) et enquêtent sur la corruption, et le Centre de signalement des informations illégales et nuisibles, une entité dédiée à la lutte contre ce que le Parti considère comme un comportement illégal et nuisible en ligne.
Ce document contient plus de 7000 lignes de code ayant trait à l'infrastructure informatique des opérations de programmation (DevOps) de l'entreprise et de ses clients, ainsi que des scripts qui se connectent à plusieurs noms de domaine liés au gouvernement chinois, à des institutions universitaires et à des sites d'information.
Pour la censure, TopSec repassera…
« D’après nos analyses, TopSec facilite probablement la modération de contenus à des fins de censure de l'internet, une stratégie clé utilisée par le PCC pour surveiller et contrôler l'opinion publique sur des questions que l'État considère comme litigieuses ou antisociales », indiquent les auteurs du rapport.
Parmi les plus grandes révélations issues de cette fuite, les chercheurs de SentinelOne ont noté la participation de TopSec dans trois grands projets instigués par des agences gouvernementales chinoises.
L’un d’eux, le Projet de surveillance des services cloud, est sous la responsabilité du Ministère de la Sécurité publique. « Un appel d’offre public pour ce projet suggère qu'il s'agit de surveiller le niveau de sécurité et le contenu des sites web sous la juridiction des bureaux [les agences gouvernementales régionales chinoises, ndlr], avec des alertes émises en cas de failles de sécurité ou de violations de la politique », précisent les chercheurs de SentinelOne.
« TopSec a probablement participé à la procédure d'appel d'offres aux côtés d'entreprises concurrentes. Des documents publics montrent toutefois que TopSec n'a pas remporté le contrat. »
Néanmoins, la fuite de données montre que TopSec avait développé des composants techniques permettant de mettre en place différents types de censure des contenus en ligne, tel que “WebSensitive”, un système sophistiqué de blocage de termes sensibles en ligne.
Il est aussi fort probable que l’entreprise ait pu utiliser certaines de ces fonctionnalités dans d’autres projets, à échelle régionale ou nationale.
Surveillance en ligne liée à une enquête judiciaire
Ce n’est pas tout ! « En outre, nous avons trouvé des preuves indiquant que TopSec a fourni des services sur mesure à une entreprise d'État à la date de l'annonce d'une enquête pour corruption visant le plus haut responsable de l'organisation. »
La fuite de donnée a révélé une opération de surveillance ciblée pour détecter des termes sensibles en ligne entre 7:00 et 8:00 du matin le 14 d’un mois non révélé – d’autres informations suggèrent que ce pourrait être le 14 septembre 2023. Cette opération de surveillance était probablement liée à des événements politiques à Shanghai.
Le document interne à TopSec indique également que des “identificateurs d'actifs” pour des “événements validés” devaient être transmis à une personne nommée Zhao Nannan.
Or, une personne nommée Zhao Nannan a précédemment travaillé au 3e Bureau du ministère de la Sécurité publique de Shanghai, qui est responsable de la sécurité réseau et des enquêtes techniques.
Cependant, Zhao Nannan ne serait plus employée par ce Bureau en septembre 2023. Elle aurait été embauchée par la Commission d'administration des actifs publics de Shanghai (SASAC) pour un rôle de sécurité réseau.
Le jour où Zhao Nannan a reçu des alertes pour des contenus sensibles, son nouvel employeur a annoncé sur son compte WeChat que le chef de la SASAC de Shanghai, Bai Tinghui, faisait l'objet d'une enquête pour corruption. Cette nouvelle a été rapidement relayée par des médias tels que le South China Morning Post et Caixing.
L'enquête sur Bai Tinghui n'a pas été censurée, ce qui soulève des questions sur ce qui a pu être signalé à Zhao Nannan après l'annonce. Actuellement, seules cinq pages web de la SASAC de Shanghai mentionnent encore Bai Tinghui, et toutes ces pages font référence à une session d'étude du Parti menée par Bai Tinghui sur la pensée de Xi Jinping.
Par ailleurs, la Commission municipale de Shanghai pour l'inspection de la discipline figure également parmi les clients de TopSec.
D'après les chercheurs de SentinelOne, cette affaire montre clairement comment les enquêtes pour corruption en Chine peuvent utiliser les ressources et les outils des institutions étatiques, ainsi que les services des entreprises de cybersécurité, pour surveiller et contrôler les individus qui font l'objet d'une enquête.
Elle souligne également l'importance de la surveillance et de la censure en Chine, ainsi que la relation étroite entre les autorités chinoises et les entreprises de cybersécurité.
