Grand Firewall de Chine

Projet de surveillance et de censure d'Internet en République Populaire de Chine

Le Grand Firewall de Chine, ou Grand Pare-feu[1] de Chine, dénommé par analogie avec la Grande Muraille de Chine, est le nom usuel du projet bouclier doré (chinois : 金盾工程), un projet de surveillance et de censure d'Internet géré par le ministère de la Sécurité publique de la république populaire de Chine. Le projet a débuté en 1998 et a commencé ses activités en .

Topologie simplifiée du grand firewall de Chine

Il agit notamment par blocage d'adresse IP, filtre DNS et URL.

Histoire

modifier

En 1998, le Parti communiste chinois craignait que le Parti démocrate chinois (PDC) monte un nouveau réseau puissant que les élites du parti ne pourraient pas contrôler[2]. Le PDC fut immédiatement interdit, puis des arrestations et emprisonnements s'ensuivirent[3]. Le projet « Bouclier Doré » commença la même année[4]. La première partie du projet a duré huit années et fut achevée en 2006. La seconde partie a débuté en 2006 et s'est finie en 2008.

Le , 300 personnes de 31 provinces et villes de Chine chargées du projet Bouclier Doré ont participé à l'inauguration de quatre jours intitulée « Exposition Étendue du Système d'Information Chinois »[5]. De nombreux produits occidentaux de haute technicité furent achetés à cette exposition (parmi lesquels des produits de sécurité internet, de surveillance vidéo ou de reconnaissance faciale). On estime qu'environ 30 000 agents de police sont employés dans le cadre de ce projet gigantesque.

Ce projet a été surnommé le « Grand Firewall de Chine » en référence à son rôle de pare-feu informatique (« Firewall » en anglais, ou « pare-feu ») et à l'antique Grande Muraille de Chine. La majeure partie du projet concerne la capacité à bloquer du contenu en empêchant le routage d'adresses IP et est constituée de pare-feu classiques et de proxies placés aux passerelles Internet. Le système est aussi soumis à un empoisonnement du cache DNS lorsque certains sites particuliers sont demandés.

Le gouvernement n'examine pas systématiquement le contenu d'Internet du fait que cette pratique est techniquement impossible[6]. Du fait de son isolement du reste du monde en termes de routage IP, le réseau contenu dans le Grand Firewall de Chine est nommé le « domaine de routage autonome chinois »[7].

Durant les Jeux olympiques 2008 les fonctionnaires chinois ont demandé aux fournisseurs d'accès à Internet de se préparer à débloquer l'accès depuis certains cybercafés, certaines prises d'accès dans des chambres d'hôtels et dans des centres de conférence où des étrangers étaient censés se rendre pour travailler ou séjourner[8].

Motivations

modifier

En , Li Runsen, directeur de la technologie au MSP et membre de la direction du Bouclier Doré, a détaillé ce projet lors d'un meeting à Beijing nommé « La Technologie de l'Information pour la Sécurité Publique de Chine ».

En , Greg Walton, du Centre International des Droits de la Personne et du Développement Démocratique, a publié un rapport dans lequel il écrit :

« La censure traditionnelle est en train d'être remplacée par une architecture de surveillance massive, omniprésente : le Bouclier Doré. En fin de compte, le but est d'intégrer une gigantesque base de données en ligne et de l'associer à un réseau de surveillance - ce qui inclut des technologies de reconnaissance vocale et faciale, de vidéosurveillance, de cartes à puce, d'historiques bancaires et de surveillance d'Internet[9]. »

En , les autorités ont intensifié la surveillance du Grand Firewall, provoquant alors des perturbations des échanges d'e-mail, en vue du sommet de l'Organisation de coopération de Shanghai d'[10].

Méthodes

modifier

La mise en œuvre de cette censure fait intervenir plusieurs méthodes[11].

Blocage d'adresse IP

modifier

L'accès à certaines adresses IP est refusé. Si le site web ciblé est hébergé sur un serveur mutualisé, alors tous les sites web sur ce serveur seront bloqués. Tous les protocoles qui dépendent d'IP sont alors affectés (en particulier TCP, protocole de base à HTTP, FTP ou POP). Une méthode de contournement classique consiste à trouver un proxy ayant accès au site web ciblé, bien que les proxies soient souvent congestionnés ou bloqués. Quelques gros sites web allouent des adresses IP supplémentaires afin de contourner le blocage, mais celui-ci est par la suite étendu afin de couvrir les nouvelles adresses.

Filtrage et redirection DNS

modifier

Les noms de domaine ne sont pas résolus, ou renvoient des adresses IP incorrectes. Tous les protocoles IP sont alors affectés : HTTP, FTP, POP, etc. Une méthode de contournement classique consiste à trouver un serveur DNS qui résolve les noms de domaines correctement, mais ces serveurs DNS sont aussi sujets au blocage (en particulier au blocage IP). Une autre solution consiste à éviter la résolution DNS si l'adresse IP peut être obtenue à partir d'autres sources et si elle n'est pas bloquée. Il est ainsi possible de modifier le fichier Hosts ou de taper directement l'adresse IP au lieu du nom de domaine dans le navigateur web.

Filtrage d'URL

modifier

L'URL saisie est scannée afin de détecter des mots-clés indépendamment du nom de domaine spécifié. HTTP est affecté. Les méthodes de contournement courantes consistent à utiliser des caractères d'échappement dans l'URL, ou d'utiliser des protocoles chiffrés comme VPN et SSL.

Filtrage de paquets

modifier

Les transmissions de paquets TCP sont interrompues lorsqu'un certain nombre de mots-clés controversés sont détectés. Tous les protocoles TCP sont affectés, mais les pages des moteurs de recherche sont aussi susceptibles d'être censurées. Les méthodes de contournement courantes consistent à utiliser des protocoles chiffrés comme VPN ou SSL, à échapper le contenu HTML, ou bien à réduire la MTU de la pile TCP/IP afin de réduire la quantité de texte contenu dans un paquet donné.

Réinitialisation de connexion

modifier

Si une connexion TCP a été précédemment bloquée par le filtre, les tentatives de connexion qui suivent des deux côtés seront bloquées durant au plus 30 minutes. Selon l'endroit du blocage, d'autres utilisateurs ou sites web peuvent aussi être bloqués si les communications sont routées en direction de l'endroit du blocage. Une méthode de contournement consiste à ignorer le paquet de réinitialisation envoyé par le firewall[12].

Notes et références

modifier
  1. « 1969 : on a parlé sur les réseaux », sur Radio France, (consulté le )
  2. (en) Edward Gu et Merle Goldman, Chinese Intellectuals between State and Market, Routledge publishing, 2004 (ISBN 0-4153-2597-8).
  3. (en) Jack Goldsmith et Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006 (ISBN 0-1951-5266-2).
  4. Pierre-Henri Tavoillot, Comment gouverner un peuple-roi ? : traité nouveau d'art politique, Odile Jacob, (lire en ligne).
  5. 首屆「2002年中國大型機構信息化展覽會」全國31省市金盾工程領導雲集 (zh).
  6. (en) War of the words - Jonathan Watts, The Guardian, 20 février 2006.
  7. (en) Costs and Benefits of Running a National ARD - Tom Vest, University of Southern California, février 2005 [PDF].
  8. (en) The Connection Has Been Reset - James Fallows, The Atlantic, mars 2008.
  9. (en) China's Golden Shield: Corporations and the Development of Surveillance Technology in the People's Republic of China - Greg Walton, International Centre for Human Rights and Democratic Development, 2001 [PDF].
  10. (en) China censors blamed for email chaos - Reuters, 18 juillet 2007.
  11. (en) Empirical Analysis of Internet Filtering in China - Berkman Center for Internet and Society, Harvard University.
  12. (en) Academics break the Great Firewall of China - ZDNet Asia, 4 juillet 2006.

Voir aussi

modifier

Articles connexes

modifier