Grand Firewall de Chine

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Firewall.
image illustrant le monde chinois image illustrant Internet
Cet article est une ébauche concernant le monde chinois et Internet.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Topologie simplifiée du grand firewall de Chine

Le Grand Firewall de Chine, dénommé par analogie avec la Grande Muraille de Chine, est le nom usuel du projet bouclier doré (chinois : 金盾工程), un projet de surveillance et de censure d'Internet géré par le ministère de la sécurité publique de la République populaire de Chine. Le projet a débuté en 1998 et a commencé ses activités en novembre 2003.

Il agit notamment par blocage d'adresse IP, filtre DNS et URL.

Histoire[modifier | modifier le code]

En 1998 le Parti communiste chinois craignait que le Parti démocrate chinois (PDC) monte un nouveau réseau puissant que les élites du parti ne pourraient pas contrôler[1]. Le PDC fut immédiatement interdit et des arrestations et emprisonnements s'ensuivirent[2]. Le projet Bouclier Doré commença la même année. La première partie du projet a duré huit années et fut achevée en 2006. La seconde partie a débuté en 2006 et s'est finie en 2008.

Le 6 décembre 2002, 300 personnes de 31 provinces et villes de Chine chargées du projet Bouclier Doré ont participé à l'inauguration de quatre jours intitulée « Exposition Étendue du Système d'Information Chinois »[3]. De nombreux produits occidentaux de haute technicité furent achetés à cette exposition (parmi lesquels des produits de sécurité internet, de surveillance vidéo ou de reconnaissance faciale). On estime qu'environ 30 000 agents de police sont employés dans le cadre de ce projet gigantesque

Ce projet a été surnommé le « Grand Firewall de Chine » en référence à son rôle de pare-feu informatique (« Firewall » en anglais, ou « pare-feu ») et à l'antique Grande Muraille de Chine. La majeure partie du projet concerne la capacité à bloquer du contenu en empêchant le routage d'adresses IP et est constituée de pare-feu classiques et de proxies placés aux passerelles Internet. Le système est aussi soumis à un Empoisonnement du cache DNS lorsque certains sites particuliers sont demandés.

Le gouvernement n'examine pas systématiquement le contenu d'Internet du fait que cette pratique est techniquement impossible[4]. Du fait de son isolement du reste du monde en termes de routage IP, le réseau contenu dans le Grand Firewall de Chine est nommé le « domaine de routage autonome chinois »[5].

Durant les Jeux olympiques 2008 les fonctionnaires chinois ont demandé aux fournisseurs d'accès à Internet de se préparer à débloquer l'accès depuis certains cybercafés, certaines prises d'accès dans des chambres d'hôtels et dans des centres de conférence où des étrangers étaient censés se rendre pour travailler ou séjourner[6].

Motivations[modifier | modifier le code]

En septembre 2002, Li Runsen, directeur de la technologie au MSP et membre de la direction du Bouclier Doré, a détaillé ce projet devant des milliers de policiers lors d'un meeting à Beijing nommé « La Technologie de l'Information pour la Sécurité Publique de Chine ».

En octobre 2001, Greg Walton, du Centre International des Droits de la Personne et du Développement Démocratique, a publié un rapport dans lequel il écrit :

« La censure traditionnelle est en train d'être remplacée par une architecture de surveillance massive, omniprésente : le Bouclier Doré. En fin de compte, le but est d'intégrer une gigantesque base de données en ligne et de l'associer à un réseau de surveillance - ce qui inclut des technologies de reconnaissance vocale et faciale, de vidéosurveillance, de cartes à puce, d'historiques bancaires et de surveillance d'Internet[7]. »

En juillet 2007 les autorités ont intensifié la surveillance du Grand Firewall, provoquant alors des perturbations des échanges d'e-mail, en vue du sommet de l'Organisation de coopération de Shanghai d'août 2007[8].

Les différentes méthodes[modifier | modifier le code]

La mise en œuvre de cette censure fait intervenir plusieurs méthodes[9].

Blocage d'adresse IP[modifier | modifier le code]

L'accès à certaines adresses IP est refusé. Si le site web ciblé est hébergé sur un serveur mutualisé, alors tous les sites web sur ce serveur seront bloqués. Tous les protocoles qui dépendent d'IP sont alors affectés (en particulier TCP, c'est-à-dire HTTP, FTP ou POP. Une méthode de contournement classique consiste à trouver un proxy ayant accès au site web ciblé, bien que les proxies soient souvent congestionnés ou bloqués. Quelques gros sites web allouent des adresses IP supplémentaires afin de contourner le blocage, mais celui-ci est par la suite étendu afin de couvrir les nouvelles adresses.

Filtrage et redirection DNS[modifier | modifier le code]

Les noms de domaine ne sont pas résolus, ou renvoient des adresses IP incorrectes. Tous les protocoles IP sont alors affectés : HTTP, FTP, POP, etc. Une méthode de contournement classique consiste à trouver un serveur DNS qui résolve les noms de domaine correctement, mais ces serveurs DNS sont aussi sujets au blocage (en particulier au blocage IP). Une autre solution consiste à éviter la résolution DNS si l'adresse IP peut être obtenue à partir d'autres sources et si elle n'est pas bloquée. Il est ainsi possible de modifier le fichier Hosts ou de taper directement l'adresse IP au lieu du nom de domaine dans le navigateur web.

Filtrage d'URL[modifier | modifier le code]

L'URL saisie est scannée afin de détecter des mots-clés indépendamment du nom de domaine spécifié. HTTP est affecté. Les méthodes de contournement courantes consistent à utiliser des caractères d'échappement dans l'URL, ou d'utiliser des protocoles chiffrés comme VPN et SSL.

Filtrage de paquets[modifier | modifier le code]

Les transmissions de paquets TCP sont interrompues lorsqu'un certain nombre de mots-clés controversés sont détectés. Tous les protocoles TCP sont affectés, mais les pages des moteurs de recherche sont aussi susceptibles d'être censurées. Les méthodes de contournement courantes consistent à utiliser des protocoles chiffrés comme VPN ou SSL, à échapper le contenu HTML, ou bien à réduire la MTU de la pile TCP/IP afin de réduire la quantité de texte contenu dans un paquet donné.

Réinitialisation de connexion[modifier | modifier le code]

Si une connexion TCP a été précédemment bloquée par le filtre, les tentatives de connexion qui suivent des deux côtés seront bloquées durant au plus 30 minutes. Selon l'endroit du blocage, d'autres utilisateurs ou sites web peuvent aussi être bloqués si les communications sont routées en direction de l'endroit du blocage. Une méthode de contournement consiste à ignorer le paquet de réinitialisation envoyé par le firewall[10].

Notes et références[modifier | modifier le code]

  1. (en) Edward Gu et Merle Goldman, Chinese Intellectuals between State and Market, Routledge publishing, 2004 (ISBN 0-4153-2597-8)
  2. (en) Jack Goldsmith et Tim Wu, Who Controls the Internet?: Illusions of a Borderless World, Oxford University Press, 2006 (ISBN 0-1951-5266-2)
  3. 首屆「2002年中國大型機構信息化展覽會」全國31省市金盾工程領導雲集 (zh)
  4. (en) War of the words - Jonathan Watts, The Guardian, 20 février 2006
  5. (en) Costs and Benefits of Running a National ARD - Tom Vest, University of Southern California, février 2005 [PDF]
  6. (en) The Connection Has Been Reset - James Fallows, The Atlantic, mars 2008
  7. (en) China's Golden Shield: Corporations and the Development of Surveillance Technology in the People's Republic of China - Greg Walton, International Centre for Human Rights and Democratic Development, 2001 [PDF]
  8. (en) China censors blamed for email chaos - Reuters, 18 juillet 2007
  9. (en) Empirical Analysis of Internet Filtering in China - Berkman Center for Internet and Society, Harvard University
  10. (en) Academics break the Great Firewall of China - ZDNet Asia, 4 juillet 2006

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]