Selon WIRED, une fuite de plus de 100 000 documents internes (Jira, Confluence, code source, logs) montre que Geedge Networks, liée à des acteurs historiques de la censure chinoise, commercialise à des gouvernements un système de censure et surveillance inspiré du Grand Firewall chinois.

Le cœur de l’offre est le Tiangou Secure Gateway (TSG), un équipement réseau placé dans les data centers des opérateurs pour inspecter, filtrer ou bloquer tout le trafic d’un pays. Une console, Cyber Narrator, permet à des opérateurs non techniques de superviser en temps réel les connexions, géolocaliser les usagers via le réseau cellulaire et cibler des individus selon leur activité en ligne. La fuite montre des déploiements opérationnels au Kazakhstan, en Éthiopie, au Pakistan et au Myanmar, ainsi qu’un client non identifié. En Myanmar, des captures d’écran indiquent la surveillance simultanée de 81 millions de connexions et l’installation d’équipements dans 26 data centers à travers 13 FAI.

Les capacités techniques documentées incluent l’interception de trafic en clair (contenu web, mots de passe, e-mails et pièces jointes), l’inspection profonde des paquets (DPI) et l’usage de ML pour extraire des métadonnées TLS et détecter/bloquer les VPN. Des listes internes recensent 281 VPN (caractéristiques, prix, utilisabilité au Myanmar) et une priorisation de 54 apps à bloquer (dont Signal). Quand le contenu chiffré ne peut être classifié, le système peut marquer comme suspect et bloquer temporairement. Des logs techniques font correspondre des bascules de mode passif→actif en Éthiopie avec des périodes de perturbations et coupures d’Internet.

La fuite décrit aussi l’interopérabilité de Geedge avec des infrastructures existantes: au Pakistan, ses services ont été licenciés par l’autorité des télécoms (PTA) en octobre 2024, et Geedge a réutilisé du matériel de Sandvine resté sur place après son retrait. Les chercheurs notent le risque que des employés de Geedge aient accès aux données interceptées chez les clients. Côté matériel, l’entreprise est passée de plateformes HP/Dell à des constructeurs chinois pour mitiger les sanctions.

Les documents lient Geedge aux origines de la Great Firewall: la société dérive de Zhongdian Jizhi (liée à China Electronics Corporation) et compte comme investisseur Fang Binxing, considéré comme le « père » de la Great Firewall. Geedge réimporte aussi des enseignements à l’intérieur de la Chine: projets pilotes en Xinjiang (J24), Fujian et Jiangsu, avec des fonctions expérimentales comme graphes de relations, géofencing, triangulation cellulaire, et un score de réputation (seuil 600) conditionnant l’accès Internet. Les documents évoquent la capacité à injecter des malwares via du trafic non chiffré, facilitée par la visibilité exhaustive sur l’historique de navigation.

IOCs et TTPs observés:

  • IOCs: aucun indicateur technique (IP/domaines/hashes) n’est fourni dans le contenu présenté.
  • TTPs: DPI et extraction de métadonnées TLS; détection et blocage de VPN; interception d’e-mails (contenu, sujets, pièces jointes, IPs); blocage/ralentissement de trafic chiffré jugé suspect; géolocalisation des usagers via réseau cellulaire; ciblage individuel selon domaines visités; listes de blocage d’apps (ex: Signal) et 281 VPN; bascule passif→actif pour la censure/perturbation; réutilisation de hardware Sandvine; injection de malware sur trafic non-HTTPS; geofencing et score de réputation pour contrôler l’accès.

Il s’agit d’un article d’enquête spécialisé décrivant une fuite massive et détaillant une offre commerciale de censure/surveillance à l’échelle nationale, ses déploiements, capacités et évolutions.

🔗 Source originale : https://www.wired.com/story/geedge-networks-mass-censorship-leak/