Comment la technologie chinoise Huawei est utilisée pour censurer les informations à l’autre bout du monde
Lorsqu’un membre du personnel du site Web des médias indépendants Iwacu dans l’État d’Afrique centrale du Burundi a essayé de visiter le point de vente en ligne fin octobre, ils ont reçu un message d’erreur à la place. « Hum. Nous ne parvenons pas à trouver ce site ; » le site n’a pas pu être trouvé – même si le régulateur local des médias avait promis de le débloquer en février.
Un rapport publié en août a révélé que les réseaux burundais utilisaient la technologie de la société chinoise Huawei pour bloquer Iwacu et d’autres sites d’actualités. Le rapport a été financé et publié par PrivacyCo, la société mère du site Web de recherche et de conseil en matière de confidentialité Top10VPN.com. Les co-auteurs Valentin Weber et Vasilis Ververis, candidats au doctorat respectivement à l’Université d’Oxford et à l’Université Humboldt de Berlin, ont expliqué au CPJ lors d’un récent appel vidéo leurs recherches sur le suivi des équipements Huawei connus sous le nom de boîtiers intermédiaires vers les réseaux Internet dans 72 pays, dont 18 étaient utiliser les appareils pour bloquer les actualités ou d’autres sites Web. (Weber a depuis rejoint le Conseil allemand des relations étrangères en tant que chercheur en cybersécurité.)
À Cuba, le rapport a révélé que le seul fournisseur de services Internet contrôlé par l’État, ETECSA, utilisait la technologie Huawei pour bloquer un site Web d’information indépendant. Cubanet, entre autres; les autorités cubaines ont soumis Cubanet et ses journalistes à de fréquentes restrictions. Les lecteurs peuvent contourner les blocages à l’aide de réseaux privés virtuels (VPN), mais de nombreux médias doivent déplacer leur travail vers d’autres sites ou réseaux sociaux. En Égypte, plusieurs points de vente ont fait faillite après avoir été bloqués.
Les appareils middlebox peuvent examiner les paquets de données qui facilitent la navigation et la communication à l’aide d’un processus appelé inspection approfondie des paquets. DPI a des fonctions bénignes, voire essentielles, comme accélérer les connexions ou mettre en cache du contenu pour un accès futur, mais il peut également être utilisé pour manipuler ou filtrer des informations, ont déclaré les auteurs. Entre de mauvaises mains, un boîtier de médiation pourrait détourner les visiteurs vers un site Web malveillant conçu pour voler des mots de passe ou installer des logiciels malveillants, par exemple.
De telles intrusions sont difficiles à détecter, mais les 18 pays mentionnés dans le rapport reconnaissent le blocage – informant les utilisateurs via leur navigateur que le contenu auquel ils tentent d’accéder est restreint – faisant de la censure un point de départ pour les chercheurs afin d’évaluer si les pays utilisent des boîtiers de médiation pour saper les humains. droits, selon Weber et Ververis.
Glenn Schloss et Rob Manfredo de l’équipe de communication d’entreprise de Huawei aux États-Unis ont reconnu la demande d’interview du CPJ lors de la publication initiale du rapport, mais n’ont pas répondu par la suite aux questions envoyées par courrier électronique.
L’interview avec Weber et Ververis a été modifiée pour plus de longueur et de clarté.
Vous décrivez les boîtiers de médiation de Huawei réalisant une « gestion du comportement en ligne » – d’où vient ce terme ?
Weber : Il provient du matériel marketing de Huawei relatif à un boîtier de médiation spécifique, la série ASG5000. Nous l’avons trouvé dans une source en chinois, c’est donc notre traduction, mais je pense que cela correspond bien aux capacités – il peut détecter le trafic et agir en conséquence, en gérant le comportement de [internet] utilisateurs dans divers contextes et lieux.
Pourquoi êtes-vous préoccupé par les implications de sécurité des boîtiers de médiation sur les réseaux nationaux ?
Weber : Un trafic important transite par ces appareils, mais les politiques [for the data Huawei receives from them] n’étaient parfois pas clairs – ce qui arrive aux données, ou si elles peuvent être transférées plus loin. Pour différents continents ou territoires, nous avons trouvé un emplacement de base de données – au Mexique pour l’Amérique latine par exemple – mais vous ne sauriez pas ce qui se passe une fois que les données y sont transférées.
Ververis : Une analogie pour un consommateur serait un robot de nettoyage qui envoie des données au vendeur sur les dimensions de votre maison. J’espère que c’est de bonne foi, mais je ne serais pas surpris si ces données étaient vendues ou analysées [for other purposes].
Les individus sur un réseau devraient-ils craindre qu’un boîtier de médiation puisse accéder à des informations privées ou à des mots de passe, par exemple ?
Ververis : En général, vous ne devriez pas vous inquiéter lorsque vous visitez des sites Web, en particulier des sites Web qui utilisent une sorte de cryptage ou une couche sécurisée. [like HTTPS, which prevents others from reading or intercepting information exchanged between a reader and the websites that they visit]. Nous savons tous que vous ne devriez pas vous connecter pour ouvrir le WiFi, [but instead] utiliser un VPN ou Tor [on untrusted networks], et [log in to accounts with] authentification à deux facteurs.
Mais il est difficile de se protéger contre un adversaire puissant. Disons que vous êtes journaliste sur un réseau auquel vous ne faites pas confiance. Le réseau peut obtenir beaucoup d’informations de votre connectivité, et les boîtiers de médiation peuvent [be used to facilitate a cyberattack].
Comment avez-vous détecté que ces boîtiers de médiation étaient utilisés pour bloquer des sites Web ?
Ververis : Nous utilisons des données ouvertes de l’Open Observatory of Network Interference, qui recueille des mesures de réseau auprès de volontaires du monde entier. Lorsque vous envoyez et recevez une demande d’un serveur Web, vous récupérez des métadonnées et nous avons pu trouver la balise Huawei spécifique ajoutée à ces réponses. Cela peut révéler l’appareil, le modèle, parfois la version. Le boîtier de médiation que nous avons trouvé avait déjà été trouvé en 2017 dans les recherches de l’OONI sur Cuba.
Il n’est possible de faire cette recherche que si les données sont fournies ouvertement, comme le fait l’OONI. D’autres entités comme Cloudflare et Google, ou les rapports de transparence des sociétés de médias sociaux, n’aident pas les chercheurs et les journalistes à savoir ce qui se passe.
Vous avez trouvé 18 pays bloquant le contenu avec des boîtiers de médiation, contre sept dans une étude précédente que vous avez réalisée en 2019. Qu’est-ce que cela suggère ?
Ververis : Nous avons plus de données d’OONI maintenant qu’avant, mais la censure a [also] augmenté. C’est en fait assez surprenant que [so many countries] utilisez le même appareil, il peut donc y avoir plus à déballer là-bas – que ce soit bon marché ou facile à déployer, nous ne le savons pas.
Huawei assure-t-il la maintenance de ces appareils ou facilite-t-il leur utilisation ?
Ververis : En général, les infrastructures [used by internet service providers] doit être entretenu par le vendeur. Vous payez généralement une licence pour continuer à l’utiliser [for a specified period].
Weber: Les appareils font rapport au fournisseur, en envoyant des avis d’erreur et d’autres informations, de sorte que le fabricant peut être incité à agir en conséquence, par exemple pour fournir des mises à jour logicielles. Nous nous attendons également à ce que Huawei fournisse des listes de mots clés ou de larges catégories à bloquer aux clients.
Votre rapport a révélé que les sites Web de la catégorie actualités et médias étaient parmi les plus sujets au blocage – qu’est-ce que cela signifie selon vous ?
Ververis : Les informations et le plaidoyer politique figuraient parmi les catégories les plus élevées, bien que dans certains pays nous disposions de beaucoup plus de données que dans d’autres. Il y a [also] autre [blocking] méthodologies. À Cuba, ils utilisent toujours le boîtier de médiation Huawei, mais ils déploient également autre chose. Soit il n’a pas d’étiquette, soit c’est le même équipement qui a été changé, ou, très probablement, d’autres appareils.
La recherche n’est pas concluante, mais notre objectif était de sensibiliser. Si un seul fournisseur et un seul appareil peuvent faire autant de dégâts, que se passe-t-il avec les autres dizaines voire centaines qui existent également ?
Weber : Nous avons découvert la pointe de l’iceberg. S’il y a eu une certaine censure politique dans un pays, même s’il ne s’agit que de quelques sites Web, on peut s’attendre à ce qu’il y en ait plus.
Diriez-vous que Huawei est plus susceptible de faciliter la censure en raison de ses origines en Chine, l’un des le plus censuré pays du monde ?
Weber: Comme toutes les autres entreprises, Huawei est axée sur le profit, ce qui signifie qu’elle vendra partout où elle pourra gagner de l’argent. Nous avons vu que Blue Coat Systems, une entreprise basée aux États-Unis, vendait à des régimes douteux. Il existe très peu de réglementations internationales qui empêcheraient l’une de ces entreprises [from] vendre partout où il y a une opportunité.
[Editor’s note: Researchers at the University of Toronto’s Citizen Lab have reported products sold by Blue Coat Systems being used to censor and surveil internet traffic around the world in the past, including in Syria in 2011, despite a U.S. trade embargo. The company – which has since been acquired and restructured, according to Forbes – told the Wall Street Journal that the technology had been transferred without its knowledge.]
Quelle est la responsabilité d’une entreprise si elle fournit un boîtier de médiation à un client qui l’utilise pour censurer les informations en vertu de la législation locale ?
Weber : Il existe des pratiques exemplaires pour engager les clients à l’étranger et effectuer des évaluations des risques. Je n’ai pas vu beaucoup de preuves que Huawei fasse cela.
Si vous êtes un fabricant vendant aux forces de l’ordre ou à des entités gouvernementales, vous devez évaluer leur bilan en matière de droits de l’homme. C’est trop facile de dire : « Nous ne savons pas comment cela va être utilisé. » Nous avons pu trouver une utilisation douteuse de la technologie, une entreprise de plusieurs millions ou plusieurs milliards de dollars devrait également en être capable.