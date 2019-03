Conversations en ligne entre particuliers, numéros d'identité: la fuite de 364 millions d'éléments à partir d'une base de données chinoise illustre une nouvelle fois l'ampleur du système de surveillance en Chine... et ses écueils en termes de protection informatique.

Selon les découvertes de l'expert en sécurité informatique Victor Gevers, ces fichiers contiennent des informations liées à des comptes en ligne, des positions GPS, divers documents et des historiques de discussion.

La collecte semble s'être faite sans discernement: certaines conversations sont ainsi simplement des plaisanteries entre adolescents -- comme par exemple un commentaire sur le poids d'une personne et sa taille de vêtements.

"Ils savent exactement qui, quand, où, tout ce qui se fait" sur internet, indique à l'AFP M. Gevers, chercheur en sécurité à la GDI Foundation, une organisation à but non lucratif néerlandaise.

Selon lui, des milliers d'éléments ont été siphonnés chaque jour vers différentes bases de données liées à un "système de gestion des cybercafés" conçu par HeadBond, firme technologique basée en Chine.

En 2017, la police de la ville de Yancheng (est) --où est situé au moins un cybercafé cité dans la base de données-- avait ainsi signé un contrat avec cette entreprise pour contrôler l'activité en ligne des bars internet.

HeadBond, tout comme les autorités, n'ont pas dans l'immédiat répondu aux questions de l'AFP.

- Vague des cybercafés -

Depuis une dizaine d'années, Pékin surveille étroitement les cybercafés, officiellement pour éviter l'addiction aux jeux en ligne des mineurs et les activités criminelles dans ces endroits parfois réputés mal fréquentés.

La loi leur impose ainsi d'enregistrer les identités et l'historique de navigation de leurs clients, afin de pouvoir renseigner la police sur demande.

Résultat: un colossal marché s'est développé pour les firmes développant des systèmes de surveillance de cybercafés, comme ceux de HeadBond, capables de collecter et stocker les données des internautes.

"Cela explique pourquoi les fuites de données personnelles sont plus fréquentes en Chine", déplore Lokman Tsui, spécialiste d'internet à l'Université chinoise de Hong Kong.

"Pour la plupart des sites et services en ligne, il faut s'enregistrer avec son vrai nom, c'est une exigence de Pékin", explique-t-il. "Cela signifie que tous les opérateurs téléphoniques, cybercafés et réseaux sociaux ont l'obligation légale de conserver des bases de données avec ces informations personnelles. Or, ces bases sont potentiellement vulnérables aux attaques et aux fuites".

Et si les autorités assurent vouloir encadrer les mineurs surfant sur internet, la collecte d'informations extensives sur les usagers --dont l'historique de leurs conversations en ligne-- va très au-delà des objectifs avancés.

Un appel d'offres lancé le mois dernier par la ville de Liaoyuan (nord-est) détaillait ainsi les spécifications requises pour un "système de gestion des cybercafés" à l'usage de la police locale, avec la capacité d'analyser les contenus sur la populaire messagerie QQ.

- Traquer les déplacements -

"C'est choquant de constater le volume de données personnelles collectées", réagit Bob Diachenko, un chercheur ayant découvert des fuites de bases de données compromises aux Etats-Unis et en Europe, et qui s'intéresse désormais à la Chine.

Auprès de l'AFP, il se dit particulièrement inquiet de l'étendue des données liées aux identifiants de connexion d'un usager: nom, carte d'identité, adresse IP personnelle, et même informations sur des membres de sa famille... "Parfois, c'est juste du +big data+ à l'état brut. Du point de vue de l'usager, cela ne fait aucun sens de collecter ces données", insiste-t-il.

En janvier, Victor Gevers avait déjà révélé la fuite de données d'une firme de reconnaissance faciale, laquelle avait notamment enregistré les déplacements quotidiens de 2,6 millions d'habitants du Xinjiang (nord-ouest), en listant état civil et coordonnées GPS.

De quoi donner la mesure de l'étroite surveillance policière de ce vaste territoire, habité par la minorité musulmane des Ouïghours et en proie à de violentes tensions ethniques. Depuis, l'accès public à cette base de données a été fermé.

Garantir aux citoyens chinois une meilleure protection de leurs données personnelles "n'est dans l'intérêt ni des entreprises qui les collectent pour engranger des profits, ni du gouvernement qui peut en user et en abuser pour des fins de police et de surveillance", souligne M. Tsui.

"Au final, ce sont les Chinois et leurs droits fondamentaux qui sont perdants".