Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes
Une base de données d'une entreprise chinoise donne des détails sur 2,4 millions de personnes influentes et leurs proches parents.
Shenzhen Zhenhua fournit des informations à des agences de renseignement
Un universitaire américain a révélé l'existence d'une base de données de 2,4 millions de personnes qui, selon lui, a été compilée par une société chinoise connue pour fournir des informations à des agences de renseignement, militaires et de sécurité. Le chercheur allègue que le but de la base de données est de permettre la conduite d'opérations d'influence contre des personnes éminentes et influentes en dehors de la Chine.
Son nom est Chris Balding, professeur associé à l'Université Fulbright du Vietnam.
Selon lui, l'entreprise en question s'appelle « Shenzhen Zhenhua ».
Le chercheur en sécurité Robert Potter et Balding ont co-écrit un article affirmant que cette base de données est baptisée « Overseas Key Information Database » (OKIDB) et que si la plupart d'entre ces données auraient pu être extraites des médias sociaux ou d'autres sources accessibles au public, 10 à 20% de ces informations ne semblent provenir d'aucune source publique d'information. Les co-auteurs n'excluent pas le piratage comme source de ces données, mais affirment également qu'ils ne peuvent trouver aucune preuve d'une telle activité.
« Un objectif fondamental semble être la guerre de l'information », ont déclaré les deux hommes.
En effet, la base de données comprend des détails sur les politiciens, les diplomates, les militants, les universitaires, les personnalités des médias, les entrepreneurs, les officiers militaires et les employés du gouvernement. Les proches parents des sujets sont également répertoriés, ainsi que leurs coordonnées et leurs affiliations à des organisations politiques et autres.
Dans l'article, la paire a déclaré que toutes ces données permettaient aux analystes chinois « de suivre les influenceurs clés et la façon dont les actualités et les opinions circulent sur les plateformes de médias sociaux ».
« Les données collectées sur les individus et les institutions et les outils d'analyse superposés des plateformes de médias sociaux offrent à la Chine d'énormes avantages en matière de formation d'opinion, de ciblage et de messagerie. »
Plus loin, ils avancent « qu’à partir des données rassemblées, il est également possible pour la Chine, même lors de réunions individualisées, de créer des messages ou de cibler les personnes qu’elle juge nécessaire de cibler. »
Balding a indiqué que la base de données est « techniquement complexe et utilise des outils de langage, de ciblage et de classification très avancés ».
Mais il a également été difficile d'enquêter, car certaines parties auraient été corrompues.
Balding a donc partagé la mine de données avec Potter - de la société de sécurité australienne Internet 2.0 - pour aider à la rendre accessible. Les résultats ont été partagés avec certains médias.
Dans leur production écrite, Balding et Potter suggèrent que l'open source intelligence utilisée pour créer une grande partie de la base de données est une violation de nombreuses lois locales, car les utilisateurs des réseaux sociaux ne s'attendent pas ou ne consentent pas à ce que les données qu'ils partagent soient compilées dans des dossiers. D'autres ont classé les informations sur l'existence de la base de données aux côtés d'incidents de collecte de données infâmes tels que le scandale Cambridge Analytica.
L’Open Source Intelligence (OSINT) ou « fouille de données en source ouverte » est une technique de renseignement utilisée par exemple par plusieurs agences fédérales américaines depuis de nombreuses années. Il est question ici de se servir d’une information accessible à tous et non classifiée. L’Open Source Intelligence est un élément fondamental pour les opérations de renseignements. Il peut par ailleurs contribuer à la discipline émergente de mesures et signatures (MASINT), au contre-renseignement (CI) ou à des opérations de sécurité (OPSEC).
L'universitaire pense que la base de données est inquiétante parce que « les agences de renseignement, militaires et de sécurité chinoises utilisent l'environnement d'information ouvert que nous, dans les démocraties libérales ouvertes, tenons pour acquis pour cibler les individus et les institutions ».
Le ministre chinois des Affaires étrangères Wang Yi
Commentaire de Chris Balding sur la fuite de données de Shenzhen Zhenua
« La République populaire de Chine dirigée par le président du parti Xi Jinping présente un défi sans précédent pour des États de droit épris de liberté dans le monde entier. Elle construit un état de sécurité techno-surveillance qui donne au Parti communiste des moyens puissants pour contrôler les citoyens au niveau national. Nous avons maintenant des preuves de la manière dont les entreprises chinoises s'associent avec des agences d'État pour surveiller les individus et les institutions à l'échelle mondiale.
« La base de données créée par Shenzhen Zhenhua à partir de diverses sources est techniquement complexe et utilise des outils de langage, de ciblage et de classification très avancés. Shenzhen Zhenhua prétend travailler avec, et nos recherches le prouvent, les services de renseignement chinois, les agences militaires et de sécurité en utilisant l'environnement d'information ouvert que nous, dans les démocraties libérales ouvertes, tenons pour acquises pour cibler les individus et les institutions. Nos recherches appuient largement leurs affirmations.
« Les informations ciblent spécifiquement des personnes et des institutions influentes dans une variété d'industries. De la politique au crime organisé en passant par la technologie et le monde universitaire, pour n'en nommer que quelques-uns, la base de données provient de secteurs que l'État chinois et les entreprises liées sont connus pour cibler.
« L'ampleur des données est également stupéfiante. Il compile des informations sur tout le monde, des personnes publiques clés aux personnes de bas niveau dans une institution, afin de mieux surveiller et comprendre comment exercer une influence en cas de besoin.
« En compilant des données personnelles et institutionnelles publiques et non publiques, Shenzhen Zhenhua a probablement enfreint de nombreuses lois dans des juridictions étrangères. Prétendant s'associer aux services de renseignement et de sécurité de l'État en Chine, Shenzhen Zhenhua exploite des centres de collecte dans des pays étrangers qui devraient faire l'objet d'une enquête dans ces juridictions.
« Les démocraties libérales ouvertes doivent réfléchir à la meilleure façon de faire face aux menaces très réelles que représente la surveillance chinoise des individus et des institutions étrangers en dehors des limites légales établies. Des protections accrues des données et des limites de confidentialité devraient être envisagées.
« La menace de surveillance et de contrôle des étrangers par une Chine autoritaire est bien réelle. Les États démocratiques libéraux ouverts ne peuvent plus prétendre que ces menaces n'existent pas. La base de données actuelle est principalement compilée à partir de sources ouvertes, d’autres bases de données détenues par la Chine présentent des risques beaucoup plus importants pour les citoyens chinois et étrangers. »
La Chine a exhorte les pays à s'opposer à la « surveillance de masse contre d'autres États »
Ces révélations surviennent dans un contexte bien particulier. Il y a quelques jours, la Chine a lancé une initiative visant à établir des normes mondiales sur la sécurité des données, contrant les efforts des États-Unis pour persuader les pays de limiter leurs réseaux à la technologie chinoise.
Dans le cadre de son « Initiative mondiale sur la sécurité des données », la Chine a appelé tous les pays à gérer la sécurité des données de manière « globale, objective et fondée sur des preuves ». L'initiative exhorte les pays à s'opposer à la « surveillance de masse contre d'autres États » et invite les entreprises technologiques à ne pas installer « de portes dérobées dans leurs produits et services pour obtenir illégalement les données des utilisateurs, contrôler ou manipuler les systèmes et appareils des utilisateurs ».
La Chine a suggéré ce qui suit :
- Les États devraient gérer la sécurité des données de manière globale, objective et fondée sur des preuves, et maintenir une chaîne d'approvisionnement ouverte, sûre et stable de produits et services TIC mondiaux.
- Les États devraient s'opposer aux activités des TIC qui altèrent ou volent des données importantes sur les infrastructures critiques d'autres États, ou utilisent ces données pour mener des activités qui portent atteinte à la sécurité nationale et aux intérêts publics d'autres États.
- Les États devraient prendre des mesures pour empêcher et mettre fin aux activités qui mettent en péril les informations personnelles grâce à l'utilisation des TIC, et s'opposer à la surveillance de masse contre d'autres États et à la collecte non autorisée d'informations personnelles d'autres États avec les TIC comme outil.
- Les États devraient encourager les entreprises à se conformer aux lois et réglementations de l'État où elles opèrent. Les États ne devraient pas demander aux entreprises nationales de stocker les données générées et obtenues à l'étranger sur leur propre territoire.
- Les États devraient respecter la souveraineté, la juridiction et la gouvernance des données d'autres États, et ne doivent pas obtenir de données situées dans d'autres États par l'intermédiaire de sociétés ou de particuliers sans l'autorisation d'autres États.
- Si les États ont besoin d'obtenir des données à l'étranger dans le cadre de l'application des lois telles que la lutte contre les crimes, ils devraient le faire par le biais de l'assistance judiciaire ou d'autres accords multilatéraux et bilatéraux pertinents. Tout accord bilatéral d'accès aux données entre deux États ne devrait pas porter atteinte à la souveraineté judiciaire et à la sécurité des données d'un État tiers.
Source : rapport (au format PDF), commentaires du chercheur (1, 2)
Et vous ?
Les découvertes de ces chercheurs vous paraissent-elles crédibles ?
Répondre avec citation
Partager