Voyager en Chine : modèle de menace honnête

Un PDG arrive à Beijing avec son iPhone habituel. WhatsApp ne fonctionne pas. Gmail ne fonctionne pas. LinkedIn ne fonctionne pas. Son VPN d’entreprise ne passe pas non plus — le port est bloqué. Il me rappelle depuis la chambre d’hôtel : “Pourquoi personne ne m’a prévenu ?”

Le piège habituel

“La Chine, c’est comme l’étranger mais avec des services bloqués. On met un VPN.”

C’est une simplification dangereuse pour deux raisons. Premièrement, les VPNs commerciaux habituels sont eux-mêmes bloqués en Chine — ou ralentis à un point de les rendre inutilisables. Deuxièmement, la menace ne se limite pas aux accès bloqués : c’est un environnement de surveillance active où les données de communication sont collectées, analysées, et potentiellement transmises aux services de l’État.

Le voyageur qui arrive en Chine sans préparation se retrouve simultanément coupé de ses outils habituels et exposé à un niveau de surveillance qu’il n’a jamais rencontré dans d’autres destinations. C’est une combinaison qui, sans préparation, est opérationnellement paralysante et sécuritairement risquée.

Ce que le Great Firewall bloque

La liste est longue, et régulièrement mise à jour. Les blocages permanents incluent :

Google (Search, Gmail, Maps, Drive, Calendar, Meet, YouTube, Play Store — l’intégralité du portefeuille), WhatsApp, Telegram, Signal, Facebook, Instagram, Twitter/X, YouTube, LinkedIn, Dropbox, OneDrive, la plupart des services VPN commerciaux (ExpressVPN, NordVPN, Mullvad, ProtonVPN), Slack (intermittent), de nombreux sites de presse étrangers.

Ce que ça signifie en pratique pour un dirigeant d’entreprise : son mail (si Google Workspace), ses outils de collaboration (si Slack/Teams sur infrastructure étrangère), son accès VPN d’entreprise (selon le protocole), et la quasi-totalité de ses canaux de communication habituels sont inutilisables.

Ce qui fonctionne

WeChat est l’application centrale de la vie quotidienne en Chine. Pour les paiements, les contacts locaux, la communication avec des partenaires chinois — il est indispensable. Mais son utilisation comporte des implications de sécurité majeures : Citizen Lab a documenté de façon extensive la surveillance du contenu des messages par le MSS (Ministry of State Security). Les conversations sur WeChat ne sont pas privées, même avec un interlocuteur étranger.

Alipay est nécessaire pour les paiements. Les cartes bancaires occidentales sont acceptées dans les grands hôtels et certains restaurants, mais refusées dans une majorité de commerces, restaurants locaux, et transports. Alipay est la norme locale.

Baidu pour la recherche locale si vous avez besoin d’informations locales en mandarin.

Certains VPNs sur certains protocoles : les protocoles de tunneling obfusqués (Shadowsocks, V2Ray, Trojan) résistent mieux au Great Firewall que les VPNs standards. Ils sont utilisés par les entreprises étrangères avec des bureaux en Chine. Leur légalité pour les ressortissants étrangers en déplacement est une zone grise — les VPNs non autorisés sont techniquement illégaux en Chine, mais les poursuites contre des étrangers en déplacement d’affaires sont rares. En pratique, de nombreuses multinationales utilisent des solutions obfusquées pour maintenir la connectivité de leurs équipes sur place.

Le modèle de menace réel

Voici ce que la surveillance chinoise signifie concrètement pour un voyageur d’affaires :

La collecte massive passive. Tout trafic réseau en Chine transite par des équipements contrôlés par l’État. Les métadonnées (qui vous appelez, quand, depuis où, combien de temps) sont collectées systématiquement. Pour les ressortissants étrangers en déplacement, ce niveau de collecte est une réalité de base, non un risque hypothétique.

L’analyse du contenu WeChat. Les recherches de Citizen Lab sont claires : WeChat analyse le contenu des messages pour détecter les sujets politiquement sensibles, les termes interdits, et les patterns de communication atypiques. Cette analyse n’est pas limitée aux citoyens chinois — les comptes étrangers sont inclus.

Les apps locales et les permissions excessives. Les apps chinoises demandent systématiquement des permissions très larges (accès aux contacts, à la localisation précise, au micro, à la caméra, aux fichiers). Ces permissions ne sont pas demandées par erreur — elles reflètent les exigences légales chinoises de coopération avec les services de sécurité.

Le Wi-Fi des hôtels et lieux publics. Il est raisonnable de supposer que le trafic non chiffré sur les réseaux hôteliers en Chine est monitoré. Les hôtels sont légalement obligés de s’enregistrer auprès des autorités et de coopérer avec les demandes de sécurité.

Pour les profils exposés : un journaliste, un avocat sur une affaire impliquant des actifs chinois, un dirigeant d’entreprise avec des intérêts économiques significatifs en Chine, un militant ou chercheur sur des sujets sensibles — le risque n’est plus la collecte passive. C’est le ciblage actif : tentatives d’intrusion sur les devices, surveillance physique, tentatives d’approche via des tiers.

Préparation technique

VPN : tester impérativement avant le départ. Votre VPN d’entreprise standard a de bonnes chances d’être bloqué. Options qui ont plus de chances de fonctionner : Shadowsocks (open source, protocole obfusqué), Outline (de Jigsaw/Google, version grand public de Shadowsocks), V2Ray. Ces protocoles ne sont pas garantis non plus — le Great Firewall s’adapte. Avoir un plan B. Le mieux : tester depuis un serveur proxy chinois avant le départ, ou demander à un collègue déjà sur place de tester le même accès.

Device dédié. Pour tout déplacement N2 ou N3 : laptop et téléphone propres, provisionnés pour le voyage, sans données de l’entreprise en dehors de ce qui est strictement nécessaire pour la mission. (→ voir article Laptop de voyage)

Comptes séparés pour la Chine :

• WeChat : créer un compte distinct pour l’usage Chine, pas votre compte habituel lié à votre identité complète et à vos contacts professionnels permanents.
• Alipay : compte voyage séparé avec les fonds nécessaires pour la durée du séjour.
• Ne pas connecter ces comptes à vos identités principales.

Apps locales sur device dédié uniquement. Si vous devez installer des apps chinoises (DiDi pour les transports, Meituan pour la nourriture, etc.), installez-les uniquement sur le device dédié au voyage. Jamais sur votre téléphone principal.

Sur place

Ne jamais discuter d’affaires confidentielles via WeChat. Même avec des partenaires de confiance. Supposez que le contenu est accessible aux services. Pour les échanges sensibles, utilisez Signal via VPN si disponible, ou des appels vocaux chiffrés.

Les réunions sensibles se tiennent à l’extérieur. Pas dans des salles de conférence d’hôtels, pas dans des bureaux que vous ne contrôlez pas. À l’extérieur, dans un espace public ouvert avec du bruit ambiant. C’est le standard pour les diplomates et les journalistes qui travaillent en Chine depuis des années.

Ne jamais laisser votre téléphone sans surveillance lors de réunions. Même posé sur la table de conférence pendant que vous vous levez pour chercher un café. Les techniques d’accès physique rapide (extraction de données via USB en quelques minutes) sont opérationnelles.

Faites attention aux SIM locales. Si vous achetez une SIM locale en Chine, sachez que votre passeport est scanné lors de l’achat et que la SIM est associée à votre identité. Utilisez plutôt une eSIM internationale préachetée avant le départ.

Pour qui c’est critique versus acceptable

Voyage touristique sans données professionnelles sensibles : les risques sont managéables avec les précautions de base (VPN fonctionnel, WeChat compte dédié, device propre). L’État chinois s’intéresse peu aux touristes sans valeur stratégique.

Business avec données sensibles : device dédié requis. WeChat compte dédié. VPN testé. Communication sensible via canaux sécurisés uniquement.

Journaliste, avocat sur affaire sino-française, dirigeant avec actifs significatifs en Chine, chercheur sur sujets sensibles : préparation intensive. Brief avec un expert en sécurité connaissant le contexte chinois avant le départ. Device dédié provisionné propre. Protocole de re-image au retour. Ne pas stocker localement quoi que ce soit de sensible pendant le séjour.

Au retour

Ré-image systématique des devices utilisés en Chine. Ne jamais reconnecter directement au réseau d’entreprise. Les devices de retour de Chine ou Russie doivent être traités comme potentiellement compromis jusqu’à preuve du contraire.

(→ voir article Retour de mission pour le protocole complet)

• N1 Comprendre ce qui est bloqué (Great Firewall) avant le départ
• N1 Tester le VPN d'entreprise depuis une connexion simulant la Chine
• N1 Avoir un plan pour les paiements (Alipay ou carte utilisable sur place)
• N2 WeChat et Alipay sur comptes voyage dédiés, pas les comptes principaux
• N2 Device dédié sans données sensibles pour le voyage
• N2 Apps locales installées uniquement sur device dédié
• N2 Ne jamais discuter d'affaires confidentielles via WeChat
• N2 Réunions sensibles à l'extérieur, pas en chambre d'hôtel ni salle de conf
• N2 eSIM internationale préachetée (pas SIM locale avec scan passeport)
• N3 Brief avec expert sécurité connaissant le contexte chinois
• N3 Ré-image systématique des devices au retour
• N3 Ne jamais reconnecter au réseau d'entreprise sans isolation préalable au retour