๐Ÿ‰
WECHAT
Le Spy-App que tu gardes quand mรชme ๐Ÿ“ฑ๐Ÿ’€
"C'est quoi WeChat ?" โ€” Un super-app chinois.
"Et le problรจme ?" โ€” Beijing lit tes messages. โ˜•
โš ๏ธ THREAT 9/10 ๐Ÿ” CONFIDENTIEL ๐Ÿ“ก CYBERMIND.FR
OPORD #2026-02-28 โ€” G.KERMA โ€” SAVOIE, FR โ€” โ† โ†’ pour naviguer
01
C'EST QUOI
CE MACHIN ? ๐Ÿค”
// BRIEFING INITIAL โ€” TENCENT HOLDINGS LTD.
๐Ÿผ
Imagine une seule app qui fait TOUT รงa :
๐Ÿ’ฌ
MESSAGES
๐Ÿ’ณ
PAIEMENTS
๐Ÿ›’
E-COMMERCE
๐Ÿฅ
SANTร‰
๐Ÿš—
TRANSPORT
๐ŸŽฎ
JEUX
๐Ÿ›๏ธ
GOUVERNEMENT
๐Ÿ“บ
SOCIAL
WhatsApp + PayPal + Amazon + Uber + Google = WeChat ๐Ÿคฏ
...mais faite ร  Shenzhen. Par Tencent. Pour Beijing. ๐Ÿ‡จ๐Ÿ‡ณ
๐Ÿ‘ฅ NOMBRE D'UTILISATEURS ACTIFS
1.2
MILLIARD
= toute l'Europe + les USA... rรฉunis ๐ŸŒ
Impressionnant. Flippant. Les deux ร  la fois. ๐Ÿ˜ณ
EU+USA = ~1Md WeChat = 1.2Md
๐Ÿšจ ALERTE !
๐Ÿ‘ค
TOI
"Je texte mon pote... ๐Ÿ˜Œ"
๐Ÿ•ต๏ธ
BEIJING
"On lit tout. ๐Ÿ˜ˆ"
WeChat = รฉcosystรจme de collecte de donnรฉes sous
JURIDICTION Lร‰GALE CHINOISE ๐Ÿ‰
โ†’ Vecteur de renseignement potentiel pour le MSS (Ministry of State Security, PRC)
02
LE CHIFFREMENT :
L'ARNAQUE ๐Ÿ”“๐Ÿ’€
// VECTEUR 2.1 โ€” Dร‰FAILLANCE ARCHITECTURALE
๐Ÿ”
โš”๏ธ LE DUEL DU SIรˆCLE
๐Ÿ›ก๏ธ
SIGNAL
โœ… Chiffrement E2E natif
โœ… Clรฉs = chez TOI
โœ… Serveur voit : RIEN
โœ… Open source auditรฉ
โœ… Gratuit โค๏ธ
LE Hร‰ROS ๐Ÿ˜‡
VS
๐Ÿ’€
WECHAT
โŒ Pas d'E2E natif
โŒ Protocole MMTLS secret
โŒ Serveur voit : TOUT
โŒ Jamais auditรฉ
โŒ Backdoor confirmรฉe
LE VILAIN ๐Ÿ˜ˆ
๐Ÿ† Amnesty International 2016 : WeChat = 0/100 pts de sรฉcuritรฉ. Dernier. De toute la liste. ๐Ÿ’€
๐Ÿ”‘ Le protocole MMTLS expliquรฉ
๐Ÿญ AES-256 EN TRANSIT
Oui y'a du chiffrement. Pendant le voyage. Mais quand le message arrive chez Tencent... il est en clair. C'est comme une lettre dans une enveloppe scellรฉe... que le facteur ouvre chez lui. ๐Ÿ“ฎ
๐Ÿ”’ MMTLS = BOรŽTE NOIRE
Protocole MAISON Tencent. Jamais soumis ร  un audit externe. C'est comme une serrure dont le fabricant garde un double de ta clรฉ. Sans te le dire. ๐Ÿ”‘
[CITIZEN LAB RESEARCH] โ†’ Backdoor confirmรฉe โ†’ accรจs tiers aux communications documentรฉ
VERDICT : le chiffrement AES-256 est lร  pour faire joli. ๐Ÿ’…
Fun fact : les experts en crypto l'appellent "Security theater". ๐ŸŽญ
03
BIG BROTHER
VERSION PANDA ๐Ÿผ๐Ÿ‘๏ธ
// VECTEUR 2.2 โ€” SURVEILLANCE D'ร‰TAT SYSTร‰MIQUE
โš™๏ธ
๐Ÿ“œ En 2017, la Chine a votรฉ des lois. Deux lois. ร‰NORMES.
โš–๏ธ
CYBERSECURITY
LAW (2017)
Art.28 : "Tencent, si on veut tes donnรฉes, tu nous les donnes."

Tencent peut dire non ? ๐Ÿค”
Non. ๐Ÿ˜…
๐Ÿ•ต๏ธ
NATIONAL
INTELLIGENCE
LAW (2017)
Art.7 : "Toute organisation doit soutenir le travail de renseignement national."

ร‰crit. Noir. Sur. Blanc. ๐Ÿ“–
๐Ÿค– Traduction : Tencent est lรฉgalement obligรฉ de te surveiller. C'est pas qu'ils veulent. C'est qu'ils doivent. ๐Ÿ˜ฌ
๐Ÿ’ฅ MAIS ATTENDS...
"Je suis pas chinois, donc je suis safe ?"
๐Ÿ‡ซ๐Ÿ‡ท
โ†’ AUSSI SURVEILLร‰ !
[CITIZEN LAB, 2020] Les communications entre comptes NON-CHINOIS sont utilisรฉes pour entraรฎner les algorithmes de censure chinois. Ton message sert ร  amรฉliorer le Grand Firewall. ๐ŸŽ‰
Tu vis ร  Lyon. Tu textes un copain ร  Paris. Beijing est au milieu.
Bienvenue dans la matrice ! ๐Ÿ•ถ๏ธ
๐Ÿƒ CAS Rร‰EL โ€” ET C'EST PAS UNE BLAGUE
๐Ÿ‘ท
CHEN SHOULI
Superviseur
construction
SON CRIME :
Il a fait une blague dans un groupe WeChat privรฉ. Une allusion lรฉgรจre ร  un officiel gouvernemental. ๐Ÿ˜‚
SA PEINE :
๐Ÿš” 5 jours de dรฉtention. La police a retrouvรฉ le message. Dans un groupe "privรฉ". Sur WeChat.
Tu vas faire une private joke ? ๐Ÿค”
โ†’
Pense ร  Chen Shouli. ๐Ÿ˜ฌ
Source : Wall Street Journal โ€” Cas documentรฉ et vรฉrifiรฉ
04
L'ASPIRATEUR
ร€ DONNร‰ES ๐ŸŒ€๐Ÿ—„๏ธ
// VECTEUR 2.3 โ€” SURFACE DE COLLECTE MAXIMALE
๐Ÿ“Š
๐Ÿ“‹ Ce que Tencent sait sur toi aprรจs 30 jours d'utilisation :
๐Ÿ“ฑ Contacts
95%
๐Ÿ’ฌ Messages
100%
๐Ÿ“ Gรฉolocalisation
90%
๐Ÿ’ณ Paiements
100%
๐ŸŽฎ Mini Programs
85%
๐Ÿ”— Cross-rรฉfรฉrencement
80%
Le cross-rรฉfรฉrencement avec QQ, les jeux Tencent = fingerprint COMPLET. ๐ŸŽฏ
T'as jouรฉ ร  Honor of Kings ? Ils savent. T'as une app santรฉ ? Ils savent. ๐Ÿ˜ค
๐Ÿฆ  Les Mini Programs : apps dans l'app
๐Ÿ›’
E-COMMERCE
Pinduoduo, etc. Accรจs compte + historique achats
๐Ÿฅ
SANTร‰
Tencent Health. Tes donnรฉes mรฉdicales. ๐Ÿ˜ฌ
๐Ÿ›๏ธ
GOUVERNEMENT
Services publics. Actes officiels. Identitรฉ.
๐Ÿ’ก ANECDOTE COVID : En Chine, les apps de contact-tracing obligatoires รฉtaient des Mini Programs WeChat. Dรฉplacements + santรฉ + contacts = tout dans la mรชme base. ๐Ÿฆ ๐Ÿ“๐Ÿ’ฌ
Chaque Mini Program a accรจs ร  ton compte WeChat = donnรฉes liรฉes.
C'est pas 1 app que t'as installรฉe. C'est des milliers. ๐Ÿคฏ
05
T'ES DANS
QUELLE CASE ? ๐ŸŽฏ
// MATRICE DE RISQUE PAR PROFIL UTILISATEUR
โš ๏ธ
Spoiler : tout le monde est en rouge. Certains PLUS que d'autres ๐Ÿ˜ฌ
10 /10
๐Ÿข ENTREPRISE
CRITIQUE ๐Ÿ’€
10 /10
๐Ÿ“ฐ JOURNALISTE
CRITIQUE ๐Ÿ’€
9 /10
๐Ÿ” CYBER PRO
TRรˆS ร‰LEVร‰ ๐Ÿ”ฅ
7 /10
๐Ÿ’ผ BUSINESS CN
ร‰LEVร‰ โš ๏ธ
7 /10
๐ŸŒ HORS CHINE
ร‰LEVร‰ โš ๏ธ
5 /10
๐Ÿ‘ค DIASPORA CN
MODร‰Rร‰* ๐ŸŸก

* Risque social/lรฉgal en Chine reste รฉlevรฉ indรฉpendamment du score technique

06
KIT DE
SURVIE ๐Ÿ›ก๏ธ๐Ÿ†˜
// CONTRE-MESURES โ€” DIRECTIVES OPร‰RATIONNELLES
โšก
๐Ÿšซ INTERDICTIONS
๐Ÿ’ป
JAMAIS sur un poste de travail pro
Ni sur le rรฉseau d'entreprise. Point. C'est non. Non. Et non. ๐Ÿ™…
๐Ÿ“„
JAMAIS de docs internes, credentials
Contrat client, MDP serveur, doc confidentiel โ†’ INTERDIT via WeChat ๐Ÿ”
๐Ÿ†
INCOMPATIBLE ANSSI / ISO 27001 / RGPD
Toute certification sรฉrieuse est incompatible avec WeChat sur donnรฉes sensibles ๐Ÿšจ
Y'a pas de "mais dans ce cas particulier..."
C'est ROUGE. C'est NON. C'est au revoir. ๐Ÿ‘‹
DANGER
๐ŸŸก OK. Tu peux PAS l'รฉviter. Mode survie activรฉ.
๐Ÿ“ฑ
DEVICE Dร‰DIร‰
Un vieux smartphone "jetable". Complรจtement isolรฉ de ton SI. Pas de contacts pro, pas de mail pro, pas d'accรจs VPN. Un burner. ๐Ÿ”ฅ
๐ŸŒ
VPN ACTIF
Protรจge le rรฉseau. PAS le contenu des messages. Tencent voit quand mรชme tout. Mais c'est mieux que rien. ๐Ÿคท
๐Ÿ”
2FA ACTIVร‰
Protรจge l'accรจs au compte. PAS le contenu. Mais limite les pirates opportunistes. โœ…
๐Ÿงน
PURGE MINI PROGS
Dรฉsinstalle TOUS les Mini Programs non strictement nรฉcessaires. Chacun = une porte d'accรจs supplรฉmentaire. ๐Ÿšช
โš ๏ธ Ces mesures limitent les dรฉgรขts. Elles NE SUPPRIMENT PAS les risques fondamentaux. ๐Ÿ›ก๏ธโ‰ ๐Ÿ”
โœ… Les alternatives qui RESPECTENT ta vie privรฉe
โšก
SIGNAL โ€” LE BOSS ๐Ÿ†
E2E open source, auditรฉ, RGPD compatible, gratuit. Le Rolls-Royce de la messagerie sรฉcurisรฉe. C'est le signal. (C'est littรฉralement son nom.)
๐Ÿ”
ELEMENT / MATRIX โ€” LE GEEK
E2E fรฉdรฉrรฉ, auto-hรฉbergeable. Tu contrรดles TON serveur. La souverainetรฉ totale. ๐Ÿ‡ซ๐Ÿ‡ท
๐Ÿ’ฌ
WIRE FOR BUSINESS โ€” LE PRO
E2E, conformitรฉ EU, audit indรฉpendant. Pour les entreprises qui veulent du RGPD clean. ๐Ÿข
07
RGPD :
T'ES DANS
LA PANADE ๐Ÿ‡ช๐Ÿ‡บโš–๏ธ
// CONFORMITร‰ Lร‰GALE โ€” VIOLATIONS POTENTIELLES
๐Ÿ’ถ
Utiliser WeChat pour des donnรฉes clients EU, c'est comme... ๐Ÿท
...servir du vin dans des verres sales ร  un repas gastronomique.
Techniquement รงa marche. Lรฉgalement, t'as un problรจme. ๐Ÿคข
โš–๏ธ
ART.44+ RGPD
Donnรฉes perso EU โ†’ serveurs PRC = VIOLATION POTENTIELLE. La Chine n'est PAS dans la liste des pays "adรฉquats" RGPD. Pas de SCC valides avec une entreprise soumise ร  la National Intelligence Law. ๐Ÿ’€
๐Ÿ“‹
CE QUE TU DOIS FAIRE
โœ… DPIA documentรฉe
โœ… Notifier ta DPA
โœ… Informer tes clients
โœ… Ou simplement...
...ne pas utiliser WeChat ๐Ÿคท
๐Ÿ’ฐ AMENDE MAX RGPD
4% CA mondial OU 20 000 000 โ‚ฌ
Le maximum s'applique aux violations de transfert international. Bonne nuit. ๐Ÿ˜ด
08
MISSION
DEBRIEFING ๐ŸŽ–๏ธโœ…
// CONCLUSION // APPRร‰CIATION FINALE // NEXT ACTIONS
๐Ÿ†
๐Ÿ“‹ LE VERDICT FINAL EN 4 PANNEAUX
๐Ÿ”ด
COLLECTE PASSIVE MASSIVE
Architecture conรงue pour maximiser la collecte. C'est pas un bug. C'est le produit. ๐Ÿญ
๐Ÿ‰
COMPLIANCE ร‰TAT PRC
Tencent ne peut lรฉgalement pas refuser. MSS demande = MSS reรงoit. Sans exception. ๐Ÿ“œ
โšก
INCOMPATIBLE Sร‰CURITร‰
Aucune politique sรฉcu sรฉrieuse ne peut coexister avec WeChat sur donnรฉes sensibles. Zรฉro exception. ๐Ÿšซ
๐Ÿ‡ช๐Ÿ‡บ
NON-CONFORME RGPD
Usage pro EU = violation potentielle. Risque financier + rรฉputationnel. Jusqu'ร  20Mโ‚ฌ. ๐Ÿ’ธ
"Dans la matrice, chaque pixel
que tu envoies appartient dรฉjร 
ร  quelqu'un d'autre."
โ€” CyberMind Intel, 2026
โšก NEXT ACTIONS โ€” SECUBOX INTEGRATION
โšก Intรฉgrer IOC WeChat dans SecuBox Threat Intel Feed (CrowdSec)
๐Ÿ›ก๏ธ Rรจgle OpenWrt : blocage DNS/IP domaines Tencent sur tous nล“uds
๐Ÿ” DPI SecuBox : dรฉtection protocole MMTLS sur sondes rรฉseau
๐Ÿ“‹ Procรฉdure client CyberMind.FR : politique d'usage WeChat
๐ŸŽฏ Inclure WeChat dans scope CSPN SecuBox v2 : test dรฉtection/blocage
๐Ÿ” G. KERMA โ€” CyberMind.FR ๐Ÿ‘๏ธ SecuBox Intelligence Division ๐Ÿ“ก RESTRICTED โ€” NE PAS DIFFUSER