DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour « dépoluer » Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande « drop moi tous les paquets illégaux ? »…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme « illégal ». Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour « civiliser notre Internet« , des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

« SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected. »

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

La surveillance généralisée du Net s’accélère… OH ! BAMM ! AAAAH !!

OH !

Il y a quelques jours, on parlait ici du « killswitch » qui permettrait au président américain de couper des AS entiers … mettre dans le noir des bouts entiers d’Internet. Le cauchemar est en train de devenir une réalité puisque le Sénat américain vient de l’adopter. Ce fait, d’apparence anodin, vient de créer un précédent qui ne manquera pas de passer les frontères, vous étiez prévenus.

Comme si cela ne suffisait pas, la surveillance du Net est sur le point de s’immiscer au coeur des réseaux des fournisseurs d’accès, le DPI ou Deep Inspection Packet n’ayant pas bonne presse, il subira le même sort que la vidéo-surveillance que l’on a rebaptisé « vidéo-protection »… on vous dit que c’est pour vous P.R.O.T.E.G.E.R ! On pourra imaginer un nom bien « sécurisant » au DPI, genre « Protection de flux informationnels »… on en est plus à ça près. Vous pensez qu’en chiffrant votre trafic vous serez épargné ? Oui et non … SSL, Newsoft en cause fort bien ici, n’est pas infaillible. Le modèle de confiance est déjà sérieusement entamé. De plus, les technologies DPI évoluent très vite en ce moment et le DPI sur SSL semble être une réalité. Mieux encore, sachez qu’il existe des entreprises dont on entend pas du tout parler, comme Kalray qui travaillent sur des choses assez surprenantes comme le MPPA… vous voyez qu’on est vachement bons en France… on est aussi vachement discrets.

Pendant ce temps, les cybercriminels se fendent la pêche

BAMM !

« Give a monkey a brain and he’ll swear he’s the center of the universe »

Ce qui me dérange ? C’est que nous sommes en train de donner les moyens techniques aux politiques de pratiquer la censure du Net, elle deviendra donc la règle… Au début on filtrera les pédophiles, puis les sites de jeux en ligne, puis après les contenus copyrightés, et on finira inéluctablement par le filtrage politique (comme Mitterrand en son temps pratiquait les écoutes téléphoniques, les écoutes de connexions deviendront un sport gouvernemental underground…) oui comme en Chine, et ça ne semble pas leur faire peur.

Peu importe si dans d’autres pays pas si lointains les prestataires presentis ont gentiment été écartés pour d’évidentes raisons d’atteintes à la vie privée (on aimerait bien un avis de l’Union Européenne sur le DPI d’ailleurs avant que les FAI ne trouvent le moyen de le proposer en OPT-IN en France … comme un cheval de Troie…) ou quelques déboires avec la justice… des batailles de brevets, trois fois rien. Pour ceux qui ont loupé un épisode le projet RIALTO est une émanation de Kindsight, qui est lui même une émanation de Alcatel Lucent.

AAAAAH !

Allez, on passe aux « presque bonnes nouvelles »

ZyXEL qui va pouvoir mettre à jour sa plaquette commerciale puisque les IP des entreprises n’entreront pas dans la liste des « déconnectables » par la HADOPI, comme l’explique GenerationNT entre deux projections ridicules de Pascal 2.0 : « TMG écartera du flashage les adresses IP des entreprises… Quant aux IP à l’origine de nombreux téléchargements illégaux ( un millier ), ce sera directement l’action en justice, sans e-mail d’avertissement. »

Il y a une autre bonne nouvelle, Christine Albanel a un an de plus, nous lui souhaitons donc un joyeux anniversaire que PCInpact nous propose de féter en video. Mais il y a aussi une mauvaise nouvelle, elle pourrait prendre sa retraite plus tard

Mon grand père disait …

« Chez nous, il y a trois problèmes : le feu qui dévaste le maquis, les sangliers qui ravagent les cultures, et la politique qui s’occupe de tout le reste.

Contourner HADOPI pour les un peu moins nuls (Partie 3) : FOAF+SSL ou vers un réseau social du téléchargement

L’un des grands principes sur lequel l’Internet repose, c’est l’ouverture des protocoles … et qui dit ouverture dit forcément détournement, adaptation et innovation. Cette innovation va souvent dans le bon sens, mais aujourd’hui, HADOPI en cherchant à scléroser les échanges va les rendre de plus en plus perfectionnés… tous les échanges.

L’un des nouveaux enjeux du Net, c’est sûrement le contrôle de ses propres données et la sécurité des échanges interpersonnels, qu’il y ai ou non téléchargement. Et dans cette optique, FOAF, couplé à SSL, peut devenir un véritable cauchemar pour les nostalgiques du Minitel. Je vous laisse découvrir ce que cette nouvelle brique pourrait apporter à la notion de réseau social décentralisé, multisites, multiusages … Quand les sites de direct download ou les blogs qui syndiqueront des flux rss de liens megaupload ou je ne sais quoi de manière sécurisée et totalement décentralisée, nous aurons droit à des applications d’une nouvelle génération qui apporteront en plus la magie sociale aux « pirates »… enjoy 🙂

On va vous faire aimer HADOPI 2, vous allez vite découvrir que le Peer to Peer, c’est vachement lent et qu’il existe de nombreuses autres manières bien plus efficaces de s’en passer.