Catégorie : Net Neutrality

Le Net existe parce qu’il est neutre

Publié le

La Neutralité du Net et le Paquet Télécom transposés par ordonnance

Neutralité du réseaux

Numerama avait senti le coup venir, et c’est sur le site Euractiv que je suis tombé sur la confirmation de cette nouvelle pirouette législative et c’est la député Corine Erhel qui m’a mis la puce à l’oreille au détour d’un tweet. Le Paquet Télécom est un ensemble de directives européennes adoptées l’année dernière par le Parlement Européen et réformant la régulation des réseaux de communication et de services électroniques… en clair Internet et tous les trucs qu’il y a autour, même le Net quasi neutre, même l’Internet ouvert d’Alcatel, même l‘internet par Orange

Le Paquet Télécom recèle de nombreux loups, comme le principe de Neutralité du Net ou les sanctions qu’un Etat peut prendre à l’encontre d’internautes pour des délits sur le droit d’auteur et les droits voisins sur les réseaux de communication électroniques, comme vient nous le rappeler l’HADOPI. Sa transposition portant sur deux nouvelles directives devait passer en France par voies parlementaires.

Si vous pensiez que la Neutralité du Net, garante de l’innovation déjà mise à mal et de la non distorsion de la concurrence pouvaient à elles seules motiver des débats au Parlement français, vous vous fourrez le doigt dans l’oeil. Il faut impérativement éviter un débat national sur ces questions, non pas qu’il soit inintéressant… c’est juste qu’Internet commence sérieusement à pomper l’air du gouvernement. Tout ceci se fera donc sur ordonnance ministérielle, entre amis, loin des caméras, histoire que les internautes ne viennent pas une fois de plus mettre leur nez dans ce qui ne les regarde pas. Une ordonnance, en gros c’est une décision collégiale de gens qui sont par définition tous d’accord (des membres du gouvernement) et qui ne souffre aucun débat contradictoire.

Vous avez répondu aux consultations ? On vous a bien promené hein ?

Ce qu’il y a de bien avec les sujets auxquels les gens ne comprennent rien, c’est qu’ils ont une splendide faculté à se mettre d’accord entre eux. Donc, les Internets, la Neutralité …c’est bien trop technique tout ça, ce n’est pas le sénateur Masson qui ira me contredire :

Bon, transposer le Paquet Télécom par ordonnance, dans un sens, c’est peut-être un mal pour un bien allez vous me dire après avoir visionné la vidéo ci-dessus. J’ai presque envie de vous répondre qu’effectivement, si passage au Parlement il y avait eu, on risquait de se retrouver avec des pochettes surprises, comme une HADOPI 3 avec DPI généralisé et mouchard dans les box pour tout le monde.

Mais là où je m’interroge, c’est sur la nécessité de toutes ces consultations sur la Neutralité du Net, sur les abominables conclusions de Bercy très clairement dictées par les lobbystes d’Orange et d’Alcatel, sur le silence de Nathalie Kosciusko-Morizet… et hop, comme c’est désormais la tradition : passage en force.

On nous a promené de manière savante, bravo, bien joué. On va être sport, on va dire que nous ferons notre deuil de la Neutralité du Net en France puisqu’elle est maintenant dans les mains du ministère de l’Industrie , comme je vous l’avais prédit dans mes scénarios les plus alarmistes. Je ne vois pas pourquoi le secrétariat d’Etat à l’Economie Numérique que l’on attendait sur le RGI, la fibre optique avec notre superbe place de 12e européen (qui contraste avec les promesses du Plan Numerique 2012), HADOPI ou encore LOPPSI … commencerait à faire son travail maintenant après tout …

Seulement, quand on essaye d’enfoncer un iceberg au fond de l’océan, il ne faut pas s’étonner que ce dernier vous revienne dans la figure.

Publié le

A force de vouloir écouter tout le monde, on risque de ne plus rien entendre

Echelon

De nombreux sites web ainsi que la presse se sont fait l’écho de récentes remontrances émanant des services secrets américains à la France. La loi HADOPI était en cause. Le spectre d’une menace d’écoutes généralisées pour faire la chasse à l’échange de fichiers soumis au droit d’auteur est en passe de devenir un problème de sécurité nationale. Et c’est pas comme si les USA n’avaient pas d’intérêt à défendre leur industrie culturelle. Pourquoi sommes nous pionniers de « l’Internet civilisé » ? Les américains sont ils moins civilisés que nous ? On peut se demander pourquoi les services de renseignement français n’ont pas cherché à tuer dans l’oeuf les velléités de contrôle des populations à la gloire du sacro-saint droit d’auteur.

Les USA se sont posés il y a bien longtemps la question : est il opportun de menacer de mettre sous écoute sa population ? Il faut bien comprendre que dans la logique américaine, il y a une longue tradition du renseignement. L’exemple le plus connu des réseaux de renseignement en grande partie mis en place par les USA se nomme Echelon, il s’agit d’un réseau d’écoute planétaire capable d’intercepter n’importe quel type de communication (téléphone, internet, fax…). Il fonctionne sur dictionnaire, une liste de mots clés fait réagir le système, le message est ensuite intercepté, puis analysé, de manière informatisée, puis par des moyens humain. La France aussi est dotée de son réseau d’interception, baptisé Frenchelon. Il existe cependant une différence notable entre les USA et la France sur la finalité de ces outils. Les USA concentrent leur effort sur le renseignement exterieur et apportent le plus grand soint à ne pas utiliser ces outils contre leur propre population. De notre côté, en France, on ne s’embarrasse pas vraiment avec de telles considérations et à écouter Marc Guez (président d’une association caritative dont l’objet est la préservation des revenus issus des phonogrammes en plastique et le sauvetage les artistes des méfaits d’Internet), c’est tout à fait naturel, c’est déjà en place, alors pourquoi pas l’utiliser pour servir ses intérêts à lui, quitte à s’exposer à des répercutions particulièrement dangereuses.

Je m’étais à une époque amusé avec Google Map à aller jeter un oeil sur les infrastructures américaines pour les comparer aux infrastructures françaises et j’avais constaté que les français étaient quand même bien plus pudiques que les américains sur la question, jugez par vous même :

Voici des installations d’Echelon à Menwith Hill vues du ciel, difficile de les rater, c’est tellement net qu’on pourrait presque lire les plaques d’immatriculation des voitures qui y sont stationnées.

Echelon, site de Menwith Hill

Voici maintenant des installations de la DGSE à Domme dans le Périgors et qui constituent une petite partie du réseau Frenchelon, les arbres sont eux parfaitement nets, en revanche, nos grandes oreilles, on tente gentiment de les cacher.

Installations d'écoutes de la DGSE

Si les deux sites précédents sont parfaitement connus, on trouve sur Google Maps d’autres endroits sur le globe qui laissent assez rêveur, comme ce petit coin paumé au milieu de nul part, Wales, en Alaska. On croit y distinguer un peu le même type de boules blanches… et quand on recule un peu, plus au nord, on voit une énorme piste d’atterrissage… et on se demande du coup quel type de fret peut desservir les 4 baraques de pêcheurs qui semblent border cette côte sauvage du grand nord américain.

Wales, Alaska

L’objectif de ce billet n’est pas vraiment de comparer les infrastructures de Frenchelon à celle d’Echelon, mais cette petite digression me semblait nécessaire afin de de vous montrer que des réseaux entiers destinés à intercepter les communications sont bien en place et qu’en plus c’est loin d’être nouveau.

Ce qui est relativement nouveau en revanche, c’est l’engouement des français pour l’anonymat sur Internet, je crois que des gens comme Cupuccino, Korben ou Fabrice vous le confirmeront à la lecture de leurs statistiques, de très nombreux internautes se documentent sur l’art et la manière de télécharger tranquillement, et pour ça, ils n’hésitent pas à se tourner vers des solutions de chiffrement plus ou moins élaborées. L’usage massif de ce ces solutions créent inéluctablement une forme de bruit par convolution qui pourraient vite s’avérer gênant pour les autorités habilitées à mener des écoutes pour des affaires autrement plus sérieuses que le téléchargement.

Toujours plus chiffré, toujours plus simple d’utilisation, les solutions se font à la fois plus grand public, plus qualitatives et font monter en compétences les internautes sur des problématiques dont ils n’avaient guère à se soucier il y a quelques mois. Est-ce souhaitable ? Surement pas. Il n’est jamais souhaitable qu’un concitoyen éprouve un besoin de se cacher pour pratiquer ce qui en plus de 10 ans est devenu un usage. Et je dois dire que je suis particulièrement surpris du silence du ministère de la Défense à ce sujet. J’ai beaucoup de mal à comprendre que l’armée n’ait pas alerté les pouvoirs publics sur le risque d’une démocratisation du chiffrement. Certes, la France compte parmi ses services des mathématiciens de talent capables de casser des algorithmes incroyables, ou des d’informaticiens doués, capables de se jouer de mauvaises implémentations de ces protocoles de chiffrement, mais dans le cadre d’une écoute « sur dictionnaire » (c’est de cette manière qu’opère un outil comme Echelon, je ne sais pas trop pour son pendant français), on se doute bien qu’il est plus compliqué et plus coûteux en terme de traitement de repérer une information intéressante sur un flux de données chiffrées de plusieurs dizaines ou centaines de milliers de personnes que quand on a traiter un flux de données chiffrées de quelques centaines d’individus.

Si la NSA ne se sent pas très à l’aise avec HADOPI, on se demande ce que peuvent en penser les communautés du renseignement français, je serai fort curieux d’entendre leur son de cloche là dessus, comme par exemple savoir s’ils ont été consultés avant la mise en oeuvre du dispositif HADOPI ou encore de ce qu’ils pensent d’une utilisation des technologies de reconnaissance de contenu (Deep Packet Inspection) pour faire la chasse aux téléchargeurs, alors que ces techniques leur étaient jusque là réservées… mais comme on l’a vu ci-dessus, nos services savent se faire discret.

Aujourd’hui ce qui m’inquiète le plus, c’est cette crise de confiance entre le gouvernement et ses administrés qui commence à devenir une tendance lourde : les internautes cherchent des moyens de se protéger… de l’Etat.

Comme le dit fort justement Benjamin Bayart, dans une démocratie, il est nécessaire que l’on puisse prendre le maquis, en revanche, quand on a 20% de la population qui souhaite le prendre, c’est qu’on a un sérieux problème.

Publié le

HADOPI : Glasnost sur le Deep Packet Inspection ?

La Haute Autorité a daigné répondre à mes interrogations sur la Deep Packet Inpection, vous trouverez les questions ici, et la réponse de l’HADOPI , . J’ai lu très attentivement cette réponse et j’y vois deux trois choses intéressantes :

Dans un premier temps, le fait que l’HADOPI, par le biais d’une réponse officielle, fasse un premier pas pour tenter de lever des inquiétudes, montre à quel point cette question du Deep Packet Inspection est centrale et inquiète… tant nous, internautes, que l’HADOPI, qui doit quand même se rendre compte que l’on ne peut pas accepter tout et n’importe quoi en matière de sécurisation, particulièrement quand il s’agit de jouer avec des outils, qui détournés de leur usage initial, peuvent aboutir à des situations non désirées de tous, et dans l’intérêt de quelques croisés du droit d’auteur.

Maintenant concernant le terme de « fantasme » Marc, sur PCInpact a très bien résumé ce faisceau de présomptions particulièrement fondé et étayé par des faits qui nous incitent à penser que le DPI est bien considéré comme une solution qu’il faut « évaluer », le président de la République en tête. Peut-on donc réellement parler de fantasme, surtout quand on lit un peu partout que le déploiement du DPI à grande échelle coûterait des centaines de millions et que l’on sait que ceci est parfaitement faux. Les déploiements d’équipements en coeur de réseau, proche des backbones, coûteraient au plus quelques millions. Un routeur de service vide coute dans les 80 000 euros, une fois gavé de modules dédiés au DPI on arrive à un chiffre de 200 000 euros pour traiter du terabit. Ce qui est donc de l’ordre du fantasme, c’est dire que c’est impossible parce que ceci coûte cher… le DPI est tout à fait à la portée de la bourse des 7 principaux fournisseurs d’accès.

D’un fantasme à l’autre, il n’y a qu’un pas

Vous m’avez peut être, à la lecture de certains billet, vu parler à demi mot d’expérimentations menées par les FAI dans le domaine de la reconnaissance de contenus. Et bien je vais me permettre d’être encore plus clair : OUI, certains fournisseurs d’accès l’expérimentent, c’est une évidence. Il est également de notoriété publique que ces technologies sont déjà en place sur les réseaux mobiles des opérateurs téléphoniques. Ils y ont un intérêt flagrant, il est d’ordre économique et le DPI peut vite devenir très rentable pour eux. Je m’explique…

En condamnant le P2P qui favorisait des échanges principalement nationaux, où la bande passante n’était pas facturable par un tiers, et qui avait le bon goût d’équilibrer les charges en utilisant un lien fibre dans un sens comme dans l’autre, HADOPI a pour principale conséquence une migration massive des utilisateurs vers des solutions de direct download (Rapidshare, Megaupload….). Ces solutions font un usage de la bande passante à sens unique, les serveurs sont souvent situés outre-atlantique, aux USA. Les autres gros hébergeurs se trouvent aux Pays-Bas, en Russie… Tous les fournisseurs d’accès vous confirmeront cet accroissement de trafic transnational à sens unique et donc une hausse des coûts de transit. Les solutions de reconnaissance de contenu deviennent alors intéressantes pour un FAI un peu zélé qui souhaiterait faire la chasse aux téléchargements de fichiers lourds, avec pour argument, que comme il s’agit dans 99% des cas de fichiers illégaux, il est dans son bon droit… et puis c’est dans l’air du temps et c’est bien ce que promettent les équipementiers aux FAI : faire plein d’économies en se débarrassant d’un trafic indésirable. Mais comment un FAI va reconnaître un Divx légal (encodé par mes soins depuis un original légalement acquis) que je fais transiter par le réseau depuis mon média center de mon lieu de résidence, à mon laptop, sur mon lieu de vacances ?

La HADOPI veut se donner les moyens de la transparence

Je ne reviendrai pas sur la joute sémantique tester/évaluer/expérimenter et je vais tenter de me concentrer sur ce qui me semble le plus intéressant dans cette réponse. L’HADOPI, affirme que les expériences menées par les fournisseurs d’accès ne présenteront à ses yeux aucun intérêt et ne leur prêtera aucune crédibilité si par l’intermédiaire de ses labs, elle ne peut exercer un contrôle sur la méthodologie, le contexte et le périmètre de ces expérimentations. Maintenant que la loi est là, et tant qu’elle ne sera pas abrogée, c’est à l’HADOPI qu’incombe la mission d’évaluer ces solutions de filtrage et elle rappelle que ceci devra se faire dans la transparence la plus totale :  les évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

Soyons clair, je ne dis pas que ça me tranquillise, ni qu’au fond de moi j’estime l’HADOPI légitime dans une mission d’évaluation d’une solution de flicage globale, mais le cadre légal indique qu’au moins les résultats seront publics. Une chose apparaît claire en tout cas, c’est que l’HADOPI évaluera bien le DPI, et c’est au sein de ses Labs que ceci devrait se passer. Mon sentiment là dessus est qu’évaluer ce genre de solutions dans le but de filtrer des contenus soumis à droit d’auteur reste une dérive dangereuse et contre nature. Envisager quer l’on puisse utiliser le DPI pour servir la croisade du droit d’auteur me fait froid dans le dos et ne laisse rien augurer de bon. L’autre effet perver sera bien évidemment le chiffrement lourd des communications des abonnés, la crise de confiance serait sans précédent.

Allez encore un petit effort

Si l’HADOPI a un réel pouvoir de décision sur cette épineuse question, il est impératif qu’elle rejette toute utilisation de filtrage par reconnaissance des contenus. De tels dispositifs ne doivent pas avoir leur place dans une démocratie, le risque de détournement est bien trop important, il est inéluctable. Offrir le Deep Packet Inspection, même sur abonnement pour contourner quelques détails légaux comme le viol de la vie privée des concitoyens reste inacceptable, j’ose espéré que la sagesse prévaudra sur la pression des ministère de l’Industrie, de la Culture, des ayants droits et d’une poignée de politiques qui ne prennent pas la (dé)mesure des outils qu’ils souhaitent mettre en place, alors que les effets du piratage sur l’économie des biens culturels  sont loins d’être aussi négatifs qu’ils n’aiment à le faire croire… un autre point sur lequel les labs devraient tenter de porter leur attention en produisant des études que l’on souhaite indépendantes, elles aussi.

Pour conclure, si la Haute Autorité fait preuve de l’indépendance qu’elle souhaite affirmer dans sa réponse (un acte que je salue au passage), nous devrions arriver à des choses intéressantes un jour ou l’autre et je confesse que j’apprécie ce premier pas même si l’objet reste à mes yeux inacceptable : le DPI n’a pas sa place dans une démocratie digne de ce nom. Enfin l’évaluation des technologies de reconnaissance de contenus sont un aveu d’échec assez flagrant sur les solutions techniques de « sécurisation » des accès Internet… mais là dessus, je ne m’attendais pas spécialement à des miracles.

Je resterai donc particulièrement attentif sur ce sujet et j’entends que les quelques fournisseurs d’accès qui expérimentent dans leur coin ces solutions sortent du bois rapidement, et surtout que le législateur prenne ses responsabilités pour encadrer l’usage des ces technologies dont l’objet est de servir le bon fonctionnement d’un réseau, mais surement pas d’opérer un flicage sur la population.

Publié le

Deep Packet Inspection : vous voulez éviter une guerre numérique ?

ciscoHADOPI prévoit dans son dispositif des tests sur les technologies de deep packet inspection. C’est une volonté plusieurs foi affirmée par Nicolas Sarkozy lui même.  Le DPI est déjà en place chez de nombreux fournisseurs d’accès, et c’est normal, car il ne faut pas y voir que du mal. Le DPI a également certaines vertus en terme de gestion de trafic, de détection des attaques… Oui mais voilà, à partir du moment ou ces technologies servent à autre chose que le fonctionnement normal d’un réseau (comme c’est le cas dans le cadre de la chasse aux contenus copyrightés), il est nécessaire, non seulement que ceci soit particulièrement encadré légalement, et surtout que quelques expériences de savants fous ne soient pas menées dans l’opacité.

J’ai donc quelques questions à poser très ouvertement, et j’entends bien, comme des dizaines de milliers d’internautes sensibles à la question du DPI, et des millions d’internautes soucieux de la sécurité de leur données personnelles qu’on y réponde clairement :

  • Qui va mener ces tests (des FAI, des sociétés privées…) ?
  • Quelle sera la durée de ces tests ?
  • Quelles données seront collectées ?
  • La CNIL exercera t-elle un contrôle sur ces tests ?
  • Les résultats sur l’efficacité seront ils publiés ? (sinon merci de préciser pourquoi)
  • Quels types d’équipements seront utilisés ?
  • Où sur les réseau ces équipements seront ils placés ?

Je vous invite donc à faire toute la transparence sur ces questions, on parle d’un usage contre nature de technologies non maitrisées, le DPI étant le nucléaire de l’Internet, il me semble capital d’y répondre rapidement avant que le climat ne se tende encore un peu plus qu’il ne l’est déjà aujourd’hui.

Pour conclure, je vous laisse découvrir cette vidéo édifiante, elle concerne un gros équipementier américain qui vous laissera vous faire votre opinion sur le niveau de responsabilité assumé par ces marchands de flicage privé.

Publié le

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus « anonymisantes ». Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous « sécuriser » iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des « solutions » simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement « end to end » (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : « si on a rien à se reprocher, on a rien à cacher« . Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé « contourner hadopi », je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

Publié le

La menace Deep Packet Inspection : analyse de la compromission d’un FAI

backboneL’analyse en profondeur de paquets (DPI) en coeur de réseau est le nouveau fantasme de la SCPP. Marc Guez son directeur ne doute pas un instant que grâce à cette solution miracle, il pourra reconnaître la légalité des octets qui transitent sur les réseaux des fournisseurs d’accès. En théorie, il n’est pas loin d’avoir raison. En pratique, c’est un peu moins sur… et du coup, je vais vous raconter une bien belle histoire, celle de Samir, aka sam_synack… une histoire encore parfaitement inconnue du grand public.

Ceci remonte à 2006, à l’époque, le fournisseur d’accès SFR s’appelait 9Télécom. Il distribuait des Neufbox à ses clients. À cette époque les Neufbox n’étaient pas équipées en GNU/Linux, le firmware était fermé et propriétaire. Mais un firmware fermé… ça s’ouvre. C’est bien ce qui est arrivé. Ce billet est assez technique, il dissèque la compromission du réseau d’un fournisseur d’accès Internet. Le détail du hack est ici relaté, vous comprendrez donc qu’il ne s’agit pas d’une fiction… c’est bien réel.

Analyse de la compromission de 300 000 Neufbox et du coeur de réseau d’un fournisseur d’accès par un gus dans son garage

Samir Bellabes, qui s’ennuyait en luttant contre ses insomnies, a eu la curiosité de commencer à causer avec sa Neufbox, fraîchement achetée quelque heures plus tôt… dramatiquement banal ? Attendez un peu, ce qui va suivre l’est un peu moins. La Neufbox se montre peu bavarde, mais animé par cette curiosité maladive qui anime tout hacker, Samir ne se décourage pas, il lui en faut bien plus. Sa méthode, simple et imparable, sniffer sur son réseau le trafic entre sa Neufbox et le Net et ainsi localiser le serveur depuis lequel elle se met à jour, récupérer ce firmware lors d’une mise à jour en dumpant les paquets. Appréciez la beauté du hack :

  • Samir scanne sa Neufbox : pas de résultat, pas grand chose à se mettre sous la dent hormis peut-être un port TCP 1287 à l’écoute à garder sous le coude :

sam@urg:~$ sudo nmap -sT  192.168.1.1 -p 1-65535
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-22 14:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 65530 filtered ports
PORT     STATE  SERVICE
53/tcp   open   domain
80/tcp   open   http
1287/tcp open   unknown
1288/tcp open   unknown
8080/tcp closed http-proxy

sam@urg:~$ telnet 192.168.1.1 1287
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’
.Foxconn VoIP TRIO 3C, F01L010.00_LDCOM MAC: , VOIP FLG=1
Login:

  • Il éteint sa Neufbox et la raccorde en ethernet à sa machine sur laquelle il lance tcpdump ;
  • La Neufbox effectue une requête « ARP, Request who-has 10.0.0.1 » vers sa machine, donc la neufbox recherche le serveur 10.0.0.1;
  • Bien entendu, sa machine ne peut répondre à cette requête ;
  • Samir débranche le RJ11 sur lequel le signal ADSL arrive dans la box,  configure sa machine pour prendre l’adresse 10.0.0.1 et rallume la neufbox ;
  • Bingo, sa machine répond cette fois ci à la requête ;
  • Cette requête servait pour la box à déterminer où se trouve Internet et où se trouve le réseau local … Samir vient de tromper la Neufbox … sans une seule ligne de code ;
  • Une série de requêtes UDP et TCP se sont alors lancées depuis la Neufbox (recherche des serveurs de VoIP par exemple);
  • Mais le plus intéressant : une connexion UDP vers un serveur d’adresse publique  80.118.192.97, et vers un port de destination identifié comme du TFTP ;
  • Sur sa machine, Samir monte donc un serveur TFTP en écoute en attribuant arbitrairement à l’interface en écoute cette adresse publique ;
  • Il rallume sa box, et alors que la Neufbox cherche le serveur public,  c’est sa machine qui répond, la Neufbox s’y connecte donc naturellement ;
  • La Neufbox demande à sa machine le fichier LatestVersion.general (listant les firmwares disponibles comme on le découvre plus tard);
  • Samir a donc maintenant assez d’informations pour aller chercher le vrai serveur public TFTP qui gère les mises à jour ;
  • Le firmware est capturé :

sam@fin:~/tmp$ tftp 80.118.192.97
tftp> get F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar
Received 1666745 bytes in 6.4 seconds
tftp> quit
sam@fin:~/tmp$ file *
F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar: data
LatestVersion.general:                                 ASCII text

  • Et là, c’est le drame, une petite recherche dans le firmware sur la chaine de caractères « password » lui renvoit ceci :

httpd_username1=tibma
httpd_password1=ambit
httpd_username2=root
httpd_password2=aEzebRAWiF

  • Ces login/pass sont fonctionnels sur l’interface web de la Neufbox. Mais surtout retournons voir le CLI sur le port TCP 1287 et son prompt login, et là encore pas de souci, le mot de passe root permet d’être root sur la Neufbox.
  • Immédiatement on trouve le nom du CLI : ISOS et sa doc http://89.96.243.158/download/USERGUIDE/985_a02-ra3_cli.pdf
  • Il y a 2 interfaces (WAN et LAN) et l’interface WAN possède un adresse IP de classe privée du sous-réseau 172.16.0.0/12. (disons 172.16.42.42) … Curieux.
  • C’est là que Samir se rend compte qu’il peut envoyer du trafic à l’adresse IP voisine (par exemple 172.16.42.43, c’est à dire à une possible autre Neufbox. Un seul moyen de vérifier, se logger et éteindre cette Neufbox. C’est fait, le modem voisin ne répond plus.

La Neufbox de Samir est rootée, ainsi que plus de 300 000 de ses petites sœures !

En même temps qu’il recherche un mécanisme pour exploiter à grande échelle ces informations, il continue ses recherches basées sur les informations du firmware : les noms des serveurs donnant des adresses IP qui donnent des plages de réseau : 212.94.162.0, tftp.neufbox.neuf.fr, dhcp.neufbox.neuf.fr, ..

Et ce n’est pas fini…

  • Il scanne la plage IP, extrait :

Host pradius-dsl-2.gaoland.net (212.94.162.16) is up (0.039s latency).
Host mrtg.gaoland.net (212.94.162.5) is up (0.030s latency).
Host dns1.gaoland.net (212.94.162.1) is up (0.025s latency).
Host pippin.gaoland.net (212.94.162.15) is up (0.039s latency).
Host babar.gaoland.net (212.94.162.67) is up (0.027s latency).

  • Sur ce dernier serveur, le navigateur demande une authentification pour un mécanisme de sauvegarde à des routeurs BB IP … BACKBONE pwn3d !

Samir vient de taper à la porte du backbone… tout juste là où les partisans de la DPI souhaiteraient placer leurs équipements ! Le tout est accessible depuis le Net…. magnifique non ?

  • Et là vous vous dites que c’est blindé, pas moyen de passer ? Voici ce que trouve Samir :  Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch Server at babar.gaoland.net … Blindé en effet … enfin presque.
  • Dans la suite de la recherche, une autre plage intéressante est aussi apparue :

inetnum:        80.118.192.0 – 80.118.197.255
netname:        N9UF-INFRA
descr: BIB backbone

Happy End

Samir est un hacker sympa, pas un terroriste, il avertit donc aussitôt Neuf qui corrige, il n’a pas exploité ses trouvailles, il ne les a pas revendues sur une board russe… un vrai coup de bol pour les 300 000 abonnés de Neuf qu’il avait à portée de shell. Cette histoire n’a jamais filtré, c’était il y a 5 ans, et la révéler aujourd’hui ne porte pas préjudice au fournisseur d’accès. Par contre elle soulève des question très lourdes.

Que faut il retenir de cette petite histoire ?

Il n’en a pas fallu plus pour compromettre l’infrastructure du réseau de Neuf : un ordinateur et un gus dans son garage.. sans aucune ligne de code et  toute l’infrastructure réseau d’un fournisseur d’accès est mise à nue. Cette même infrastructure au cœur de laquelle certains inconscients aimeraient placer des dispositifs d’écoute généralisée… à la portée de n’importe quel état, de n’importe quelle officine qui s’en donnerait les moyens… et d’un gus dans un garage !

Conclusion

La sécurité est un mécanisme global, qui fonctionne par des liens entres différents niveaux de couches et de services. Elle ne se résoud pas uniquement avec une boite gavée de GPU sur un lien réseau en terabit. Des entreprises voudraient utiliser les informations du réseau, vos informations, vos communications, afin de réaliser leur analyse et en déduire leur « légalité ». Il est clair que les solutions que la HADOPI a pour mission de labelliser seront des logiciels de lutte contre l’échange de fichiers. Ceci se fera au risque de compromettre la sécurité des utilisateurs et des entreprises. Là où on nous souffle le terme de  « logiciels de sécurisation » et où le mot d’ordre est un concept aussi fumeux que la protection des lignes ADSL pour éviter de se rendre coupable d’un délit de « négligence caractérisée« , il faut bien lire « surveillance généralisée ». Si le grand public a un besoin réel de sécurisation, de confiance dans le réseau et de protection, il ne faut pas non plus nous faire prendre des vessies pour des lanternes : le produit Qosmos/Vedicis n’est pas une solution de securisation, mais bien de surveillance.

S’il fallait trouver un moyen efficace d’offrir l’opportunité à des personnes mal intentionnées de mettre la main sur les données personnelles de millions de particuliers et d’entreprises, nous ne pourrions pas mieux nous y prendre qu’en plaçant des équipements de DPI en cœur de réseau…

Voulez vous vraiment vous rendre coupable d’une négligence caractérisée mettant en péril notre sécurité nationale Monsieur Guez ? Pensez vous que la défense de vos intérêts (et non ceux des artistes) en vaut les risques encourus ?

Être conscient des peurs sur la DPI est une chose, prendre conscience des risques en est une autre. Il est grand temps que nos responsables politiques sifflent la fin de la récréation. Si les libertés individuelles ont une fâcheuse tendance à devenir un produit d’exportation, il est impératif que ces dispositifs dangereux pour la sécurité de nos concitoyens le restent.

Publié le

Chassez l’ACTA et il revient au Gallo !

Le rapport Gallo, sera présenté demain, 22 septembre, au Parlement Européen. Ce rapport soutien le côté le plus obscur et le plus contestable de ce que l’ACTA porte. Sous prétexte de défense du droit d’auteur, c’est à une atteinte aux libertés des auteurs qu’il représente, contestant ou négligeant les exceptions au droit d’auteur dans le plus grand mépris de l’intérêt général.

Le rapport Gallo, très en phase avec la politique menée en France sur la sacralisation outrancière du droit d’auteur dans le mépris des libertés individuelles,encourage la répression préconisée dans la ligne dure de l’ACTA et se livre à ces sempiternels amalgames entre contrefaçon de biens matériels et l’échange de fichiers sur Internet. Encore une fois, tout est fait pour présenter le déclin des industries culturelles comme une conséquence de l’échange de fichiers sur Internet, un véritable non sens, argument déjà maintes fois démonté par des études indépendantes qui concluent toutes sur les effets bénéfiques de l’échange sur les ventes de ces biens culturels.

La pauvreté de ce rapport se traduit par une énième volonté de sensibilisation des citoyens aux vertus de la propriété intellectuelle à outrance au détriment de l’intérêt public, une belle farce quand on voit ce qu’est aujourd’hui l’offre légale : une petite épicerie de quartier face à n’importe quel tracker torrent moyen.

Nous nous devons de suivre, avec la plus extrême vigilance le vote de demain, car si la Déclaration 12 récemment adoptée par une majorité d’eurodéputés pourrait tendre à faire penser que le rapport Gallo va naturellement être rejeté, on sait que la politique européenne peut se jouer à, sur un malentendu, à une très courte majorité, entretenu par la résolution alternative de la ALDE qui tente de charmer les plus indécis. Cette résolution alternative de la ALDE reste un faux nez des positions inacceptables de l’ACTA qui prône entre autre une répression mondiale en se passant du juge, par des officines mandatées par les croisés du copyright. C’est d’ailleurs souvent là où les attend les moins que les horreurs d’ACTA nous reviennent régulièrement.

Espérons donc que la résolution des verts européens l’emportera demain et que le rapport Gallo sera rejeté, il n’est toujours pas trop tard pour appeler vos eurodéputés.

Répondez à l’appel de la Quadratrure du Net et participez en 5 minutes au rejet du rapport Gallo!

Publié le

ACTA la vista baby

lolcatIl y a quelques semaines maintenant je vous disais que l’ACTA était une bataille gagnable. Mercredi dernier, ce sont 377 sur 736 députés, soit une petite majorité, qui ont signé la Déclaration 12, un texte dénonçant « l’absence d’un processus transparent et la présence d’un contenu potentiellement controversé ». Le texte met aussi en garde sur la responsabilité des hébergeurs qui ne doivent pas être tenus pour responsables de ce qui circule sur leur réseau car ceci pourrait les inciter à poser des dispositifs de filtrage.

« L’accord proposé ne doit pas imposer de restrictions à la procédure judiciaire ni affaiblir les droits fondamentaux tels que la liberté d’expression et le droit au respect de la vie privée ».

On sent bien que la Déclaration 12 tranche un peu avec ce que défend actuellement le gouvernement français comme ligne sur la LOPPSI, ça risque de devenir assez drôle si nous nous retrouvons un jour obligés de transposer une directive européenne sur la neutralité du Net (à défaut de s’inspirer de l’exemplaire Islande), avec un passif  comme le nôtre… on aurait l’air malins avec notre Net ouvert par Alcatel ou notre Internet par Orange. Si nous partons avec un passif aussi chargé que celui qui se met actuellement en place, ça nous promet une chouette transposition et de longues heures à expliquer qu’avec la deep packet inspection, ça fonctionne beaucoup moins bien la neutralité et le respect de la vie privée.

Si Déclaration 12 n’a évidemment pas valeur de loi, elle n’en est pas moins un message très clair en direction des négociateurs de l’ACTA. Par ce texte les eurodéputés affirment leur volonté de défendre les libertés individuelles des citoyens européens. Ceci est un signal encourageant.

Chapeau bas à la Quadrature qui s’est beaucoup investie dans l’action de sensibilisation des eurodéputés.

Publié le

« Allo ?… Brice ? Y’a de la friture ! … ah ben on a été coupés »

brice de loppsi
LOPPSI : ça va saigner !

Vous vous demandez peut être pourquoi je ne cause que très rarement de la LOPPSI ici ? C’est tout simplement parce que j’en cause un peu plus par là. Et aujourd’hui c’était le grand retour de la LOPSSI devant le Sénat, en session extraordinaire s’il vous plait.

Brice Hortefeux en a profité, comme ça, dés le premier jour, alors que personne ne lui avait encore rien fait, pour plaider sans réserve en faveur d’un blocage des sites web sans l’intervention d’un juge. Et ceci a le don de m’agacer au plus haut point, car on sait depuis longtemps que les techniques de blocage en plus d’être inefficaces entrainent un important risque de sur-blocage. Et quand on lui demande comment contester un blocage si ce dernier fait 300 victimes en plus du domaine ciblé ?… On obtient une réponse pleine de lucidité et de bon sens bien politique d’une personne pour qui taper un email est un travail de secrétaire :  « A posteriori ! ».

Une atteinte à vos libertés individuelles ça va, c’est quand il y en a plusieurs qu’on a des problèmes

Comprenez que si votre Magento qui cartonne à mort est sur le même serveur mutualisé OVH ou 1&1 que le site de Jean-Kevin qui s’essaye à la fabrication de détonateurs sur son blog, le ministère de la police, en ordonnant, le filtrage de l’adresse IP du serveur qui héberge Jean-Kevin, rendra votre gagne pain inaccessible. Et vous pourrez vous plaindre par courrier recommandé à une Haute Autorité de circonstance en expliquant que ce sur-blocage a ruiné votre entreprise… de toutes façons, tant qu’il n’y aura pas eu de martyres, ça ne rentrera pas dans le crâne…

J’en viens presque à espérer que la LOPPSI passe dans sa version la plus hardcore pour assister à la boucherie de la mise en application.

Publié le

La Deep Packet Inspection en coeur de réseau

alcatel dpiDébut mai 2010, je vous expliquais sur ce blog que la Deep Packet Inspection était bien dans les bacs. Le terme de « quasi neutralité » en conclusion gouvernementale qui avait pour l’occasion savamment instrumentalisé cette vénérable institution qu’est l’ARCEP, laissait peu de doutes sur la question. Plus tard, au mois de juin, quelques recherches m’avaient amené à vous parler de techniques plus pernicieuses encore, découlant du DPI, mais qui ont le bons goûts de sembler moins intrusives que de l’analyse de paquets en profondeur, basée sur des méthodes statistiques : le stochastic packet inspection. Selon ce que j’ai pu comprendre des papiers de recherche sur lesquels j’étais tombé,  le stochastic présentait un défaut, il fallait multiplier les points de sondes pour obtenir un ratio d’acuité élevé. Mais il avait aussi un gros avantage sur la DPI, pas besoin d’analyser les paquets en profondeur et donc de violer le secret des correspondances pour appliquer des règles de routage ou de drop des paquets.

Plus récemment encore je vous parlais d’Alcatel, un acteur majeur dans les équipements réseaux professionnels, dans un billet qui faisait suite à la diffusion du rapport gouvernemental sur la neutralité du Net, que l’entreprise, comme le rapport, re-qualifiaient en un risible « Internet ouvert »… la preuve en image. La manipulation était grossière, certes, et on sentait bien la griffe d’Alcatel dans ce rapport, tant dans la terminologie, les prévisions apocalyptiques « on va tous mourir, le Net est tout saturé« , que dans les conclusions qui invitaient à un libre accès aux contenus « licites ». Seul hic, pour reconnaitre un bit légal d’un bit illégal, quoi qu’on nous raconte, il faut bien placer une forme d’intelligence sur le réseau qui jouera le rôle du douanier… en clair de la deep packet inspection.

Stochastic packet inspection : le filtrage aux extrémités… cher mais peu intrusif

Multiplier les sondes sur les routes du trafic d’un internaute implique d’importants investissements (ou d’inclure des dispositifs puissants et onéreux dans les box, ce qui est cher, mais pas impossible, et ceci pourrait dans un futur proche devenir rentable avec des FPGA ).

Deep Packet Inspection : la surveillance de vos communications au coeur du réseau

Nous allons nous replonger dans l’univers fantastique d’Alcatel Lucent pour découvrir un équipement qui risque de vous donner froid dans le dos. J’ai à plusieurs reprises évoqué des modules directement installés sur les DSLAM des opérateurs, à ce moment j’étais à mille lieues de penser que des routeurs d’agrégation de services, placés en coeur de réseau, au plus proche des terminaux ou de bordure, proche des backbones, pourraient avoir assez de puissance de calcul pour faire de la DPI sur un lien terabit. Bon je commence à parler chinois, mais on va continuer un peu en regardant ce qu’il y a sous le capot de ces routeurs de services comme le 7705, capable de gérer des flux IP, mais également GSM, 2G, 3G et LTE. Alcatel devrait même prochainement annoncer le lancement d’une carte d’extension que l’on qualifiera pudiquement de carte « de traitement de paquets programmable » pour le 7705 embarquant un processeur, programmé par une société tierce pour son compte (une première pour l’équipementier réseau). En fait un monstre qui embarquera du FPGA pour offrir une puissance de traitement et surtout d’analyse de paquets colossale. Pour faire simple, le routeur forwarderait les paquets à la carte d’extension en question avant ou après une décision de routage… là on commence à rentrer dans le domaine de la magie noire.

Les communiqués, ou la documentation grand public d’Alcatel ne parlent pas ouvertement de DPI (plutôt de QoS). Dans d’autres documents à destinations de personnes plus avisées, les spécifications de la bête laissent à penser que comme pour d’autres modèles de la marque (comme la famille 7750 qui gère déjà du DPI à raison de  100 Gb/s par puce… et il y a jusqu’4 puces en fonction des configuration sur ces modèles), ces équipements sont tout à fait DPI ready… et sur de gros réseaux. Les cartes d’extension de ce genre de routeur de service, au format MDA (Media-Dependant Adapter) apportent également une intelligence en plus de celle du routeur, elles traitent des protocoles physiques, puis les encapsulent dans du MPLS (MultiProtocol Label Switching) et présentent ainsi le gros avantage d’être déployables au coeur de gros réseaux. Et c’est là que la magie du DPI s’opère techniquement : ce sont les IOM, sur lesquelles on trouve 2 MDA, qui servent à l’intelligence du routeur, elles sont connectées au routing complex et la puce « FP2 » d’Alcatel s’intercale ici, et c’est à ce niveau que la deep packet inspection s’opère.

Voilà je vous ai assez mis l’eau à la bouche, retenez en simplement qu’Alcatel sait faire de la DPI au minimum, à 100 Gb/s sur des configurations très scalables… et ça date de 2008. Si comme moi vous aimez les petits dessins, c’est par ici que ça se passe.

Revenons à des choses un peu plus digestes

Avec de tels équipements, dotés d’aussi puissantes capacités de traitement, on se doute bien que les premiers clients pour ces gros jouets, ce sont les gouvernements. Alcatel a bien envie de pousser quelques uns de ces routeurs de services pour aider le gouvernement ou n’importe quelle  « haute autorité administrative » à vérifier si vous accédez à un contenu LEGAL sur un Net qui n’est pas neutre mais OUVERT… bref, chez Alcatel on est sympas et toujours prêts à rendre service, surtout aux fournisseurs d’accès à qui l’entreprise promet de grosses économies en … filtrant des services ! On peut tourner ça dans tous les sens, on est aux antipodes de la neutralité du Net, on ne fait plus du simple QoS pour réduire la latence sur de la VOIP, mais bien de la surveillance.

Ainsi les 7705 font déjà le bonheur du gouvernement américain… et il est fort probable que certains fournisseurs d’accès en possèdent quelques uns, plus inquiétant, Alcatel en vendrait en ce moment environ 10 000 par trimestre ! Concernant les 7750, on en dénombrait plus de 20 000 en 2009. A ce rythme, vous comprendrez aisément qu’il ne manque vraiment plus grand chose pour mettre le Net sous surveillance.