La surveillance généralisée du Net s’accélère… OH ! BAMM ! AAAAH !!

OH !

Il y a quelques jours, on parlait ici du « killswitch » qui permettrait au président américain de couper des AS entiers … mettre dans le noir des bouts entiers d’Internet. Le cauchemar est en train de devenir une réalité puisque le Sénat américain vient de l’adopter. Ce fait, d’apparence anodin, vient de créer un précédent qui ne manquera pas de passer les frontères, vous étiez prévenus.

Comme si cela ne suffisait pas, la surveillance du Net est sur le point de s’immiscer au coeur des réseaux des fournisseurs d’accès, le DPI ou Deep Inspection Packet n’ayant pas bonne presse, il subira le même sort que la vidéo-surveillance que l’on a rebaptisé « vidéo-protection »… on vous dit que c’est pour vous P.R.O.T.E.G.E.R ! On pourra imaginer un nom bien « sécurisant » au DPI, genre « Protection de flux informationnels »… on en est plus à ça près. Vous pensez qu’en chiffrant votre trafic vous serez épargné ? Oui et non … SSL, Newsoft en cause fort bien ici, n’est pas infaillible. Le modèle de confiance est déjà sérieusement entamé. De plus, les technologies DPI évoluent très vite en ce moment et le DPI sur SSL semble être une réalité. Mieux encore, sachez qu’il existe des entreprises dont on entend pas du tout parler, comme Kalray qui travaillent sur des choses assez surprenantes comme le MPPA… vous voyez qu’on est vachement bons en France… on est aussi vachement discrets.

Pendant ce temps, les cybercriminels se fendent la pêche

BAMM !

« Give a monkey a brain and he’ll swear he’s the center of the universe »

Ce qui me dérange ? C’est que nous sommes en train de donner les moyens techniques aux politiques de pratiquer la censure du Net, elle deviendra donc la règle… Au début on filtrera les pédophiles, puis les sites de jeux en ligne, puis après les contenus copyrightés, et on finira inéluctablement par le filtrage politique (comme Mitterrand en son temps pratiquait les écoutes téléphoniques, les écoutes de connexions deviendront un sport gouvernemental underground…) oui comme en Chine, et ça ne semble pas leur faire peur.

Peu importe si dans d’autres pays pas si lointains les prestataires presentis ont gentiment été écartés pour d’évidentes raisons d’atteintes à la vie privée (on aimerait bien un avis de l’Union Européenne sur le DPI d’ailleurs avant que les FAI ne trouvent le moyen de le proposer en OPT-IN en France … comme un cheval de Troie…) ou quelques déboires avec la justice… des batailles de brevets, trois fois rien. Pour ceux qui ont loupé un épisode le projet RIALTO est une émanation de Kindsight, qui est lui même une émanation de Alcatel Lucent.

AAAAAH !

Allez, on passe aux « presque bonnes nouvelles »

ZyXEL qui va pouvoir mettre à jour sa plaquette commerciale puisque les IP des entreprises n’entreront pas dans la liste des « déconnectables » par la HADOPI, comme l’explique GenerationNT entre deux projections ridicules de Pascal 2.0 : « TMG écartera du flashage les adresses IP des entreprises… Quant aux IP à l’origine de nombreux téléchargements illégaux ( un millier ), ce sera directement l’action en justice, sans e-mail d’avertissement. »

Il y a une autre bonne nouvelle, Christine Albanel a un an de plus, nous lui souhaitons donc un joyeux anniversaire que PCInpact nous propose de féter en video. Mais il y a aussi une mauvaise nouvelle, elle pourrait prendre sa retraite plus tard

Mon grand père disait …

« Chez nous, il y a trois problèmes : le feu qui dévaste le maquis, les sangliers qui ravagent les cultures, et la politique qui s’occupe de tout le reste.

Le Deep Packet Inspection bientôt sur abonnement chez Orange

Bon vous allez dire que je suis paranoïaque tout ça … Mais bon … Voilà PCIncpact nous alerte que le service marketing d’Orange s’apprête à proposer une offre payante de DPI (en tout cas vu d’ici ça y ressemble quand même pas mal)… ! Même pas peur !

Pour que vos packets soient analysés (pour votre sécurité bien sur…), et accessoirement servent à vous balancer de la pub (vocation première du Deep Packet Inspection), il vous faudra débourser 3,95 euros par mois. Si vous consentez à vous faire bombarder de pub, vous aurez le droit de vous faire analyser vos paquets gratuitement… trop sympa Orange ! Bon comme en interne c’est un peu tendu, on va sous-traiter ça à du vrai pro du DPI, en plus ça sera surement plus discret … Hop, gogogadgeto Kindsight.

Nuançons : Kindsight a l’air d’aspect très clean, très respectueux de votre vie privée, et dit ne collecter aucune donnée. On peut se désabonner du service quand on le souhaite. On peut y croire … ou pas. Moi j’ai bien envie d’y croire, mais c’est plus loin que ça se gâte.

Côté Orange, on reprend la bonne vieille recette : on s’attaque aux plus faibles, ceux qui n’y comprennent rien et qui pensent que notre Internet est tout pourri, en leur expliquant que leur sécurité est en danger à cause des vilains pirates du Net et on en profite pour leur refourguer un dispositif destiné à vous fliquer comme le souligne PCInpact citant une jolie formule bien marketing très caractéristique :

« des cybercriminels arrivent à pirater les ordinateurs personnels en désactivant les logiciels antivirus. Ils peuvent alors usurper votre identité. Bien sûr les antivirus sont indispensables, mais il vous faut une protection supplémentaire. Les cybercriminels ne peuvent désactiver la protection KindSight car elle est intégrée au réseau».

Parano moi ? … et ça c’est du poulet ? KindSight est clairement identifiée comme une entreprise spécialiste du Deep Packet Inspection

Alors à quoi ça sert ce truc ?

Déjà ça évite de placer un logiciel chez les clients que des gens trop curieux pourraient reverser, on place donc de la pseudo intelligence de flicage directement sur le réseau d’Orange. Le système est aussi capable d’envoyer des SMS et pourquoi pas des notifications rue de Valois.

Mais qui sont ces gens ?

Quand on regarde un peu l’équipe de KindSight, on trouve pas mal des gens d’Alcatel Lucent (vous savez les gens qui fabriquent des DSLAM) … oh ben tien .. le module HADOPI dont je vous parlais .. directement sur les DSLAM… c’est pas ça ?

Alors clean ou pas ?

Et bien Kindsight a beau expliquer qu’ils sont super respectueux de la privacy, mais quand on lit bien ce truc … on tombe par exemple sur ça :

« Le service Kindsight n’analyse pas, à des fins publicitaires, tout le trafic lié aux sites que Kindsight classe comme sensibles, comme les sites liés à la pornographie, la sexualité, la santé, la politique, la haine, la violence, la drogue, ou la criminalité. Ce trafic est, cependant, analysé dans le cadre de la détection d’attaques et d’autres activités malveillantes, à condition que l’abonné ai souscrit au service. « 

Comprenez : « on analyse pas pour envoyer de la pub, mais pour vous protéger » .. par contre avec le deal de Orange .. on s’en servira aussi pour de la pub… Du coup, ça serait sympa de nous expliquer comment on fait pour envoyer de la pub ciblée à un internaute sans collecter de données… un truc m’échappe là.

Orange vient-il d’inventer la première offre payante de Deep Packet Inspection ?

Vous ne me croyez toujours pas … ?

Et si je vous dit ISP DPI SNOOPING TECHNOLOGY dont Kindsight et son projet RIALTO qui ne semblent pas y être étranger ?

Ça ressemble à s’y méprendre à ça.

…. FEAR …

Merci Alcatel Lucent

**** EDIT ****

Le DPI chez Orange on s’y intéresse depuis 2007 , avec Shenick Diversif Eye 8400 et attention, niveau performances, ça faisait déjà peur à l’époque avec :

  • 16 millions de flux simultanés
  • 500 00 adresses ip traitées
  • 50 000 nouveaux flux à la seconde

« A good challenge for DPI Testing »


Ensuite on trouve aussi ceci … et c’est beaucoup plus récent. On y apprend que Orange s’est fait un nouveau copain : FusionWorks et son manager Openet, et là je lis bien en toutes lettres « Deep Packet Inspection », ça commence à faire beaucoup de coincidences non ?

« Openet’s FusionWorks Policy Manager product will be integrated with the Deep Packet Inspection solution from Openet partner Cisco Systems. Orange France selected Cisco’s Content Services Gateway (CSG) in conjunction with its purchase of Policy Manager from Openet. The integrated network control and monetization solution will enable Orange France to control its network resources using real time applications of complex rules based on subscriber, service or usage context. »


Il semblerait qu’Orange Mobile connaisse très bien cette technologie. D’ailleurs, je serais curieux de savoir si Orange pratique en France le DPI sur les SMS (la question est également valable pour SFR, vu que Vodafone semble aussi pratiquer). Etrangement, le forum où ça en causait dans la communauté Orange rame … beaucoup …

Si vous aussi le DPI vous intéresse, sachez que pour la modique somme de 5000$ vous pouvez trouver un Shenick diversifEye 8400 IP Tester sur EBAY !!

Et tant qu’à verser dans la paranoia … allons voir aussi si d’autres FAI ne se sont pas penchés sur ce genre de solutions … le menu semble appétissant :

DART Benefits

  • Accurate application identification
  • Granular subscriber, application, and topology visibility
  • Enhanced QoS policy enforcement


HADOPI : Le Deep Packet Inspection est bien au menu

L’octet sera légal ou ne sera pas !</DPI inside>

Comme je vous le disais, j’en ai pas dormi. Tout ce passe comme nous l’avions imaginé dans le pire des scénarios imaginables. Il faut d’abord bien écouter ce que dit ce monsieur, puis vous souvenir de cette histoire de « quasi neutralité », ou encore de NKM qui nous explique que la Neutralité c’est accéder à tous les contenus « légaux » transformant avec sa baguette magique les backbones en cyber douaniers capables de reconnaitre des octets contrefaits. Il faut dire qu’on l’avait senti venir de loin le Deep Packet Inspection !

La petite soirée de lancement de la HADOPI a été riche et Marc Rees de PCInpact, présent sur les lieux, a enregistré des perles ! J’ai eu la chance de l’avoir au téléphone dés son retour et c’est la voix emprunte de consternation qu’il m’a révélé que la HADOPI planifiait bien l’insoutenable en confiant une mission à un anti Net Neutrality convaincu, Michel Riguidel, celle de spécifier techniquement le mouchard HADOPI.

Chers internautes, la riposte graduée est bien une étape pour instaurer le filtrage DPI. Je soupçonne aujourd’hui fortement le gouvernement d’avoir instrumentalisé l’ARCEP d’une manière assez abjecte : « vous avez vu comment on est forts en démocratie et en écoute ? on vous a servi des supers spécialistes » … et hop on nous sort une « quasi neutralité » dans laquelle le téléchargement illégal devient prétexte à filtrer Internet en utilisant des outils dont on est assuré que d’une chose, c’est qu’ils ne sont pas maîtrisés.

Mais il y a un petit hic … c’est que le DPI, ça n’est possible que sur les infrastructures des fournisseurs d’accès, à des endroits bien stratégiques du réseau. La HADOPI dit entretenir de bonnes relations avec les fournisseurs d’accès et que les expérimentations de filtrage avancent. C’est amusant, car ayant travaillé pour un FAI et entretenant encore quelques relations, j’entend tout le contraire et j’ai plus tendance à croire mes sources que la HADOPI. Et mes sources disent que le DPI ils n’en veulent pas, ils n’en poseront pas (sauf obligation légale), et surtout ils ne le financeront pas ! On sait aussi que pas un seul centime n’a encore été déboursé aux FAI pour supporter le coût des délires orwelliens des cyber pieds nickelés.

HADOPI devrait donc en toute logique être étendue à d’autres protocoles que le Peer to Peer, en tous cas la HADOPI souhaite s’équiper en ce sens. En tout cas en France, qu’on se le dise, la Net Neutrality, c’est finit !

Les mails partiront bien sans que le mouchard HADOPI ne soit labellisé

Et oui ! Notre madame Michu devra se taper une formation accélérée d’administrateur système et réseaux, la HADOPI laissera à la discrétion du juge toute contestation, si tant est que notre madame Michu ai les moyens techniques et surtout financiers de se défendre, elle est bien présumée coupable ! La HADOPI souhaite passer en force … un très mauvais calcul face aux internautes qui ne manqueront pas de se rappeler à son bon souvenir. Le décret d’application concernant le délit de négligence caractérisée est évidemment toujours très attendu et ne devrait plus tarder. La CNIL émettra un avis mais rappelons que ce dernier n’est que consultatif.

Mais ne nous pressons pas car le mouchard HADOPI nous promet aussi de grands moments, on le soupçonne toujours aussi fortement de s’asseoir sur un modèle client / serveur ( j’ai beau chercher il n’y a que comme ça qu’il peut fonctionner). Le serveur communiquerait la liste des fichiers (les hashing) et le mouchard irait scanner les disques durs. Heureusement, pour le mettre en prison dans une machine virtuelle, TMG vous propose de télécharger VMWare sur l’un de ses serveurs.

La HADOPI a du sentir le vent venir, du coup, le mouchard installé sur l’ordinateur ne suffira plus à disculper un internaute, il ne devient qu’un élement parmi d’autres.

Autre information importante, les critères qui détermineront si le dossier d’un internaute incriminé est transmit ou non au parquet reste un mystère. Après le délit de sale gueule, nous orientons nous vers un délit de sale IP ?

La pédagogie, avec HADOPI, c’est terminé, il ne reste plus que le volet répressif.

Mireille Imbert-Quaretta, membre de la commission s’en explique d’ailleurs le plus tranquillement du monde : «Hadopi ne vise pas les pirates, mais la négligence caractérisée, si l’internaute a fait en sorte que son ordinateur ne soit pas assez protégé face aux risques de piratage».

Un logo plus respectueux du droit d’auteur #lol

Plus anecdotique, la HADOPI a abandonné son logo ou elle utilisait une typographie dont elle n’avait pas les droit. C’est plus austère, elle perd son gros nez rouge.

Le temps pour moi de digérer les articles et d’écouter attentivement les enregistrements réalisés par PCInpact, et c’est promis, on a pas finit d’en causer.

Voici les articles promis de PCInpact :

Merci Marc pour le boulot abattu cette nuit.

Filtrage : ne nous faisons pas plus cons que les e-gnares

net neutrality nowDepuis quelques jours, le filtrage par DPI (Deep Paquet Inspection) est très en vogue dans les blogs de France et de Navarre. Il convient cependant d’en causer avec des pincettes pour plusieurs raisons.

Premier point : on y est pas encore ! Si Nicolas Sarkozy appelle « sans délai » à des expérimentations de filtrage, peut être n’est-ce après tout que pour parfaire sa culture personnelle sur un sujet qu’il maîtrise comme nous le savons tous parfaitement.

Second point : on ne parle pas de filtrer le marc de café, mais des communications électroniques. Contrairement à ce qu’à pu nous raconter le député Myard dans ses errements aux relents totalitaires, il ne suffit pas d’avoir de « très gros ordinateurs ». S’il suffisait d’avoir de très gros ordinateurs … les barbus n’essaieraient pas de faire péter leurs godasses dans les avions.

Troisième point : filtrer, c’est bien mais on filtre quoi ? Là, croyez moi, on va rigoler. J’étais hier à la présentation de Tweest, celle où NKM, pressée par les questions sur lesquelles tout le Net attend des réponses depuis un an, a finalement lâché le morceau. Elle s’est déclarée en faveur du filtrage des sites pédo-pornographiques, et UNIQUEMENT de ces sites, suite dénonciation sur le portail gouvernemental dédié à cet effet … Ce côté « bisounours hémiplégique » qui hémiplégie de l’autre hémisphère que Benjamin Bayart a quelque chose de sympathique, de naif et de touchant. Attention séquence émotion, voici le workflow d’un filtrage pour NKM.

  • Mr Dupont reçoit un email lui indiquant qu’il a gagné 100 millions de dollars à la loterie Microsoft, il n’a jamais joué à ça, d’ailleurs il ne savait pas que Microsoft donnait dans le PMU … mais c’est pas grave … il clique … et là c’est le drame.
  • Il s’empresse d’aller signaler, comme 15 000 personnes l’ont fait cette année, ce site web aux autorités compétentes, via le site web  dédié.
  • Loic Le Meur est alerté, et paff il passe un coup de fil à Google
  • .. clap clap finit les pédo nazis, Mr Dupont est un héro.

… je ne vais pas vous en dire plus pour le moment, mais croyez moi, on va en reparler dans peu de temps …

Écartons nous un instant des considérations techniques et revenons à ce qui est dit, maintenant, par notre président qui appelle au filtrage « sans délai ». Dans ses vœux au ministère de la Culture, après une chouette opération d’enfumage avec sa taxe Google, Nicolas Sarkozy a quand même réussit l’exploit de rentrer en contradiction avec NKM pourtant docile sur la question … Nicolas lui les pédophiles c’est une chose, mais il faut aussi filtrer les sites qui permettent l’échange de fichier … les contenus « pirates »… et là du coup je m’interroge …

  • Qu’est ce qu’un site qui permet l’échange de fichiers ? … réponse conne à la question con … tous.
  • Le workflow reposant sur la dénonciation s’appliquera t-il aussi à ces sites ?
  • Quel est le rôle du juge ? On se fait un p’tit coup d’ordonnance pénales histoire de ne pas laisser moisir le corpus législatif d’HADOPI ?
  • Est ce que les blogs de politiques qui violent la GPL et les Creative Commons en virant la mention du footer des auteurs sur les thèmes graphiques qu’ils utilisent seront eux aussi filtrés sur simple dénonciation ? (croyez moi y’en a un paquet).

… Ben ouai, le « sans délai » c’est bien mais faut pas oublier son neurone en route.

Rappelons nous enfin que ces vociférations du président ne sont pas sans rapport avec la démagogie ambiante qui précède chaque élection, là encore, nous sommes face à un phénomène d’une affligeante banalité… faut bien rentrer dans le lard de quelque chose quand on a rien à dire, et pour ça, les pirates, c’est un bon client … pour les présidentielles, vous allez voir qu’on en reviendra à nos bons vieux hackers chinois, une valeur sûre !

Ensuite … et seulement après s’être posé ces quelques questions, on peut décider (ou pas) de théoriser sur l’application éventuelle d’un filtrage qui portera la griffe de notre exception culturelle : il sera hybride, coûteux et inefficace.

« Dis papa c’est quoi le DPI ? »

– Ça fiston, c’est un truc super cool qui permet à papa de faire la traque aux virus pour protégéer les neuneux qui cliquent partout comme Monsieur Dupont. C’est un bidule uber puissant qui est capable de reconnaitre un choux d’une carotte dans un caddie de supermarché et de ne placer que les carottes dans le panier du lapin.

« Mais comment il fait le lapin s’il a envie de manger un choux ? »

– Ben il ne décide pas, et puis les choux c’est pas bon pour le lapin, ça lui donne des gaz.

« Et s’il veut manger un navet il fait comment ? »

– Là encore il ne décide pas, son docteur, le bienveillant Nicolas décide pour lui et papa applique l’ordonnance du docteur.

« C’est pas super sympa pour le lapin qui aime le chocolat … »

– Mais si c’est super sympa, parce qu’à chaque fois qu’il revient au supermarché, le lapin est maintenant automatiquement guidé au rayon des carottes, on peut lui envoyer des tickets de promotions sur tous les modèles de carottes qu’on a en supermarché, c’est ça le DPI, un outil qui permet de cibler les carottes qui conviendront le mieux au lapin et donc de faire en sorte qu’il passe le moins de temps à chercher dans les rayons du supermarché… c’est pour son bien !

« Et que se passe t-il si le lapin change de magasin ? »

– Ah … ben là le DPI de papa il marche plus, pour que ça marche il faut que le lapin vienne dans le même magasin, avec le même caddie, avec la même voiture, prenne la même route, qu’il aille tout le temps dans le même rayon et paye à la même caisse … sinon ça fout en l’air tous les supers algos de papa …

« Ben c’est nul ton truc si tu peux pas empêcher le lapin de changer de supermarché »

– c’est pour ça que papa a un autre jouet … il s’appelle BGP… avec ça papa il peut empêcher l’accès à tous les autres supermarchés. DPI n’est pas fait pour interdire au lapin d’aller chez les concurrents, par contre avec BGP je peux détruire l’autoroute qui mène à la ville voisine où se trouvent les autres supermarchés.

« Et ça coute cher tes jouets papa ? »

– oui très, et en plus ça marche pas toujours

« Ah bon ? »

– il arrive des fois que le lapin change de voiture, ou pire … qu’il change de route ! … et dans ce cas là, impossible de le reconnaitre, c’est pour ça que le mieux, ça reste quand même de détruire les routes et de faire un dôme au dessus de notre ville pour être sur que notre lapin n’aille pas à la concurrence.

« Mais comment ils font tout ceux qui ne sont pas lapins et qui mangent pas de carottes »

– Là tu fais chier avec tes questions !