Deep Packet Inspection au Canada

privacyMichael Geist est professeur de droit à l’Universite d’Ottawa, c’est un fervent défenseur des libertés numériques, plaidant entre autres pour une réforme du copyright à l’heure d’Internet. Sur son blog, le professeur nous apprenait la semaine dernière que le Canada s’apprêtait à voter une loi terriblement dangereuse, c’est un lecteur de Numerama qui l’a relevé, elle se décompose en 3 volets :

  • Le premier oblige les FAI à transmettre les informations  personnelles d’abonnés à l’autorité judiciaire en se passant de l’avis d’un juge. La loi actuelle les y autorise, sans pour autant les y contraindre.
  • Le second incitant tous les fournisseurs d’accès à modifier leur infrastructure réseau afin de rendre possibles des écoutes légales ciblées. Ceci signerait l’arrêt de mort des plus petits fournisseurs d’accès canadiens. Les exigences semblent particulièrement précises et très contraignantes : il s’agit notamment de pouvoir intercepter les communications, d’isoler les communications d’un individu en particulier, et être en mesure de réaliser simultanément de  multiples interceptions. Les employés des FAI impliqués dans les interceptions de données devront en outre montrer patte blanche et pourront être soumis à des vérifications de leurs antécédents judiciaires. Pour mettre en place ce dispositif, un délai de 3 ans est donné aux fournisseurs d’accès, mais pour les plus petits d’entre eux qui n’auront pas les moyens de les mettre en place, ces dispositions n’en font que peu de cas.
  • Le troisième et dernier volet confère de nouveaux pouvoirs à l’autorité judiciaire, lui permettant notamment d’accéder en temps réel aux données interceptées, ce qui suppose une interconnexion directe entre les FAI et l’autorité judiciaire. Ces données concernent la création, la transmission, la réception, le type (protocole), la route, l’heure, la durée, l’origine et la destination de la communication… la totale. Le délai de rétention de ces informations serait fixé à 90 jours. Enfin les fournisseurs d’accès sont évidement tenus de ne pas communiquer aux abonnés d’information les alertant d’une écoute.

Selon Michael Geist, le coût de ces mesures est très important, tant financièrement qu’en terme d’impact sur la vie privée. On parle bien ici de surveillance par des sociétés privées (des fournisseurs d’accès Internet), sans mandat du juge.

Qu’est ce qu’Internet a à perdre du remaniement ministériel ?

remaniement ministériel
Remaniement ministériel in progress

Selon toute vraissemblance, nous devrions connaître dans les prochaines heures, ce dimanche, la composition du nouveau gouvernement. Le site officiel affiche d’ailleurs en ce moment une page de maintenance avec un message annonçant la démission du gouvernement.

Démission du Gouvernement

Le samedi 13 novembre 2010
En application de l’article 8 de la Constitution, M. François Fillon a présenté au président de la République la démission du gouvernement.
Le président de la République a accepté cette démission et a ainsi mis fin aux fonctions de M. François Fillon.
Source : communiqué de l’Elysée

Ce remaniement pourrait bien changer pas mal de choses pour notre “Internet français”… et pas qu’en bien. Il y a un sérieux risque que le Secrétariat d’État à l’Économie Numérique passe dans les mains de son ministère de tutelle, celui des finances et de l’industrie.

En passant sous la responsabilité directe du ministère des finances et de l’industrie, à cette période charnière où la transposition dans le droit français du paquet Télécom (par décret) pourrait bien sceller la petite mort de la neutralité du Net, on assiste à l’abandon d’un trésor culturel aux mains des lobbys industriels,  qui ont tous un intérêt à venir à bout des fondemmentaux qui ont permis à l’Internet de devenir ce qu’il est aujourd’hui.

Neutralité, ouverture et partage, 3 notions fondatrices, complètement antinomiques avec une gouvernance de Bercy. En clair, ça sent salement l’erreur de casting. Non pas que Christian Estrosi qui devrait être reconduit à son ministère soit incompétent en la matière mais j’ai un sérieux doute sur la capacité de Bercy à prendre l’Internet pour autre chose qu’un temple de la consommation qu’il faut impérativement réguler afin que les industriels le façonnent à l’image de ce qu’ils ont à vendre. Ce sentiment est évidemment renforcé par les conclusions de la consultation sur la neutralité où Bercy, tirant les ficelles, a accouché d’une copie conforme des positions d’Orange et SFR, deux fournisseurs d’accès qui réfutent jusqu’à la notion même de neutralité en plaidant pour un “Internet ouvert”, et plsu discrètement, de l’une des entreprises qui a économiquent intérêt au filtrage du Net, Alcatel… un pléonasme s’inscrivant dans une stratégie d’enfumage qui masque mal que ces deux FAI sont avant tout des éditeurs de contenus. Ce mélange des genre a bien évidemment la bénédiction de Bercy, et là dessus croyez moi sur parole, le Net a tout à y perdre.

Abandonner Internet à des gens qui ont tout intérêt à le transformer en minitel, voilà ce que nous risquons.

Quand on connait le zèle de Christian Estrosi sur les questions sécuritaires et répressives tout ça est particulièrement préoccupant, rappellons que le ministre par ailleurs maire de Nice a récemment inventé la “vidéoprune”, un usage détourné de la vidéo “protection” qui montre bien l’hypocrisie du terme et surtout la dangerosité de voir une justice automatisée se mettre en place. Vous n’avez surement pas manqué de noter que l’argument roi pour toute atteinte à la neutralité des réseaux (ou à la liberté en général), c’est la sécurité. Pas la sécurité comme je peux l’entendre moi ou vous les geeks qui lisez ces lignes, mais la sécurité autoritaire et répressive visant directement à amputer le Net de fonctions, de contenus, de services, de protocoles…

Autre sujet bouillant qui passerait sous la responsabilité de Bercy, la loi d’orientation et de programmation pour la sécurité intérieure (ou LOPPSI 2) qui semble avoir été mise en standby en attente de ce remaniement. Là encore, si Christian Estrosi est maintenu, nul doute qu’il s’appliquera à faire passer les mesures les plus contestables (celles que l’on trouve dans l’article 4 du projet de loi) relatives au filtrage.

Internet mérite mieux que Bercy, Internet mérite son propre ministère, c’est là la seule manière de lui assurer des perspectives d’évolutions cohérentes.

Faut-il réguler la Neutralité du Net ?

neutrality

Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).

Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c”est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes “consensualisées à mort”, fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.

La discussion de fond maintenant

Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.

Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.

Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…

Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?

Alors on régule ?

Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler  :

  • Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
  • Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
  • Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.

Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :

  • l’infrastructure (les tuyaux)
  • et les services (le contenu).

Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.

Je vois ici 3 issues possibles :

  • On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
  • On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
  • On ne régule rien du tout et on laisse faire.

De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.

Un marché de la sécurité complexe

Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :

  • Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.
  • La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.

Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : “moyen de sécurisation de l’accès Internet“… et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre “accès Internet”. Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à “dépolluer” l’Internet ou policer les internautes.

La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage  que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .

L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.

La vaste escroquerie des services gérés.

Après des années années de “ranafout'” voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile

Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent  des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s'(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.

Un traitement de faveur pour le DPI ?

A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…

Conclusion

Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les “gros” opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.

Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.

/-) Un énorme merci au channel IRC de FDN

DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour “dépoluer” Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande “drop moi tous les paquets illégaux ?”…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme “illégal”. Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour “civiliser notre Internet“, des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

“SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected.”

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

La neutralité du Net au Sénat

Office de Minitellisation du Web Français
Office de Minitellisation du Web Français

Il se tenait hier une table ronde sur la neutralité du Net au Sénat. Le débat, qui pouvait  être suivi depuis le site du Sénat en Streaming, il était composé de 2 tables rondes :

  • une sur la neutralité des réseaux
  • une autre sur la neutralité des contenus

… ça laissait augurer des choses assez agaçantes relatives aux contenus, ça n’a pas manqué. Nous étions restés sur la consultation de l’ARCEP (voir les vidéos) où le secrétariat d’Etat à l’Economie Numérique concluait à une quasi neutralité et posait la question de la liberté d’accès aux contenus légaux. Un mot lourd de sens qui ouvre la boite de Pandorre, à savoir l’utilisation de technologies d’inspection de paquets en profondeur (Deep Packet Inspection) afin de faire de la reconnaissance de contenus pour “dépolluer Internet” comme certains aiment à le décrire.

La première table ronde sur la neutralité des contenus était comme à prévoir une franche rigolade. Jérémiades habituelles, le réseau est saturé, on va tous mourir, la création en premier… vous connaissez la suite, je me suis demandé à quel moment ils allaient demander la mise en place d’une vignette IPV4 pour dédommager l’industrie du disque du nombre d’iPod vendus dans le monde et qui ont tué les CD. Ce n’est qu’en conclusion de cette table ronde, que le mot de filtrage est lancé. Le terme à retenir, pas de nouveauté, c’est les contenus “légaux”.

La seconde table ronde, tout de suite plus sérieuse avec les représentants de l’INRIA ou de l’UFC Que Choisir, était tout de suite d’un tout autre tenant. Bernard Benhamou a fait quelques rappels assez bienvenus sur la nature du réseau Internet, pareil du côté de l’INRIA, et Edouard Barreiro de l’UFC Que Choisir a, comme on s’y attendait tenu un discours limpide sur les dangers du filtrage et les dangers d’un Internet à 2 vitesses, celui du riche et celui du pauvre, insistant lui même sur la fin (ironiquement?) sur la notion de contenus “légaux”.

Nathalie Kosciusko-Morizet est venue conclure et j’ai cru déceler dans ses conclusions quelque chose d’assez différent de ce qui en était sorti à l’ARCEP. Il semble que beaucoup de choses aient évoluées depuis le colloque de l’ARCEP et on nous a épargné le coup de l’Internet Quasi Neutre (et par définition, quasi pas neutre). NKM a par exemple fait remarquer fort justement que la thématique dissociant les contenus du réseau n’était peut-être pas une bonne approche et que si le réseau est neutre, alors on a même plus besoin de se demander si les contenus le sont. J’abonde personnellement en ce sens puisque déployer des technologies de reconnaissance de contenus c’est, par définition, rendre le réseau non neutre (en opposant une intelligence, restreint le routage des paquets, en y posant un critère qui n’impacte pas sur son propre bon fonctionnement mais sert des demandes de tiers).

Attention, ne nous enflammons pas, le filtrage reste au programme, les technologies de reconnaissance de contenus  sont toujours autant portées par les ayants-droit et avec le nouveau petit cadeau à 25 patates, on se dit que ça finance largement le déploiement du DPI en coeur de réseau, que dans un excès de cynisme, ayants-droit et fournisseurs d’accès Internet vendraient sur abonnement pour contourner les problèmes de viol de correspondance qui demeurent un sérieux obstacle à sa généralisation.

Si légiférer sur la question  de la neutralité du Net et sur les outils de reconnaissance de contenus par extension peut sembler séduisant pour Nathalie Kosciusko-Morizet qui l’a même proposé aux commissions., il me semble surtout vital de ne pas se voir mettre en place des technologies que l’on détournerai pour servir des intérêts privés. Nous avons surtout besoin d’acteurs forts.

Notre Internet est malade, ne l’achevez pas…

Il n'est pas trop tard

Bon, c’est pas la première fois que je peste sur les VPN qui pourrissent notre Internet. Mais à la lecture d’un commentaire sur le billet précédent, je viens de m’apercevoir que ce qui parait évident pour certaines personnes, est loin d’être acquis pour tout le monde. Je commence à peine à prendre la mesure des dégâts d’HADOPI sur notre Internet. Aujourd’hui je dois vous avouer que je suis particulièrement inquiet et énervé de voir des internautes qui se ruent sur ces solutions de _merde_ pour tenter de contourner une loi de _merde_… Résultat, c’est l’Internet qui trinque et l’Internet c’est vous tous.

Pour comprendre de quoi je parle, il faut certaines bases qui font autant défaut aux personnes qui ont porté HADOPI, qu’aux personnes crédules qui se ruent sur les VPN en pensant qu’ils résoudront tous leurs problèmes.

L’Internet est un réseau acentré et ouvert. Chaque machine reçoit et émet des données. Pour que ceci soit possible, elles ont besoin de se voir ces machines. Aujourd’hui elles se voient encore à peu près, où qu’elles se trouvent . Ce sont ces machines, situées en extrémités du réseau qui sont sensées apporter au réseau son l’intelligence. En masquant ces extrémités, en cherchant à disparaitre, vous amputez le réseau de son intelligence et vous laissez aux FAI comme marchands de minitel en haute définition, un boulevard pour qu’ils apportent leur intelligence à eux.

Oui je suis en rogne, car l’usage massif des VPN  ou des solutions d’anonymat pour le téléchargement, c’est la mort de l’Internet ouvert !

  • En adoptant les VPN pour télécharger vous êtes en train de transformer l’Internet en Minitel !
  • Vous êtes en train de laisser gagner les gens qui cherchent à vérouiller le Net !
  • Vous verrouillez le Net vous même !

Réveillez vous bordel !

En cherchant à disparaitre d’Internet vous tuez un bout de l’Internet, vous luttez contre le réseau… c’est complètement stupide !

Les solutions d’anonymat sont nécessaires pour l’exercice de libertés, par exemple pour des journalistes ou pour des opposants politiques de certains pays dont nous ne faisons pas encore partie. Les utiliser pour se cacher de son propre Etat à cause d’une loi aussi débile qu’HADOPI est une solution extrême, un pas de plus vers une escalade inacceptable pour les valeurs auxquelles nous sommes tous plus ou moins consciemment attachés. En cela, HADOPI est une loi terroriste, qui par effet non mesuré par ses géniteurs, est en train de TUER notre Internet.  Si le mal trouve ses origines dans les mesures d’un gouvernement qui n’a pas su mesurer le risque qu’il encourait en les prenant, ne lui donnez pas raison, par pitié, faites lui remarquer en vous exprimant mais pas en vous cachant.

Vous cacher c’est renoncer alors que vous êtes dans votre bon droit et c’est au moins aussi irresponsable que d’avoir voté HADOPI.

La Neutralité du Net et le Paquet Télécom transposés par ordonnance

Neutralité du réseaux

Numerama avait senti le coup venir, et c’est sur le site Euractiv que je suis tombé sur la confirmation de cette nouvelle pirouette législative et c’est la député Corine Erhel qui m’a mis la puce à l’oreille au détour d’un tweet. Le Paquet Télécom est un ensemble de directives européennes adoptées l’année dernière par le Parlement Européen et réformant la régulation des réseaux de communication et de services électroniques… en clair Internet et tous les trucs qu’il y a autour, même le Net quasi neutre, même l’Internet ouvert d’Alcatel, même l‘internet par Orange

Le Paquet Télécom recèle de nombreux loups, comme le principe de Neutralité du Net ou les sanctions qu’un Etat peut prendre à l’encontre d’internautes pour des délits sur le droit d’auteur et les droits voisins sur les réseaux de communication électroniques, comme vient nous le rappeler l’HADOPI. Sa transposition portant sur deux nouvelles directives devait passer en France par voies parlementaires.

Si vous pensiez que la Neutralité du Net, garante de l’innovation déjà mise à mal et de la non distorsion de la concurrence pouvaient à elles seules motiver des débats au Parlement français, vous vous fourrez le doigt dans l’oeil. Il faut impérativement éviter un débat national sur ces questions, non pas qu’il soit inintéressant… c’est juste qu’Internet commence sérieusement à pomper l’air du gouvernement. Tout ceci se fera donc sur ordonnance ministérielle, entre amis, loin des caméras, histoire que les internautes ne viennent pas une fois de plus mettre leur nez dans ce qui ne les regarde pas. Une ordonnance, en gros c’est une décision collégiale de gens qui sont par définition tous d’accord (des membres du gouvernement) et qui ne souffre aucun débat contradictoire.

Vous avez répondu aux consultations ? On vous a bien promené hein ?

Ce qu’il y a de bien avec les sujets auxquels les gens ne comprennent rien, c’est qu’ils ont une splendide faculté à se mettre d’accord entre eux. Donc, les Internets, la Neutralité …c’est bien trop technique tout ça, ce n’est pas le sénateur Masson qui ira me contredire :

Bon, transposer le Paquet Télécom par ordonnance, dans un sens, c’est peut-être un mal pour un bien allez vous me dire après avoir visionné la vidéo ci-dessus. J’ai presque envie de vous répondre qu’effectivement, si passage au Parlement il y avait eu, on risquait de se retrouver avec des pochettes surprises, comme une HADOPI 3 avec DPI généralisé et mouchard dans les box pour tout le monde.

Mais là où je m’interroge, c’est sur la nécessité de toutes ces consultations sur la Neutralité du Net, sur les abominables conclusions de Bercy très clairement dictées par les lobbystes d’Orange et d’Alcatel, sur le silence de Nathalie Kosciusko-Morizet… et hop, comme c’est désormais la tradition : passage en force.

On nous a promené de manière savante, bravo, bien joué. On va être sport, on va dire que nous ferons notre deuil de la Neutralité du Net en France puisqu’elle est maintenant dans les mains du ministère de l’Industrie , comme je vous l’avais prédit dans mes scénarios les plus alarmistes. Je ne vois pas pourquoi le secrétariat d’Etat à l’Economie Numérique que l’on attendait sur le RGI, la fibre optique avec notre superbe place de 12e européen (qui contraste avec les promesses du Plan Numerique 2012), HADOPI ou encore LOPPSI … commencerait à faire son travail maintenant après tout …

Seulement, quand on essaye d’enfoncer un iceberg au fond de l’océan, il ne faut pas s’étonner que ce dernier vous revienne dans la figure.

Alcatel Lucent : cet ami qui vous veut du bien

alcatel lucent dpiQuand on parle de DPI (Deep Packet Inspection), il y a quelques acteurs à côté desquels il est impossible de passer. Qosmos, Cisco Systems, et un autre un peu plus de chez nous : Alcatel Lucent. Gtom a posté en commentaire ici un lien vraiment édifiant sur l’une des vidéos de l’ARCEP qui m’était sortie de la tête. On retrouve dans le discours de Gabrielle Gauthey, représentante d’Alcatel Lucent, TOUS les éléments contestables du rapport gouvernemental sur la neutralité. Je vous invite donc à (re)visionner cette vidéo très attentivement.

Au menu dans le discours d’Alcatel et que l’on retrouve de manière abondante dans ce rapport gouvernemental, nous avons en vrac :

  • La notion de gestion de trafic ;
  • La notion de contenus licites ;
  • La remise en cause du haut débit flat rate ;
  • La “DPI tout à fait naturel”  ;
  • La notion d’Internet ouvert ;
  • et en trame de fond, le financement de ces équipements par la hausse des prix.

Tout ceci fait quand même un peu beaucoup pour être considéré comme une simple coincidence, de toute évidence, le lobbying d’Alcatel a porté ses fruits et le rapport gouvernemental reprend au pied de la lettre l’argumentaire d’Alcatel.

Alcatel Lucent est un équipementier dont le savoir faire et la qualité des produits n’est plus vraiment à prouver, il est l’un des leaders mondiaux sur les équipements xDSL (particulièrement les DSLAM) à destination des fournisseurs d’accès et produit entre autres les Livebox d’Orange. Le savoir faire de l’entreprise s’est donc assez naturellement développé niveau DPI et il offre même depuis 2008 des équipements terrabits proposant du DPI (c’est en gras dans le texte).

Alcatel Lucent porte aussi quelques autres entités, particulièrement une dont je vous avais parlé ici, Kindsight. Il est difficile de ne pas percevoir les liens étroits qui unissent Orange et Alcatel sur la DPI. Il est en revanche plus compliqué de décrypter les stratégies des acteurs de ce nouvel eldorado.

Quand tous les intérêts convergent vers une société de surveillance

Le marché de la surveillance est un business particulièrement juteux (à ce niveau on ne parle pas de sécurité mais bien de surveillance). La France y a développé des compétences qu’elle entend bien imposer un jour ou l’autre quand ce n’est pas déjà fait à des fournisseurs d’accès un peu partout dans le monde. Nul doute que la France entend devenir une vitrine technologique de la DPI pour mieux la vendre ailleurs, sur des marchés bien plus importants. Le Ministère des Finances et de l’Industrie joue donc parfaitement son rôle en appuyant les positions des grands groupes français. C’est affreux à dire mais je ne trouve rien de choquant dans cette démarche. Enfin je n’y trouverais rien de choquant si les intérêts de ces grands groupes n’étaient pas en parfaite contradiction avec l’intérêt commun et le respect des droits de chacun.

Enfin, on pourra également déplorer que les possibilités offertent par un Internet vraiment neutre à l’émergence de nouveaux acteurs et de nouveaux services aient été balayés d’un revers de main par l’approche de Bercy sur la question de la neutralité du Net. Enfin je reste convaincu que les intérêts économiques ne sont pas les seuls à avoir guidé la plume de Bercy dans ce rapport.

La neutralité du Net s’est jouée à Bercy

Il n’aura fallu finalement que très peu de temps pour nous permettre de comprendre qui tire réellement les ficelles. Dans le précédent billet, je m’interrogeais sur qui pouvait bien être l’auteur du rapport gouvernemental sur la neutralité du Net. Je viens d’avoir confirmation que les auditions se sont déroulées à Bercy au Ministère des finances et de l’industrie et j’y vois là un très mauvais présage. Si les conseillers de NKM ont bien participé aux auditions, ce n’étaient pas eux qui tenaient les rênes. Pour m’être entretenu avec deux d’entre eux, il me paraissait évident qu’ils ne pouvaient pas être les auteurs de ce rapport, ils sont techniquement trop compétents pour accoucher de ce genre de choses. Les auditions conduites à Bercy ont débouché au rapport que nous connaissons, tout indique aujourd’hui qu’il est l’oeuvre du Ministère des finances et de l’industrie

Un incompétence compréhensible mais pas pardonnable

Quand on souhaite faire passer des idées en force, le meilleur moyen d’y parvenir, c’est de choisir de bons soldats corvéables à merci et surtout totalement incompétents pour avoir une réflexion sur le sujet qu’on leur demande de traiter. On l’a vu avec HADOPI et Christine Albanel, venant parler de firewall et défendre des idées auxquelles elle ne comprenait manifestement pas grand chose, puisque ce n’était pas les siennes mais celles dictées par le lobby des moines copistes de DVD. Il faut croire que le secrétariat d’Etat à l’Economie Numérique était, lui, trop compétent pour conduire une réflexion sur la neutralité du Net, tout comme il l’était pour s’exprimer au sujet d’HADOPI. Cruelle ironie, le destin de notre Internet encore neutre à ce moment a donc été placé dans les mains du Ministère des finances et de l’Industrie. On comprend donc mieux les égarements et les inexactitudes dont le rapport est truffé.

Il y a sérieusement de quoi s’interroger sur le rôle de représentation que l’Elysée à souhaité donner au secrétariat d’État tout en lui ordonnant de ne jamais intervenir sur des sujets comme Loppsi, le RGI, la Hadopi, l’ARJEL … lui préférent des services moins compétents mais assurément plus malléables.

Des auditions orientées

Nous l’avons vu dans un billet précédent, l’empreinte d’Orange sur ce rapport est difficilement contestable. De toute évidence, Bercy aurait conduit les auditions de manière très orientée, en faveur de deux fournisseurs d’accès : Orange et SFR. Les deux FAI se rejoignent effectivement sur beaucoup de points, je ne vais pas tous vous les énoncer ici mais en vrac nous avons :

  • une convergence de rancoeur contre Free à qui SFR a déjà publiquement reproché d’avoir imposé un prix d’abonnement trop bas ;
  • la conviction qu’il est nécessaire d’avoir des offres différenciées ;
  • un accord sur le déploiement de la fibre optique (GPON et monofibre) … à priori, rien à voir avec le sujet qui nous intéresse ici, mais quand on y regarde de plus près…

Parmi les points abordés dans les auditions, la segmentation de l’offre portées par SFR et Orange est un principe qui est lui aussi adopté et préconisé dans le rapport. D’un point de vue personnel je ne suis pas spécialement d’accord car je flaire que ceci sera un prétexte supplémentaire à une nouvelle foire d’empoigne sur le déploiement de la fibre optique. A ce sujet, Orange prétendait avoir stoppé ses déploiements, la réalité est toute autre, l’opérateur historique pose des kilomètres de fibres et entend bien proposer son réseau en location aux autres opérateurs.

Le prix des abonnements et la spécificité française qui consiste à ne proposer qu’une seule offre et un prix aligné sur celui de Free qui historiquement n’a toujours eu qu’une seule offre haut débit (nous ne parlerons volontairement pas des zones non dégroupées où l’opérateur historique jouit d’une position dominante), est aussi l’un des facteurs qui ont pesé sur les négociations. Là encore l’arbitrage de Bercy est perceptible, le rapport indique à plusieurs reprises que les financements nécessitent une hausse des tarifs et donne ainsi sa bénédiction à SFR pour qui il devient crucial d’augmenter ses marges et une offre premium serait pour l’opérateur la solution.

Enfin quand une consultation portant sur la neutralité du Net débouche sur des préconisations ouvrant la porte à la deep packet inspection et qu’il préconise le filtrage et le blocage, on se doute bien qu’il n’est pas l’oeuvre d’un travail issu d’une réflexion réelle sur des problématiques de neutralité et qu’il n’est en fait que le produit d’une stratégie décidée dans d’autres sphères.

Les représentants du secrétariat d’État  l’économie numérique semblent ne pas avoir pesé bien lourd pendant les auditions et il y a peu de chances qu’ils aient réellement participé à l’élaboration de se rapport.

Mouvement de troupes à l’ARCEP

Ce qui suit n’est pas une cause ou une conséquence du rapport sur la neutralité du Net, cependant, les choses bougent à l’ARCEP et il faut conserver un oeil attentif sur l’autorité de régulation pour comprendre ce qu’il s’y passes. Depuis le départ de Paul Champsaur de la présidence de l’ARCEP, il y a eu un sacré turnover. C’est assez triste car l’ARCEP a des compétences bien réelles et une vision plutôt juste du secteur. Jean-Claude Mallet, président pendant seulement 6 mois, selon la version officielle, serait parti pour des raisons de santé. Des rumeurs font état d’une autre version, ce dernier aurait compris qu’on ne le laisserait pas évoluer comme il l’aurait souhaité, il aurait donc préféré partir. L’actuel président, Jean-Ludovic Silicani aurait lui des positions bien moins pro net neutrality que beaucoup de membres du collège, comme Nicolas Curien ou Joelle Toledano. Depuis l’arrivée du nouveau président, des tensions internes auraient conduit certains des membres du collège à quitter l’autorité de régulation des télécoms. C’est par exemple le cas de l’un des principaux rédacteurs du rapport sur la neutralité du net, faisant suite au colloque organisé par l’ARCEP. On trouve donc aujourd’hui dans l’autorité de régulation pas mal de membres issus du gouvernement.

Le rapport du gouvernement intervenant 3 mois à peine après le rapport de l’ARCEP sur le même thème et affichant des positions bien plus tranchées, on se demande si le jeux de chaises musicales n’est pas une conséquence des frictions que susciterait un projet de controle de l’Internet à des fins électoralistes, au détriment de l’intérêt commun.

L’économie numérique devrait être confiée à Bercy

La suite, vous la connaissez, je vous en ai parlé plusieurs fois sur ce blog. Ça avait commencé fin mai, je m’interrogeais sur le futur du secrétariat d’Etat à l’Economie Numérique, je réaffirmais mes interrogations en juillet dernier à ce sujet. Peu de doutes aujourd’hui sur ce qui va suivre au prochain remaniement ministériel. Internet devrait être confié au Ministère des finances et de l’industrie. On comprend donc mieux les positions pro fournisseurs d’accès et le rejet systématique des positions des autres parties.

Parallèlement, plusieurs sources m’ont confirmé que le secrétariat d’Etat à l’Economie Numérique s’est désertifié, normal me direz vous, tout le monde est parti en vacances… et bien non, on sent cette brise légère annonciatrice d’un remaniement ministériel. Le sort du Secrétariat d’Etat à l’Economie numérique semble gravé dans le marbre et il se pourrait bien que notre prochain ministre soit Christian Estrosi.

En confiant Internet à un fidèle, l’Elysée amorce une stratégie de pré-campagne pour “contrôler Internet” avant l’échance de 2012.

Ecrans publie le rapport gouvernemental sur la Neutralité du Net

C’est finalement Ecrans qui a publié le rapport gouvernemental sur la Neutralité du Net.

Ce rapport était initialement tombé entre les mains du magazine Libération en début de semaine et avait très peu circulé. J’ai eu la chance d’y avoir accès et je vous avais déjà expliqué ce que j’en pensais dans ce billet un peu long.

Un article sur Ecrans lui avait été consacré et il confirmait toutes les craintes que nous pouvions avoir sur le traitement que le gouvernement réservait à la neutralité du Net que le rapport balaye en consacrant l’expression d’un “Internet ouvert”. Une digression sémantique qui signifie une chose : la neutralité de Net, en France, est bien morte et enterrée. Une proposition de loi devrait passer devant le Parlement en Novembre, il faudra être particulièrement vigilant aux mesures qui seront adoptées pour ne pas que notre “Internet ouvert” ne se transforme en réseau local national comme c’est déjà le cas avec les jeux en ligne.

Le document de 34 pages expose sans complexe des positions pro-filtrage allant même jusqu’à préconiser l’utilisation du DPI, certes de manière subtile, mais pas suffisamment pour que ceci nous échappe. Benjamin Bayart, président du fournisseur d’accès associatif FDN, a lui aussi relevé l’incompétence qui caractérise l’intégralité de ce rapport comme il le confie dans Ecrans. On ne peut non plus s’empêcher de reconnaitre la griffe d’Orange dans ce rapport comme je vous l’indiquais dans le dernier billet.

C’est le second document qui fuite en quelques jours, le 30 juillet dernier, c’est Numerama qui publiait un premier draft des recommandations des solutions de surveillance que la HADOPI entendait proposer.

Vous pouvez également télécharger ce rapport ici.