La Deep Packet Inspection en coeur de réseau

alcatel dpiDébut mai 2010, je vous expliquais sur ce blog que la Deep Packet Inspection était bien dans les bacs. Le terme de « quasi neutralité » en conclusion gouvernementale qui avait pour l’occasion savamment instrumentalisé cette vénérable institution qu’est l’ARCEP, laissait peu de doutes sur la question. Plus tard, au mois de juin, quelques recherches m’avaient amené à vous parler de techniques plus pernicieuses encore, découlant du DPI, mais qui ont le bons goûts de sembler moins intrusives que de l’analyse de paquets en profondeur, basée sur des méthodes statistiques : le stochastic packet inspection. Selon ce que j’ai pu comprendre des papiers de recherche sur lesquels j’étais tombé,  le stochastic présentait un défaut, il fallait multiplier les points de sondes pour obtenir un ratio d’acuité élevé. Mais il avait aussi un gros avantage sur la DPI, pas besoin d’analyser les paquets en profondeur et donc de violer le secret des correspondances pour appliquer des règles de routage ou de drop des paquets.

Plus récemment encore je vous parlais d’Alcatel, un acteur majeur dans les équipements réseaux professionnels, dans un billet qui faisait suite à la diffusion du rapport gouvernemental sur la neutralité du Net, que l’entreprise, comme le rapport, re-qualifiaient en un risible « Internet ouvert »… la preuve en image. La manipulation était grossière, certes, et on sentait bien la griffe d’Alcatel dans ce rapport, tant dans la terminologie, les prévisions apocalyptiques « on va tous mourir, le Net est tout saturé« , que dans les conclusions qui invitaient à un libre accès aux contenus « licites ». Seul hic, pour reconnaitre un bit légal d’un bit illégal, quoi qu’on nous raconte, il faut bien placer une forme d’intelligence sur le réseau qui jouera le rôle du douanier… en clair de la deep packet inspection.

Stochastic packet inspection : le filtrage aux extrémités… cher mais peu intrusif

Multiplier les sondes sur les routes du trafic d’un internaute implique d’importants investissements (ou d’inclure des dispositifs puissants et onéreux dans les box, ce qui est cher, mais pas impossible, et ceci pourrait dans un futur proche devenir rentable avec des FPGA ).

Deep Packet Inspection : la surveillance de vos communications au coeur du réseau

Nous allons nous replonger dans l’univers fantastique d’Alcatel Lucent pour découvrir un équipement qui risque de vous donner froid dans le dos. J’ai à plusieurs reprises évoqué des modules directement installés sur les DSLAM des opérateurs, à ce moment j’étais à mille lieues de penser que des routeurs d’agrégation de services, placés en coeur de réseau, au plus proche des terminaux ou de bordure, proche des backbones, pourraient avoir assez de puissance de calcul pour faire de la DPI sur un lien terabit. Bon je commence à parler chinois, mais on va continuer un peu en regardant ce qu’il y a sous le capot de ces routeurs de services comme le 7705, capable de gérer des flux IP, mais également GSM, 2G, 3G et LTE. Alcatel devrait même prochainement annoncer le lancement d’une carte d’extension que l’on qualifiera pudiquement de carte « de traitement de paquets programmable » pour le 7705 embarquant un processeur, programmé par une société tierce pour son compte (une première pour l’équipementier réseau). En fait un monstre qui embarquera du FPGA pour offrir une puissance de traitement et surtout d’analyse de paquets colossale. Pour faire simple, le routeur forwarderait les paquets à la carte d’extension en question avant ou après une décision de routage… là on commence à rentrer dans le domaine de la magie noire.

Les communiqués, ou la documentation grand public d’Alcatel ne parlent pas ouvertement de DPI (plutôt de QoS). Dans d’autres documents à destinations de personnes plus avisées, les spécifications de la bête laissent à penser que comme pour d’autres modèles de la marque (comme la famille 7750 qui gère déjà du DPI à raison de  100 Gb/s par puce… et il y a jusqu’4 puces en fonction des configuration sur ces modèles), ces équipements sont tout à fait DPI ready… et sur de gros réseaux. Les cartes d’extension de ce genre de routeur de service, au format MDA (Media-Dependant Adapter) apportent également une intelligence en plus de celle du routeur, elles traitent des protocoles physiques, puis les encapsulent dans du MPLS (MultiProtocol Label Switching) et présentent ainsi le gros avantage d’être déployables au coeur de gros réseaux. Et c’est là que la magie du DPI s’opère techniquement : ce sont les IOM, sur lesquelles on trouve 2 MDA, qui servent à l’intelligence du routeur, elles sont connectées au routing complex et la puce « FP2 » d’Alcatel s’intercale ici, et c’est à ce niveau que la deep packet inspection s’opère.

Voilà je vous ai assez mis l’eau à la bouche, retenez en simplement qu’Alcatel sait faire de la DPI au minimum, à 100 Gb/s sur des configurations très scalables… et ça date de 2008. Si comme moi vous aimez les petits dessins, c’est par ici que ça se passe.

Revenons à des choses un peu plus digestes

Avec de tels équipements, dotés d’aussi puissantes capacités de traitement, on se doute bien que les premiers clients pour ces gros jouets, ce sont les gouvernements. Alcatel a bien envie de pousser quelques uns de ces routeurs de services pour aider le gouvernement ou n’importe quelle  « haute autorité administrative » à vérifier si vous accédez à un contenu LEGAL sur un Net qui n’est pas neutre mais OUVERT… bref, chez Alcatel on est sympas et toujours prêts à rendre service, surtout aux fournisseurs d’accès à qui l’entreprise promet de grosses économies en … filtrant des services ! On peut tourner ça dans tous les sens, on est aux antipodes de la neutralité du Net, on ne fait plus du simple QoS pour réduire la latence sur de la VOIP, mais bien de la surveillance.

Ainsi les 7705 font déjà le bonheur du gouvernement américain… et il est fort probable que certains fournisseurs d’accès en possèdent quelques uns, plus inquiétant, Alcatel en vendrait en ce moment environ 10 000 par trimestre ! Concernant les 7750, on en dénombrait plus de 20 000 en 2009. A ce rythme, vous comprendrez aisément qu’il ne manque vraiment plus grand chose pour mettre le Net sous surveillance.

La surveillance généralisée du Net s’accélère… OH ! BAMM ! AAAAH !!

OH !

Il y a quelques jours, on parlait ici du « killswitch » qui permettrait au président américain de couper des AS entiers … mettre dans le noir des bouts entiers d’Internet. Le cauchemar est en train de devenir une réalité puisque le Sénat américain vient de l’adopter. Ce fait, d’apparence anodin, vient de créer un précédent qui ne manquera pas de passer les frontères, vous étiez prévenus.

Comme si cela ne suffisait pas, la surveillance du Net est sur le point de s’immiscer au coeur des réseaux des fournisseurs d’accès, le DPI ou Deep Inspection Packet n’ayant pas bonne presse, il subira le même sort que la vidéo-surveillance que l’on a rebaptisé « vidéo-protection »… on vous dit que c’est pour vous P.R.O.T.E.G.E.R ! On pourra imaginer un nom bien « sécurisant » au DPI, genre « Protection de flux informationnels »… on en est plus à ça près. Vous pensez qu’en chiffrant votre trafic vous serez épargné ? Oui et non … SSL, Newsoft en cause fort bien ici, n’est pas infaillible. Le modèle de confiance est déjà sérieusement entamé. De plus, les technologies DPI évoluent très vite en ce moment et le DPI sur SSL semble être une réalité. Mieux encore, sachez qu’il existe des entreprises dont on entend pas du tout parler, comme Kalray qui travaillent sur des choses assez surprenantes comme le MPPA… vous voyez qu’on est vachement bons en France… on est aussi vachement discrets.

Pendant ce temps, les cybercriminels se fendent la pêche

BAMM !

« Give a monkey a brain and he’ll swear he’s the center of the universe »

Ce qui me dérange ? C’est que nous sommes en train de donner les moyens techniques aux politiques de pratiquer la censure du Net, elle deviendra donc la règle… Au début on filtrera les pédophiles, puis les sites de jeux en ligne, puis après les contenus copyrightés, et on finira inéluctablement par le filtrage politique (comme Mitterrand en son temps pratiquait les écoutes téléphoniques, les écoutes de connexions deviendront un sport gouvernemental underground…) oui comme en Chine, et ça ne semble pas leur faire peur.

Peu importe si dans d’autres pays pas si lointains les prestataires presentis ont gentiment été écartés pour d’évidentes raisons d’atteintes à la vie privée (on aimerait bien un avis de l’Union Européenne sur le DPI d’ailleurs avant que les FAI ne trouvent le moyen de le proposer en OPT-IN en France … comme un cheval de Troie…) ou quelques déboires avec la justice… des batailles de brevets, trois fois rien. Pour ceux qui ont loupé un épisode le projet RIALTO est une émanation de Kindsight, qui est lui même une émanation de Alcatel Lucent.

AAAAAH !

Allez, on passe aux « presque bonnes nouvelles »

ZyXEL qui va pouvoir mettre à jour sa plaquette commerciale puisque les IP des entreprises n’entreront pas dans la liste des « déconnectables » par la HADOPI, comme l’explique GenerationNT entre deux projections ridicules de Pascal 2.0 : « TMG écartera du flashage les adresses IP des entreprises… Quant aux IP à l’origine de nombreux téléchargements illégaux ( un millier ), ce sera directement l’action en justice, sans e-mail d’avertissement. »

Il y a une autre bonne nouvelle, Christine Albanel a un an de plus, nous lui souhaitons donc un joyeux anniversaire que PCInpact nous propose de féter en video. Mais il y a aussi une mauvaise nouvelle, elle pourrait prendre sa retraite plus tard

Mon grand père disait …

« Chez nous, il y a trois problèmes : le feu qui dévaste le maquis, les sangliers qui ravagent les cultures, et la politique qui s’occupe de tout le reste.