Journal d'investigation en ligne et d'information‑hacking
par bluetouff

3G SFR : Oui, SFR altère mon expérience utilisateur et mes usages professionnels

Ça faisait bien longtemps qu'on ne nous avait pas sorti un Spanou®, en fait ça faisait un peu plus d'une semaine. La réponse officielle a été publiée sur ZDNet. Reflets a également été en contact avec Monsieur Chatin, directeur de l'information de SFR qui a bien confirmé l'existence d'un dispositif d'optimisation des images. Un proxy/cache qui sert des images compressées. Jusque là, "tout va bien", puisque tous les opérateurs le font.

Ça faisait bien longtemps qu'on ne nous avait pas sorti un Spanou®, en fait ça faisait un peu plus d'une semaine. La réponse officielle a été publiée sur ZDNet. Reflets a également été en contact avec Monsieur Chatin, directeur de l'information de SFR qui a bien confirmé l'existence d'un dispositif d'optimisation des images. Un proxy/cache qui sert des images compressées. Jusque là, "tout va bien", puisque tous les opérateurs le font. Cette manipulation, et c'est un point que l'on ne peut pas entièrement contredire, vise à "offrir une expérience utilisateurs proche de celle de l'Internet fixe".

Il faut comprendre qu'historiquement, sur les réseaux WAP et Edge, les performances obligeaient les opérateurs qui voulaient vendre de l'Internet qui n'en était pas, à user de subterfuges pour faire rentrer l'équivalent des chutes du Niagara dans une canalisation. Mettre en cache des contenus lourds était alors une solution "acceptable" et surtout, financièrement rentable.

Voici en image ce que ça donne :

Nous avons très rapidement identifié la solution de Bytemobile sur le réseau de SFR comme le mentionne ITespresso, mais également sur le réseau de Bouygues. L'analyse de la connexion réseau révèlera ces quelques lignes (la première surtout) nous indiquant que Bouygues Telecom utilise bien la même solution mais différemment :

Chez Bouygues, le dispositif n'est pas tout à fait identique : celui de SFR modifie le code HTML des pages, alors que celui de Bouygues ne le modifie pas.

Mais comme l'Expansion le souligne, notre problème ne s'arrête pas là : en plus du défaut total d'information, il y a une modification du code HTML et celle ci s'avère rapidement  être une véritable altération de l' " expérience utilisateurs" mise en avant par SFR dans sa réponse officielle. Nous ne doutons pas que l'opérateur voulait "bien faire" pour le plus grand nombre, mais en faisant ceci, un opérateur ou un fournisseur d'accès Internet (SFR est les deux), SORT DE SON ROLE : être le garant de la chaîne de confiance entre ses clients et Internet.

En assurant dans sa réponse officielle qu'il respecte la neutralité du Net, celui-ci a beau jeu de le dire puisque la Neutralité des réseaux n'est pas définie dans notre droit... donc pas de sanction. Nous allons maintenant voir pourquoi et comment, avec des cas très pratiques, qu'il s'agit bien d'une atteinte à la neutralité des réseaux et que oui, c'est lourd de conséquences.

Une pratique qui faisait déjà polémique en interne

Reflets ne s'est pas contenté de la position officielle de SFR, il a également eu la version plus officieuse. Et cette version là, probablement la plus proche de la réalité est que oui, c'est un dispositif bien connu, pas intrusif en matière de vie privée même s'il pourrait très bien l'être, il en a les fonctionnalités... coucou BlueCoat. Il s'agit même d'un dispositif jugé stratégique à l'époque mais qui tend de moins en moins à l'être avec l'arrivée du haut débit et très haut débit numérique. Les différentes directions de l'opérateur n'avaient pas toujours la même conception de l'utilité de ce dispositif.

SFR, comme TOUS les opérateurs, devrait informer clairement les utilisateurs qu'ils n' accèdent pas à Internet, mais à un Internet dégradé. Nous ne doutons pas qu'ils le feront et surtout que ceci sera présenté comme une option... et une option concurrente des navigateurs mobiles comme celui d'Opera et celui de Google pour ne citer qu'eux. Retenons une première chose, un principe direct  de ce qu'est la neutralité des réseaux sur un point délicat :

L'altération d'Internet :

  • ne doit pas être la norme,
  • doit être l'option,
  • doit rester sous la parfaite maîtrise de l'utilisateur

Ne pas respecter cette règle, c'est agresser Internet et mentir aux internautes.

C'est quoi au juste "l'expérience utilisateur" ?

Pour un utilisateur lambda qui se borne à visiter des pages Web depuis son téléphone ou sa tablette, l'expérience utilisateur, c'est les temps de chargement des pages : plus ils sont courts plus on peut donner l'impression que notre réseau d'accès à Internet est très rapide, plus madame Michu est contente. Et c'est tout de suite commercialement moins sexy d'expliquer au client qui accède à une version dégradée automatiquement par son opérateur pour alléger significativement la charge sur son réseau. Ce n'est pas non plus ultra sexy de lui expliquer qu'on lui braque quelques octets au passage et qu'il ne peut même pas s'y opposer en désactivant cette "fonctionnalité"... et là pour le coup :

" it's bug, not a feature...".

On peut aussi supputer qu'une des conséquences c'est une facture acceptable pour un nombre N de pages visitées chaque mois. En diminuant la charge sur son réseau, il réalise des investissements plus légers, le réseau est "plus économique", ça lui permet de commercialiser des abonnements à prix plus compétitifs ,  investir le marché du lowcost et de réaliser encore plus de profit.

Le cadre règlementaire lui-même est-il favorable à d'autres pratiques, pouvons-nous encourager des déploiements qui satisfassent à la fois le client final et l'industrie des Télécom ? La question est plus que jamais pleine de sens, au même titre que faire entrer la Neutralité du Net dans la loi, et prévoir des sanctions conséquentes.

Pour un développeur ou pour un utilisateur avancé, l'expérience utilisateur, ce n'est pas uniquement la vitesse de chargement d'une page, il est aussi parfois prêt à payer ce qu'on lui vend, c'est à dire un accès à Internet...  pourvu qu'on ne lui vende pas une contrefaçon d'Internet.

L'absence d'une information claire peu mener à de graves conséquences

Nous allons maintenant prendre un cas on ne peut plus pratique. Imaginons que nous travaillons dans le domaine de la sécurité informatique que nous n'ayons, pour des raisons x ou y, d'autres choix que de mener un test d'intrusion depuis le réseau mobile d'un opérateur procédant à ces manipulations sans nous en avoir informé.

Pour simplifier, nous expliquerons qu'un test d'intrusion consiste à mener des attaques d'un point A (l'auditeur) à un point B (le client). Si un point C (le fournisseur d'accès) vient s'immiscer dans la communication entre A et B et que A n'est pas averti de l'existence de C, A va se mettre à attaquer, à l'insu de son plein gré, C alors qu'il pense cibler B.

C pas content, va porter plainte et A se retrouve ainsi injustement inquiété puisqu'il pensait attaquer B pour lequel il a une motivation contractuelle et légitime et ne se doutait pas de l'existence de C (qu'il a attaqué sans le vouloir savoir)... et là, ça fait quand même un peu tâche.

Que se passe t-il maintenant quand A, notre auditeur repère dans le code source ce genre de ligne :

  • Il commence par penser que l'adresse IP est un serveur de cache ou un CDN de son client (B).
  • Soit il vérifie, soit il ne vérifie pas.
  • Si B le client est hébergé chez OVH, il va vite se rendre compte que les IP qu'il a trouvées dans le code source des pages de son client ne sont pas un élément "normal".
  • Mais si B est hébergé quelque part dans l'AS de SFR/9telecom/LDCOM, alors, la présence d'IP de l'AS de SFR lui paraitra "normale", et il poursuivra ses test en incluant les IP de C dans ces test, puisqu'en toute bonne foi, il pensera  qu'il communique avec B et non C, un tiers dont il n'a pas connaissance.

L'équation comme ça semble un peu complexe, nous allons donc la réduire pour que tout le monde comprenne bien le problème :

Défaut d'information + altération = ... prison !

La mauvaise blague maintenant, c'est que cette petite histoire n'est pas une fiction, c'est bien ce qui a failli se produire ce weekend, attendu que cette connexion SFR souscrite le mercredi 13 mars 2013 (pour palier l'incroyable complexité de déménager une ligne câble avec Bouygues Telecom) devait me servir à mener un audit de sécurité. Vous connaissez la suite, 24h après avoir souscrit cet abonnement, je publiais cet article sur Reflets.

L'expérience utilisateurs Vs usages

Le rôle d'un fournisseur d'accès au bien commun Internet n'a jamais été de définir pour les utilisateurs les usages, mais de fournir un accès à Internet, l'unique, le seul, Internet, celui avec un grand "I"... pas une contrefaçon modifiée et altérée à notre insu et sans moyen de contourner ce BUG.

Un opérateur ou un fournisseur d'accès à Internet a pour rôle d'offrir l'accès à des tuyaux bêtes et méchants pour garantir aux utilisateurs la liberté de leurs USAGES. Retenons bien ceci :

Entraver la liberté des USAGES du réseau Internet, devrait constituer une atteinte à une liberté FONDAMENTALE.

Préjudice commercial ?

Le préjudice commercial ne s'arrête même pas à l'utilisateur qu'on a floué en lui vendant une contrefaçon d'Internet. Les éditeurs de sites Web ont eux aussi probablement leur mot à dire car dans les fait, SFR, en modifiant le code source de leur site pour le servir à ses utilisateurs, distribue massivement des contrefaçons de leurs sites. Nous ne sommes pas à ce jour clairement informés par les opérateurs de ces procédés et des parades à mettre en place pour les sites qui n'ont pas envie de se faire Optimiser à la truelle (ça peut très vite devenir le cas de certains de mes clients si je leur explique que sur les oeuvres d'art affichées sur leur site "la signature est floue sur iPhone"...).

Il existe bien une technique simple à mettre en place pour que ce ne soit pas le cas, mais si en tant que pollueur mon FAI ne se déclare pas, comment puis-je en informer mes clients ? Comment puis-je justifier de la qualité pourrie de la maquette que je lui présente en rendez-vous en tethering sur mon téléphone alors que "chez moi c'était propre".

On commence à mieux entrevoir qu'en bout de chaîne, on peut avoir un préjudice commercial : "on voit pas la signature sur les photos des tableaux donc on sait pas si c'est un vrai, donc on achète pas...". Et une vente en moins une...

Et oui c'est grave bordel !

En cassant la chaine de confiance "Internet" vous cassez bien plus que la gueule de quelques octets à la hache dans une image... vous cassez la confiance sur Internet... toute entière.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée