Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Deep Packet Inspection : une définition du DPI #eg8

C'est très rapidement, à l'échelle de l'histoire d'Internet, qu'est apparue l'idée de filtrer ou de gérer le trafic. Le gérer, non plus seulement en fonction des données réseau, des adresses IP de destination et de source ainsi que des informations (metadatas) de routage du réseau. Mais aussi en fonction du contenu du message. La boite de Pandore était alors ouverte.

C'est très rapidement, à l'échelle de l'histoire d'Internet, qu'est apparue l'idée de filtrer ou de gérer le trafic. Le gérer, non plus seulement en fonction des données réseau, des adresses IP de destination et de source ainsi que des informations (metadatas) de routage du réseau. Mais aussi en fonction du contenu du message. La boite de Pandore était alors ouverte. Le but recherché : identifier les messages en se basant, non plus sur la simple base des informations réseau, l'enveloppe, mais sur le contenu réel des messages (la lettre). Cette technologie d'inspection allait prendre le nom d'inspection profonde de paquets. Le Deep packet inspection, DPI était né.

Le DPI "capture" le trafic réseau, afin de reconstituer la "conversation" réseau, c'est à dire la discussion crée par les lettres mises à la suite les unes des autres. Une fois la conversation réseau ré-établie, le DPI va "lire" cette conversation à la recherche de mots importants. le but principal est de classifier la communication par types. Le code des postes et des télécommunications assimilerait le DPI, dans la vie réelle, à une violation du sacro-saint secret des communications privées.

Quelques exemples :

  • téléphonie sur IP: qui appelle qui, combien de temps, depuis où et vers où, le type d'appareil ou de logiciel utilisé pour communiquer,
  • mail: qui a envoyé un mail à qui, combien de mails dans votre votre boite mail, qui vous a écrit aujourd'hui, à qui avez-vous répondu, les sujets de votre mail, leur contenu,
  • vidéo : quel film regardez vous, en quelle qualité, combien de temps a duré votre séance, enregistrer les séquences que vous visionnez.
  • Publicité : c'est l'anniversaire de votre maman et des publicités pour des fleuristes apparaissent ? Et vous croyez vraiment que c'est de la magie ?

D'un point de vue strictement technique, le DPI travaille souvent au niveau 2 du modèle OSI, en tant que bridge, et est donc invisible pour les niveaux réseau, transport et bien évidemment applicatif. Par exemple, lors d'un traceroute, vous ne le verrez pas apparaitre dans la liste des routeurs de votre fournisseurs d'accès. On ne peut donc pas pinguer un équipement de Deep Packet Inspection sur le réseau, on ne peut pas soupçonner sa présence. Cependant, certains signes (comme la présence de publicités un peu trop ciblées) nous donnent une petite idée sur la présence ou non de ces dispositifs au coeur de nos communications.

Cependant, il possède des fonctionnalités impactant les basses couches. Par exemple, interrompre un flux réseau, pour le DPI, est trivial. Il suffit d'envoyer un "reset" de la connexion au client, en lui faisant croire que cela provient du serveur, et un même "reset" du serveur, en lui faisant croire que cela provient du client (dans le cas de TCP), il ne reste plus qu'à supprimer l'autorisation relative à cette connexion sur le DPI.

Ces deux mécanismes sont donc la base du DPI : capturer le trafic, faire de la recherche dans la capture. Il ne reste plus que la folle et inintéressante course au support de tous les protocoles à tous les niveaux réseau, transport mais aussi applicatif : IPv4, IPv6, SCTP, DCCP, TCP, UDP, GTP, HTTP, P2P, boite mail Google, boite mail Yahoo, GoogleTalk, compte Facebook, FTP, IRC, NNTP... Tout y passe. Plus une seule de vos communications non chiffrées ne peut échapper à la "gestion" du Deep Packet Inspection.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée