Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Deep Packet Inspection : le dangereux mélange des genres

Quand on s'intéresse un peu au marché du Deep Packet Inspection sur notre territoire, on se rend vite compte que l'interception légale ne représente pas le gros du marché. Et à moins de tabler sur une explosion du nombre de terroristes, il parait sage de chercher d'autres débouchés commerciaux. Le positionnement des acteurs du DPI n'en est pas moins problématique.

Quand on s'intéresse un peu au marché du Deep Packet Inspection sur notre territoire, on se rend vite compte que l'interception légale ne représente pas le gros du marché. Et à moins de tabler sur une explosion du nombre de terroristes, il parait sage de chercher d'autres débouchés commerciaux. Le positionnement des acteurs du DPI n'en est pas moins problématique. Certes, il faut reconnaitre à ces acteurs leur capacité d'innovation, la qualité technique de leurs produits, mais on peut difficilement être en accord avec leur positionnement sur la démocratisation de ces outils

Un routeur de service doté de capacités importantes de traitement coute en moyenne entre 50 et et 80 000  euros, on y ajoutera quelques cartes (lames) pouvant allègrement doubler ou tripler le prix du boitier. Cette technologie est donc parfaitement accessible à certaines entreprises dont le business est la manipulation de vos données personnelles. Ces outils sont alors déployés pour analyser vos données sans votre autorisation, sans votre consentement. Leur mandat provient des fournisseurs d'accès aux réseaux que vous utilisez. Pour les réseaux mobile : SFR, Orange, etc, pour le réseau internet : votre entreprise, votre fournisseur d'accès.

Prenons un cas concret : imaginons qu'SFR veuille facturer l'utilisation d'une fonctionnalité de votre téléphone en vous faisant gober qu'il s'agit d'un service offert par son réseau. Prenons le cas de l'utilisation de votre téléphone comme modem. Vous y connectez votre ordinateur portable, et là, comme par magie, apparait sur votre facture une ligne "fonctionnalité modem" comptabilisant un trafic différencié de celui réalisé sur votre téléphone. Attention, je ne dis pas qu'SFR utilise le DPI pour facturer abusivement cette fonctionnalité de votre téléphone, il utiliserait en fait un dispositif bien plus rudimentaire... mais rien ne l'empêche aujourd'hui, d'utiliser du DPI.

Un opérateur souhaitant taxer vos communications par SMS ou votre trafic réseau (mail, surf, video, etc) ira fouiller dans les emails envoyés, dans vos historiques de navigation pour en déduire que ce que vous avez fait, et vous le facturer. Il ne s'agit pas de venir fouiller dans vos ordinateurs ou votre téléphone. Il s'agit d'intercepter, capturer vos communications. De les analyser, de les lire. De les reconnaître et d'en faire un enregistrement... qui peut évidemment même être revendu à des tiers, avec son analyse.

Pourquoi est ce que ce marché existe ? Parce qu'il permet au fournisseur d'accès Internet ou téléphonie mobile d'avoir un retour d'informations sur votre comportement sur Internet à travers son réseau. L'information est un business. De la médiamétrie, à l'analyse publicitaire, en passante par l'analyse comportementale, tout devient possible. Les informations collectées sont capables de mettre en évidence la fréquence de l'utilisation de vos appareils connectés, sur quels sites, à qui vous expédiez des courriels. On parle aussi de traçabilité, un terme de sécurité des systèmes, mais qui s'applique également à vos données personnelles.

Comment ça c'est illégal ?

Les FAI peuvent devenir aussi rentables que Facebook : ils disposent d'une masse de données qu'ils sont tentés d'exploiter afin d'en dégager une source supplémentaire de revenus, il suffit qu'ils clament qu'ils anonymisent ces données pour en faire un produit parfaitement commercialisable. Et c'est diantrement plus efficace qu'un Google ou qu'un Facebook à l'échelle de ses abonnés, car il dispose de TOUT leur trafic internet

Vous avez dit mélange des genres ?

Imaginons que vous soyez un pays ayant besoin de surveiller l'Internet d'un voisin jugé diplomatiquement turbulent. Vous n'avez pas la possibilité ni l'autorisation des autorités de ce pays d'aller réaliser des écoutes légales chez les fournisseurs d'accès. Et bien il existe une solution pour y parvenir. Vous créez une énorme entreprise "leader" de l'analyse comportementale à des fins marketing, vous vous implantez sur ce marché, assez pour paraître crédible aux FAI locaux. Vous faites du marketing hein, pas de la surveillance... et là le FAI vous ouvre ses portes, libre à vous de disposer vos outils chez lui, le FAI y trouvera son compte et les autorités locales ne se méfieront pas.

Nous vous invitons à visiter la page Data Privacyde GFK, actionnaire de Qosmos, qui nous parle de ses cookies en omettant malencontreusement d'expliquer qu'il utilise aussi du Deep Packet Inspection "anonymisé" par une recette que lui seul connait et dont on a aucune garantie concernant une eventuelle désanonymisation post traitement. GFK est présent dans plus de 150 pays, et pas que des grandes démocraties... Un pont d'or sous couvert d'honorabilité pour refourguer des technologies plus ouvertement intrusives ?

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée