Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Deep Packet Inspection : l'outil rêvé pour vous vendre des trucs gratuits

Nous avons vu, dans notre saga, quelques cas d'utilisations du Deep Packet Inspection. Qu'il s'agisse de monitoring, de préventions des attaques, ou en règle générale, de faire en sorte que le réseau fonctionne mieux, nous avons couvert les fonctionnalités soit disant louables de cette technologie. Le souci, c'est que quand on place une technologie entre les mains de gens du marketing, ça peut vite devenir franchement sale.

Nous avons vu, dans notre saga, quelques cas d'utilisations du Deep Packet Inspection. Qu'il s'agisse de monitoring, de préventions des attaques, ou en règle générale, de faire en sorte que le réseau fonctionne mieux, nous avons couvert les fonctionnalités soit disant louables de cette technologie. Le souci, c'est que quand on place une technologie entre les mains de gens du marketing, ça peut vite devenir franchement sale. Si vous n'en êtes pas convaincus, nous vous invitons à lire attentivement cet "avis d'expert", où Antoine Guy Directeur Marketing Europe, Allot Communications, nous explique le plus naturellement du monde que le DPI est le meilleur ami du consommateur... un discours qui date de 2008 et dont on imagine mal l'auteur aller expliquer ça au peuple tunisien, syrien ou égyptien. Nous allons tenter de rester courtois en évitant de reprendre point par point ses arguments d'une autre planète. Sachez simplement que son activité à lui, c'est de vendre du DPI, la techno qui rime avec médiamétrie. Nous reviendrons sur le marché de la publicité et cette manie du profiling marketing au détriment de votre vie privée.

Nous allons pour le moment nous concentrer sur les fournisseurs d'accès qui eux aussi ont un service marketing !

Bien sur, un fournisseur d'accès se doit de vivre de son travail, et donc de collecter les informations pertinentes pour établir une facturation. Cependant,

  • Quelles doivent être les limites ?
  • Peut on accepter que nos données personnelles soit lues par des moteurs de recherche automatisés afin de découvrir si nous sommes en train d'écrire un email sur notre compte Gmail ou de regarder un film loué légalement en VOD ?
  • Est-il normal que le DPI soit prétexte à nous vendre des trucs gratuits ?

Reprenons l'exemple des offres des FAI mobiles. Elles se font de plus en plus précises en proposant un accès à un erzatz d'Internet, complètement bridé, c'est à dire uniquement au Web [protocole HTTP].

  • Si vous souhaitez envoyer des emails directement depuis votre mobile, c'est optionnel, il y a un  supplément et il vous faudra souscrire à une option payante.
  • Si vous souhaitez utiliser les protocoles P2P, c'est impossible, ces derniers sont bloqués
  • Si vous utilisez la fonctionnalité modem de votre téléphone, votre opérateur vous le facture en supplément...

Dans ces cas précis, le DPI peut faire des miracles. La machine est capable d'intercepter votre trafic réseau, votre correspondance, à votre insu. Le DPI permet d'analyser vos données réseau, d'en déduire avec "exactitude" leur nature et leur type : du Web, du mail ou du P2P, avant, bien entendu de les autoriser ou non à circuler dans le réseau de l'opérateur mobile.

Ceci soulève tout de suite un problème : un équipement réseau peut-il se substituer à un juge pour décider de la légalité d'un contenu et ainsi en conclure une règle de routage ? - Est-ce que la collecte et l'analyse sont légales ? - Que deviennent ces données ? - Sont elles transmises ou revendues à des tiers à notre insu ? - Pourquoi mon opérateur me facture t-il une fonctionnalité de mon téléphone et tentant de me faire gober qu'il s'agit d'un service de son réseau ?

Une chose apparaît parfaitement claire à nos yeux, l'utilisation du DPI dans le cadre de la médiamétrie, comme dans le cadre de la taxation des usages de l'Internet ne devrait même pas exister. Nous ne sommes plus un instant dans le cadre du bon fonctionnement d'un réseau, mais dans celui de l'utilisation de technologies intrusives dans un but d'enrichissement avec des services qui n'en sont pas. Le vent ça fait beaucoup d'argent... bref, nous sommes en face d'une intrusion dans le trafic sans motif légitime.

Sur le plan légal, ces intrusions dans le trafic sont déjà encadrées. Mais les pratiques d'apprentis sorciers de quelques uns ne semblent, au final, émouvoir personne. La loi n'est évidemment pas respectées. Tout le monde fait donc n'importe quoi :

  • sniffer le trafic : c'est illégal sans avertir les utilisateurs du réseau ;
  • capturer le trafic : c'est illégal sans avertir les utilisateurs du réseau ;
  • altérer le trafic : parfaitement illégal
  • collecter les données de trafic pour les vendre : parfaitement illégal.

Pour les 3 premiers cas, seul un juge peut ordonner ces pratiques.

Pour le 4e cas, il est dramatiquement commun, seul un cas "officiel" est connu, celui de TMG qui fait commerce de données personnelles des internautes aux ayants-droit...

Ensuite, on peut venir nous parler d'Internet sain mais ... c'est gonflé. Et si on commençait par faire respecter la loi au lieu d'en inventer des mauvaises ?

Article 226-15 du code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée