Orange Préférences : le Deep Packet Inspection en Opt-In

you may undergo deep packet inspectionNous vous parlions hier du nouveau service d’Orange, « Orange Préférences », conduit sous forme de panel expérimental et dont l’objet est de proposer à ses abonnés volontaires une publicité particulièrement ciblée. Les abonnés d’Orange qui se portent volontaires verront leurs surfs analysés à la volée (l’opérateur assure ne conserver aucun historique des surfs), pour se voir proposer des offres commerciales ultra ciblées.  Nous avons tout de suite soupçonné l’utilisation d’une technologie dont le caractère intrusif ne fait strictement aucun doute à nos yeux, l’inspection en profondeur de paquets (Deep Packet Inspection).

Orange a eu la courtoisie de répondre à nos questions, faisant preuve d’une certaine transparence, il faut le souligner. Reconnaissant que le sujet était délicat, l’opérateur confirme que la technologie utilisée est bien de l’inspection en profondeur de paquets. Il souligne cependant avoir travaillé de concert avec la CNIL « pour être conforme avec toutes les règles en vigueur »… nous allons revenir sur ce point un peu plus loin.

Commençons par ce à quoi Orange s’engage à travers cette offre :

  • Premier point important : l’opérateur assure qu’aucune donnée personnelle n’est transmise à des tiers qui assureraient l’acheminement des offres commerciales aux clients d’Orange : « nous ne vendons aucun profil à des régies. Le profil dynamique du client est utilisé par notre régie pour personnaliser une partie des pubs vues par le client sur le portail orange.fr (aucun autre site, notamment aucun site tiers). Il s’agit de profils anonymes (ie : la régie ne sait pas qui est derrière) »
  • Second point important, les flux des abonnés qui ont souscrit à ce service verront leur trafic intégrer un flux différencié. C’est ce flux qui accueillera un gros routeur de service et une sonde permettant l’analyse à la volée des URL visitées. Ce point est crucial car dans le cas contraire, ceci voudrait dire que des internautes n’ayant pas souscrit à cette offre verraient leur trafic analysé « à l’insu de leur plein gré »… et là, ils auraient raison d’être en colère. Voilà pour la collecte.

Passons maintenant au traitement des données :

Etape 1 : Extraction des informations utiles et autorisées

  • prise en compte de l’en-tête http uniquement, (élimination des autres protocoles de type streaming, download…)
  • filtrage des données personnelles : suppression nom, adresse, N° Tél, N° carte crédit, correspondance privée…
  • suppression des URLs des sites et termes interdits : santé, religion, appartenance politique ou syndicale…

Etape 2 : Calcul automatique du profil des centres d’intérêt de l’utilisateur sur la base des données de navigation étudiées

  • Pas de stockage des informations brutes (historique des URLs),
  • Stockage de scores anonymes

Passons maintenant à ce qui nous chagrine…

Reflets étudie depuis un moment les utilisations qui sont faites de l’inspection en profondeur de paquets (Deep Packet Inspection) et y consacre même une rubrique entière. Notre angle d’étude de cette technologie porte principalement sur les atteintes aux droits de l’homme. Certes le Deep Packet Inspection ne sert pas QUE à violer les droits de l’homme… mais il faut bien avouer que c’est encore là qu’il est le plus efficace. Dans les utilisations du DPI, on trouvera :

  • Du monitoring réseau
  • De la facturation
  • De la sécurité
  • De la reconnaissance de contenus (pour filtrer, bloquer une communication… comme on aimerait pas que ce soit le cas pour HADOPI)
  • De l’interception légale
  • De la publicité
  • … Il existe une cinquantaine de cas d’utilisation de cette technologie où elle réussi avec plus ou moins de succès. Mais pose cependant un vrai problème de fond. Si ce n’étais pas le cas, les institutions européennes n’iraient pas demander quelques garanties sur son utilisation… et son exportation.

Bref rappel que vous avez maintes fois lu sur Reflets, l’article 226-15 du code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

Comme son nom l’indique le DPI analyse le contenu de votre communication. L’image la plus répandue est celle du facteur qui lirait le contenu de votre courier avant de décider de vous l’acheminer ou non, ou d’opérer une autre action. Dans le cas d’Orange Préférences, votre facteur lirait votre courrier afin de vous proposer, par courrier ou par téléphone, des offres commerciales correspondant à ce qu’il a déduit de la lecture de votre courrier.

Dans une communication électronique, le contenu de votre correspondance, contenant le message, est appelé le payload (que l’on traduit en français de manière peu élégante par la « quantité de données utiles transportées par un protocole » ). C’est ce payload qui est empreint du sceau du secret dans le cadre d’une correspondance électronique, le reste de votre communication, c’est l’enveloppe.

L’OPT-IN (la souscription volontaire de l’utilisateur) proposé par Orange, est la seule manière de pouvoir proposer ce service. Toujours dans notre exemple du postier, imaginez que la poste vous propose, moyennant une souscription volontaire, que votre facteur lise systématiquement tout votre courrier afin de vous proposer des offres commerciales. L’accepteriez vous dans la vie réelle ? C’est pourtant bien ce qu’Orange Préférences vous propose à travers son service.

Notre conviction chez Reflets, c’est que le DPI ne trouve sa légitimité QUE dans le cadre d’une procédure d’interception légale, avec une commission rogatoire, habilitant un tiers (un fournisseurs d’accès), à violer le secret d’une correspondance. Toutes les expériences passées nous ont démontré que les dérives liées à son utilisation sont inéluctables. Et pour tout vous dire, savoir la CNIL caution de son utilisation n’est vraiment pas fait pour nous rassurer.

Twitter Facebook Google Plus email

12 thoughts on “Orange Préférences : le Deep Packet Inspection en Opt-In”

  1. C’est quand même dingue, plus j’avance dans la saga DPI, et plus je cherche du côté des VPN.
    Je soutiens Reflets à 10000% quand vous écrivez que nos libertés numériques sont le reflet de nos libertés garanties par la constitution de ce pays.
    Très peu ne se rendent compte que ce qui se prépare sur nos libertés numériques serait vécu IRL comme la fin du régime de droit, bref la fin d’un régime dit démocratique.J’imagine à peine la gueule de Mme Michou regardant le facteur refermer le courrier avant de la mettre dans la boite avec un post-it de réduction pour les sparadraps pour sa petite fille qui vient de s’écorcher le genou et qui l’écrit à sa grand-mère. J’ose à peine imaginer sa tête quand au lieu de recevoir son paquet d’engrais pour ses pétunias, elle recevra à la place un courrier qui dira: « vous avez commandé de l’engrais chez Duschmolvert : arrêter chez Afondvert nous vous offrons 2 paquets pour le prix d’un, vous le recevrez demain si vous payez avant 11h »
    Ca commence de plus en plus à ressembler à Brazil

  2. Ils sont « charmants » chez Orange : il est beau, il est beau mon DPI !
    1) Globalement, on en n’a rien à foutre de recevoir de la « publicité ciblée ». Flûte alors ! L’internaute moyen aurait donc une tronche de cible ? Qu’on vienne me le dire en face, on verra qui sera la cible de l’autre ! Ouarf. Mais je m’égare, là…
    2) Une fois mis en place, le process pourra à tout moment évoluer vers d’autres buts, par glissements successifs (ou non d’ailleurs). Et avec des « personnalités » comme Albanel dans les rangs d’Orange, et pour peu que la droite remporte les élections en 2012 (horreur, je n’ose y penser !), ça ne manquerait pas de se produire. Il suffit pour s’en convaincre de voir ce qui se passe avec les nombreux fichiers de Police, mis en place pour une raison X, et dont l’usage s’étend peu à peu à d’autres fins.

  3. « imaginez que la poste vous propose, moyennant une souscription volontaire, que votre facteur lise systématiquement tout votre courrier afin de vous proposer des offres commerciales. L’accepteriez vous dans la vie réelle ? ».

    Dit comme ça, non.

    Mais si La Poste te proposait en échange 3 colissimo gratuits par mois ? Ou bien une réduction de 50% sur les timbres ?
    Si tu es un grand utilisateur de ces services, la question se poserais….

    (Bon l’exemple est tiré par les cheveux… ok)

  4. Je ne vois pas bien l’intérêt pour les clients d’Orange d’accepter de faire partie de ce « panel ». M’étonnerait que ça en intéresse beaucoup de recevoir sans arrêt des coups de fils commerciaux.

  5. Et combien de consommateurs d’Orange ont ou auront cette option activée par défaut à l’insu de leur plein gré grâce à l’opération du saint-« oops mauvaise manipulation, nous sommes désolés, nous corrigerons ceci le mois prochain »

  6. A rapprocher de cette news sur numerama : http://www.numerama.com/magazine/20146-l-hadopi-n-a-connaissance-d-aucune-experimentation-sur-le-dpi.html

    « Le ministère de la culture a assuré à la députée Laure de la Raudière, qui l’interrogeait sur les technologies de reconnaissance des contenus et de filtrage, ne pas avoir connaissance de la moindre expérimentation en matière de DPI. Idem pour l’Hadopi. Le ministère a rappelé que le moindre test en ce sens devait être rapporté à la Haute Autorité. »

    Christine Albanel, ministre de la culture qui a initié le chantier d’HADOPI, est maintenant chez Orange qui expérimente donc le DPI; c’est eux qui le disent.
    Peuvent pas faire genre « on savait pas … »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *