Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Orange Préférences : le Deep Packet Inspection en Opt-In

Nous vous parlions hier du nouveau service d'Orange, "Orange Préférences", conduit sous forme de panel expérimental et dont l'objet est de proposer à ses abonnés volontaires une publicité particulièrement ciblée. Les abonnés d'Orange qui se portent volontaires verront leurs surfs analysés à la volée (l'opérateur assure ne conserver aucun historique des surfs), pour se voir proposer des offres commerciales ultra ciblées.

Nous vous parlions hier du nouveau service d'Orange, "Orange Préférences", conduit sous forme de panel expérimental et dont l'objet est de proposer à ses abonnés volontaires une publicité particulièrement ciblée. Les abonnés d'Orange qui se portent volontaires verront leurs surfs analysés à la volée (l'opérateur assure ne conserver aucun historique des surfs), pour se voir proposer des offres commerciales ultra ciblées.  Nous avons tout de suite soupçonné l'utilisation d'une technologie dont le caractère intrusif ne fait strictement aucun doute à nos yeux, l'inspection en profondeur de paquets (Deep Packet Inspection).

Orange a eu la courtoisie de répondre à nos questions, faisant preuve d'une certaine transparence, il faut le souligner. Reconnaissant que le sujet était délicat, l'opérateur confirme que la technologie utilisée est bien de l'inspection en profondeur de paquets. Il souligne cependant avoir travaillé de concert avec la CNIL "pour être conforme avec toutes les règles en vigueur"... nous allons revenir sur ce point un peu plus loin.

Commençons par ce à quoi Orange s'engage à travers cette offre :

  • Premier point important : l'opérateur assure qu'aucune donnée personnelle n'est transmise à des tiers qui assureraient l'acheminement des offres commerciales aux clients d'Orange : "nous ne vendons aucun profil à des régies. Le profil dynamique du client est utilisé par notre régie pour personnaliser une partie des pubs vues par le client sur le portail orange.fr (aucun autre site, notamment aucun site tiers). Il s'agit de profils anonymes (ie : la régie ne sait pas qui est derrière) »
  • Second point important, les flux des abonnés qui ont souscrit à ce service verront leur trafic intégrer un flux différencié. C'est ce flux qui accueillera un gros routeur de service et une sonde permettant l'analyse à la volée des URL visitées. Ce point est crucial car dans le cas contraire, ceci voudrait dire que des internautes n'ayant pas souscrit à cette offre verraient leur trafic analysé "à l'insu de leur plein gré"... et là, ils auraient raison d'être en colère. Voilà pour la collecte.

Passons maintenant au traitement des données :

Etape 1 : Extraction des informations utiles et autorisées - prise en compte de l'en-tête http uniquement, (élimination des autres protocoles de type streaming, download…) - filtrage des données personnelles : suppression nom, adresse, N° Tél, N° carte crédit, correspondance privée... - suppression des URLs des sites et termes interdits : santé, religion, appartenance politique ou syndicale… Etape 2 : Calcul automatique du profil des centres d'intérêt de l'utilisateur sur la base des données de navigation étudiées - Pas de stockage des informations brutes (historique des URLs), - Stockage de scores anonymes

Passons maintenant à ce qui nous chagrine...

Reflets étudie depuis un moment les utilisations qui sont faites de l'inspection en profondeur de paquets (Deep Packet Inspection) et y consacre même une rubrique entière. Notre angle d'étude de cette technologie porte principalement sur les atteintes aux droits de l'homme. Certes le Deep Packet Inspection ne sert pas QUE à violer les droits de l'homme...mais il faut bien avouer que c'est encore là qu'il est le plus efficace. Dans les utilisations du DPI, on trouvera :

  • Du monitoring réseau
  • De la facturation
  • De la sécurité
  • De la reconnaissance de contenus (pour filtrer, bloquer une communication... comme on aimerait pas que ce soit le cas pour HADOPI)
  • De l'interception légale
  • De la publicité
  • ... Il existe une cinquantaine de cas d'utilisation de cette technologie où elle réussi avec plus ou moins de succès. Mais pose cependant un vrai problème de fond. Si ce n'étais pas le cas, les institutions européennes n'iraient pas demander quelques garanties sur son utilisation... et son exportation.

Bref rappel que vous avez maintes fois lu sur Reflets, l'article 226-15 du code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

Comme son nom l'indique le DPI analyse le contenu de votre communication. L'image la plus répandue est celle du facteur qui lirait le contenu de votre courier avant de décider de vous l'acheminer ou non, ou d'opérer une autre action. Dans le cas d'Orange Préférences, votre facteur lirait votre courrier afin de vous proposer, par courrier ou par téléphone, des offres commerciales correspondant à ce qu'il a déduit de la lecture de votre courrier.

Dans une communication électronique, le contenu de votre correspondance, contenant le message, est appelé le payload (que l'on traduit en français de manière peu élégante par la "quantité de données utiles transportées par un protocole » ). C'est ce payload qui est empreint du sceau du secret dans le cadre d'une correspondance électronique, le reste de votre communication, c'est l'enveloppe.

L'OPT-IN (la souscription volontaire de l'utilisateur) proposé par Orange, est la seule manière de pouvoir proposer ce service. Toujours dans notre exemple du postier, imaginez que la poste vous propose, moyennant une souscription volontaire, que votre facteur lise systématiquement tout votre courrier afin de vous proposer des offres commerciales. L'accepteriez vous dans la vie réelle ? C'est pourtant bien ce qu'Orange Préférences vous propose à travers son service.

Notre conviction chez Reflets, c'est que le DPI ne trouve sa légitimité QUE dans le cadre d'une procédure d'interception légale, avec une commission rogatoire, habilitant un tiers (un fournisseurs d'accès), à violer le secret d'une correspondance. Toutes les expériences passées nous ont démontré que les dérives liées à son utilisation sont inéluctables. Et pour tout vous dire, savoir la CNIL caution de son utilisation n'est vraiment pas fait pour nous rassurer.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée