Quand la CNIL fait de la publicité pour le Deep Packet Inspection d’Orange

Incroyable et honteux ! Sur France Info, Sophie VULLIET-TAVERNIER, directrice des études, de l’innovation et de la prospective de la CNIL, fait ouvertement la promotion du service Orange Préférences, un service qui nous avait fait bondir car nous avions tout de suite reconnu ici l’usage, confirmé par Orange, du Deep Packet Inspection, une technologie particulièrement intrusive dont l’objet même est de lire la charge utile de vos correspondances. Ce qu’on appelle ici la charge utile, c’est TOUT le contenu des paquets, que vous recevez et envoyez sur le réseau : vos emails, vos chats, vos mots de passe (non chiffrés)… rien ne lui échappe. Ce service est une hérésie en matière de sécurité puisqu’il est par définition une invitation à ne pas utiliser le chiffrement SSL, partout où ce dernier est disponible (le chiffrement rend le DPI sourd et aveugle, particulièrement dans ce cadre d’utilisation à vocation publicitaire). Par ce service, l’abonné Orange ayant souscrit à ce service, appelons le un « bon con » pour qui Orange a tout intérêt à entretenir l’e-gnorance, s’engage donc à surfer le plus souvent possible à poil pour qu’on puisse lui envoyer de la publicité ciblée. Et la CNIL, dont l’objet est sur le papier (elle bénéficie en tout cas de financement publics pour), la protection des données personnelles cautionne cette merde ?! What the fuck ?

Nous avions déjà mis en garde sur l’usage de cette technologie à des fins publicitaires quelques mois avant qu’Orange ne lance ce service. Une fois de plus Reflets.info avait eu le nez creux, il était évident que ceci allait débarquer en France.

Non contente de ne pas servir à grand chose, la CNIL s’érige donc maintenant (par manque de budget ?) en support publicitaire pour aller redorer le blason des fournisseurs d’accès en faisant la promotion et là c’est quand même un comble, du Deep Packet Inspection. Plus particulièrement du service Orange Préférences, proposant aux abonnés d’Orange, sur inscription de bénéficier du viol de leur correspondance personnelle en échange de publicités ultra ciblées ! Mais tout ceci est bien légal nous assure Sophie VULLIET-TAVERNIER… puisque « c’est sur OPT-IN », éludant LA question technique par une belle pirouette synonyme d’un « c’est trop compliqué, et puis vous êtes un peu trop cons pour comprendre le DPI » … omettant non seulement de citer la technologie (pas franchement populaire dans les pays arabos musulmans qui connaissent des soulèvements et à qui la France comme d’autres pays fournissent ces armes numériques en se cachant derrière leur petit doigt et dont notre ministre de la défense a même le culot de dire qu’elles sont « détournées »), mais en plus se gardant bien d’expliquer de manière claire que ce service consiste, dans les faits, à un viol de correspondance privée… sur OPT-IN !

Voici un petit mémo à destination de la CNIL, pas trop compliqué, histoire qu’ils puissent bien retenir.

DPI = Lecture du PAYLOAD = VIOL DES COMMUNICATIONS

Ecoutez bien cette interview ce spot publicitaire

C’est super le DPI hein ?

La CNIL ne doit pas lire Reflets, c’est fort dommage. Comme nous sommes bien assurés qu’elle ne manquera pas cet article, nous allons lui faire un bref récapitulatif de la technologie dont elle fait ici la promotion.

La journaliste de France Info pose évidemment des questions à la limite de la complaisance, du moins en insistant surtout pas, même si quelque part elle sent le coup le fourré. On a quand même droit à une question pertinente :  « Est-ce Légal ? ». En réponse, on utilise un peu de novlang, « fichage ou espionnage » deviennent « profilage », l’espionnage de vos surfs devient du « comportement de navigation », l’ interception et l’analyse de vos communications deviennent « remontée et analyse des navigations »… bref la CNIL vous rassure, le DPI, c’est super, les clients sont informés puisqu’ils lisent les conditions générales d’utilisation d’Orange qui prennent évidemment bien soin d’expliquer que cette technologie est celle qui sert actuellement à tuer en Iran ou en Syrie. Le seul truc important pour la CNIL, c’est l’OPT-IN… mais l’OPT-IN à quoi ? A ce que l’utilisateur en sait, à ce qu’on veut bien lui raconter ? Ou l’OPT-IN à une technologie qu’il comprend comme ce qu’elle est réellement : une technologie de surveillance de masse… le nucléaire d’Internet !

Et quand on demande à Sophie VULLIET-TAVERNIER, comment techniquement ça fonctionne, elle pouffe de rire avant de nous nous faire comprendre que « c’est trop compliqué ces histoires  ». La CNIL s’assure que votre vie privée est bien défendue, c’est ça le message de service en plus du spot de pub pour le Deep Packet Inspection à des fins publicitaires

« Le FAI s’engage à ce que les mots de passe, les chats (…) ne soient pas traités (..) »

Tout ceci est intercepté, mais ne vous inquiétez pas « on les efface, c’est pas traité  », Nous voilà sauvé !

Mais quand on sait comment Orange efface les données, excusez nous d’avoir peur !

On comprend aisément que Sophie VULLIET-TAVERNIER ne soit pas super chaude pour rentrer dans le détail. Faire l’éloge du DPI, la technologie que mettent en place toutes les dictatures, tous les régimes autoritaires pour réprimer leur population. Et ça, la CNIL, étrangement, se garde bien d’expliquer le risque du déploiement de cette technologie, pour tout et n’importe quoi, elle se garde bien de la nommer, des fois que des auditeurs comprendraient trop bien l’anglais et comprennent qu’il retourne « d’inspection en profondeur des paquets IP  », et elle se garde évidemment d’expliquer le caractère par définition intrusif du DPI !

Reflets s’interroge sur l’identité du financeur de la CNIL pour cette publicité sur France Info, on va donc demander l’avis du public.

Cher lecteurs, pensez vous que le nouveau sponsor mystère (en plus de vos impôts) de la CNIl soit :

a) Alcatel Lucent

b) Qosmos

c) Amesys  

d) Orange

Twitter Facebook Google Plus email


43 thoughts on “Quand la CNIL fait de la publicité pour le Deep Packet Inspection d’Orange”

  1. Ils sont gentils quand même, ils proposent de s’inscrire.
    Mais du coup, leur truc qui marche que pour les inscrits, comment ça se différencie concrètement dans les tuyaux ? Y a un câblage différent pour les gens qui veulent se faire espionner ou il ramassent tout et ensuite filtrent (plus ou moins bien) pour analyser que les inscrits ?
    Perso, j’en comprend que tout le trafic est gentiment analysé par les gentilles appliances de DPI et y a que les inscrits qui ont la chance de voir les pubs ciblées sur le site d’orange. Les autres continuent seulement à voir les pubs standards.

    1. « que la pub sur mes pages firefox  » : ça ne veut rien dire ça. Ce qui est parlant c’est de nous dire sur quels sites vous constatez ça. Il n’y a pas de « pub firefox » mais de la pub sur des sites web affichés par votre navigateur firefox.

    2. C’est normal, c’est du traçage publicitaire, notamment réalisé par Google et ses cookies. Vous allez voir un produit sur amazon, et en surfant sur un autre site, ce produit ou des dérivés se retrouveront dans les nouvelles pubs. Pour éviter ça, il faut tenter l’extension opt-out. C’est pas toujours efficace, mais c’et mieux que rien. Sous Chrome, j’avais présenté une méthode officielle similaire pour désactiver ce suivi. Vider les cookie à la fermeture du navigateur peut aider. Enfin, tout ça pour dire, que ça n’a rien à voir avec Free, ni avec ce scandale de la CNLI qui fait de la pub pour le DPI. Franchement, on aura tout vu.

      1. Sinon, vous pouvez demandez à Firefox de supprimer les cookies tiers (les cookies des bannières publicitaires) voir de supprimer tous les cookies à la fermeture.
        https://support.mozilla.com/fr/kb/Activer%20et%20d%C3%A9sactiver%20les%20cookies
        Bien sûr il y a Do Not Track de Firefox ( ne pas me pister), mais c’est au bon vouloir des sites :-/
        https://support.mozilla.com/fr/kb/comment-activer-option-ne-pas-pister?s=do+not+track&r=0&as=s

  2. Bon, j’essaie de comprendre : en gros, on nous propose une option qui permet au FAI d’utiliser nos données de navigation pour renvoyer des publicités ciblées; j’imagine donc un forfait moins cher.
    Mais je me pose des questions : qui nous dit que ce travail n’est pas déjà fait par des FAI ? Est-ce interdit ?
    La seule chose rassurante, c’est que cet espionnage a un coût; et à moins de rentabiliser par de la pub ciblée, je ne vois pas l’intérêt.

    1. Je vais faire une petite analogie avec le courrier :
      Si j’achète de la lingerie fine chez A****e, je peux comprendre que le magasin m’envoie un catalogue dans le colis, ou sous pli discret quelques jours plus tard.

      Par contre, je n’accepterais pas que les services de Chronopost ouvrent tous mes colis, s’apercoivent que j’ai acheté une jolie nuisette à offrir à ma copine pour la St Valentin et en conséquence m’envoient des catalogues de sex-shops

      A*****e : le site marchand, j’accepte la pub qui correspond à ce que j’ai acheté chez eux
      Orange : le transporteur, je refuse totalement qu’ils ouvrent tous les colis, ce que la directrice culturelle trouve totalement novateur et approprié.

    2. Je complète : l’option qu’on te propose, c’est d’accepter de recevoir de la pub.

      Mais « l’ouverture des colis » (le DPI), il ne sera pas en option, c’est techniquement extrèmement compliqué, voire impossible. D’ailleurs, la directrice fait elle-même le distinguo entre les 2 phases (c.f. 1mn50 de l’audio, et la suite)

      C’est vraiment effrayant

      Par contre, cool, on pourra saisir la CNIL, je suis pleinement rassuré :(

  3. La CNIL, depuis le temps que je la contacte… jamais une réponse. Leurs mails sont un peu difficiles à trouver, mais on pourrait faire un envoi massif de protestations, genre ce que fait EFF ou LQDN avec les zompolitiks
    Sa nouvelle présidente est le pur produit du système flicage, digne successeur d’Alex Turk, inutile et parasite à la fois.

    1. Ca me choque aussi, il y a une sacrée différence : je ne suis pas obligé d’utiliser google mail, et avec le routage IP, je ne pense pas que les mails de ma boite free ou celles de mon FAI (qui n’est pas free) soient lues par Google.

      Par contre, quand le DPI au niveau du fournisseur d’accès, il n’y a aucun moyen d’y échapper, tous les paquets IP sans exception sont interceptés, et lisibles si on n’est pas en https.

      Ils font vraiment chier. Merci pour le cadeau de nowel

    1. VPN + Proxy ?! Belle blague !

      VPN :
      1/ Tout le trafic est dirigé à destination d’une société gérant le point de sortie du VPN… Société probablement basée dans un pays disposant d’encore moins de loi de protection vie privée que le notre… belle confidentialité.
      2/ Tout le trafic sortant du VPN atterrit sur le réseau d’un opérateur internet qui fait peut-être lui-même usage de DPI… la cerise sur le gâteau, donc.

      Proxy :
      1/ reprendre exactement le point 1 VPN et remplacer VPN par proxy.
      2/ faire de même que précédemment mais avec le point 2.

      Les solutions de protection de la vie privée existent de moins en moins et la seule solution probablement efficace reste le « brouillage des pistes » : générer du trafic non pertinent qui rendent le « profilage » complétement incohérent et donc commercialement invendable.

      1. Je pense qu’il voulait parler de VPN avec cryptage SSL.

        Très franchement, il n’y a pas besoin que ces sociétés se servent de DPI pour avoir des masses d’informations qui nous concernent. Il n’y a qu’a regarder les réseaux sociaux qui fleurissent et dont les pécnos racontent leur vie à outrance.

        Au final il y a nous qui se soucions de notre vie privée et de ce que nos politiques sont en train de faire du « Net France » et les autres qui en ont strictement rien à foutre et votent pour une « image politique » plutôt qu’un vrai programme….. un peu comme une Star’ac !

        On pourra toujours s’indigner de ce genre de chose mais on est malheureusement qu’une infime partie de la population a s’y intéresser et surtout à comprendre ce « débat camouflé ».

        1. Oui, c’est bien ça, VPN avec cryptage.
          Et en ce qui concerne fessebouc, je suis tellement d’accord avec ce que tu dis que j’ai 3 comptes perso, aucun à mon nom, et aucune info personnelle sur un site un tant soit peu public (je fais abstraction des sites marchands et des FAI, mais je n’achète pas si l’accès au compte n’est pas sécurisé)

  4. Nan mais en revanche, ce qui m’inquiète, c’est est- ce que ce service honteux va rencontrer le succès?
    Parce que ça part quand même du postulat que les gens vont être assez cons pour DEMANDER qu’on leur envoie de la pub… A priori, la pub on la subit plus qu’on ne la demande (et je parle vraiment de manière générale).

    Du coup, si ce truc rencontre un certain succès, j’ai vraiment peur que ça confirme ce qu’Orange et consorts ont l’air de penser de leurs clients, à savoir que c’est des gros crétins et qu’avec eux plus c’est gros, plus ça passe.
    Bref, ce serait un peu la porte ouverte à toutes les fenêtres…

    1. Là où ça m’inquiète, c’est qu’en étant à peine parano, on peut imaginer que ce système ne soit qu’une sorte de beta-test du DPI sous couvert de cibler de la pub pour faire payer moins cher les abonnements.

      Une fois que c’est bien beta-testé par les moutons (pardon, les Michutons ^^) il n’y a plus qu’à attendre que les lois autorisant le DPI global de partout arrivent (car pour l’instant tout laisse présager qu’elles arriveront un jour) et Orange serait fin prêt à lancer le DPI de partout.

      1. « Pour voir tous les avantages pour l’utilisateur »
        Par exemple : Suite à une rupture reçue par SMS, je n’ai pas besoin de me remuer le couteau dans la plaie en passant mon statut à « célibataire » sur mon réseau social préféré, ce sera fait automatiquement par mon opérateur_téléphonique/FAI grâce à la quadruplay ? Ensuite, dans le soucis de me réconforter, celui-ci passe (ou vend, il faut bien vivre) l’information à mon marchand de glace (pas forcément préféré, Arnaud Montebourg impose le made in France). Ce dernier m’envoie une glace dans un colis… Qui lui-même sera vérifié par mon facteur (soucieux de ma protection… Les bombes, toussa), qui, lui aussi empathique, me donnera tous les magazines pr0n qu’il a commandé par le passé grâce à ma carte bancaire (qu’il n’a pas encore eu le temps de m’apporter car il n’a pas finit ses achats)…

        Bon, allez, je m’arrête là, mais je serais content de lire la suite de cette histoire (sous licence CC0) si quelqu’un la poursuit un jour ! XD

  5. Que vous etes crédule !
    En fait, la technologie va passer par les CLOUDs, ou toutes vos données que vous postez deja sur le net avec les services de sauvegardes en lignes, partages de photos, associés à cela les reseaux sociaux ou les gens pavannent leurs vies privees, professionnelles, et j’en passe.
    Pfff… VPN/PROXY/CRYPTAGE ne servent a rien. La majorite des gens sont deja infectes par des keylogger, videologger, et les cartes de credits francaises sont en ventes pour 4 euros sur le marche russe…. la DPI c’est de la gnognote comparé a tout cela. A bon entendeur!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *