Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Reflets, Orange, le DPI, la presse et notre ego surdimensionné...

Dans le micromicrocosme de la presse en ligne s'intéressant à ce qui se passe sur Internet et pas trop à ce qui passe dans le monde (mais c'est une autre histoire et donc l'objet d'un autre article), il y a eu un épisode marrant ce jour et que Reflets va vous conter (pour ceux qui n'auraient pas suivi). Ça commence par un article de Rue 89 qui reprend une info de la Lettre A sur Orange et sa possible adoption du Deep Packet Inspection pour "affiner" ses forfaits.

Dans le micromicrocosme de la presse en ligne s'intéressant à ce qui se passe sur Internet et pas trop à ce qui passe dans le monde (mais c'est une autre histoire et donc l'objet d'un autre article), il y a eu un épisode marrant ce jour et que Reflets va vous conter (pour ceux qui n'auraient pas suivi). Ça commence par un article de Rue 89 qui reprend une info de la Lettre A sur Orange et sa possible adoption du Deep Packet Inspection pour "affiner" ses forfaits.

Faisons une petite digression sur la presse. La Lettre A est ce que l'on appelle dans le jargon de la presse, une lettre confidentielle. Elle est vendue cher à des abonnés. Elle n'affiche donc pas son contenu à tout le monde. Du coup, c'est Rue 89 (sans doute abonné) qui fait le buzz sur cette histoire sans être à l'origine de l'information.

Dans la journée, Owni emboite le pas, d'autant que Rue 89 cite un papier ancien des confrères, portant sur la fin de l'illimité en France.

Et puis dans "l'affaire" rapportée par Rue 89, on cite Qosmos qui apporterait les sondes pour le "DPI made in Orange".

Comme tout le monde le sait, Reflets a codé depuis longtemps le fameux DaHubbleVisionPowa©.

Dès que les mots Amesys, Qosmos, Deep Packet Inspection sont prononcés quelque part dans le monde, une alerte nous est remontée. Nous ne pouvions laisser les lecteurs de Rue 89, la Lettre A etc. sur leur faim. N'écoutant que mon courage, j'ai tweeté quelques liens sur le sujet évoqué.

Car aussi étrange que cela puisse paraître, Reflets, qui est un journal gratuit (sauf les dons que vous voulez bien nous faire parce que nous "le valons bien" et vous aussi ®), avait déjà écrit quelques petits trucs sur la tentation du DPI que vivait pleinement l'opérateur historique.

Le papier le plus proche de ce que l'on évoque aujourd'hui date du 23 décembre 2011 (ça date un peu hein ?) et est titré "Quand la CNIL fait de la publicité pour le Deep Packet Inspection d’Orange". Mais des papiers sur la Neutralité du Net by Orange, Reflets en a publié une sacrée palanquée. Comme ici ou .

Mais, à mon sens, c'est surtout ce papier qui aurait dû générer un gros approfondissement de la part de la presse qui s'émeut aujourd'hui de la possibilité d'une présence de DPI chez Orange. Qu'il s'agisse, dans l'esprit de l'opérateur, de faire payer selon les types d'usage (que le titre racoleur sur la fin de l'illimité évoque) ou d'un tout autre usage, c'est la présence même du DPI en cœur de réseau qui est inquiétante. Au détour d'un paragraphe, nous évoquions le projet "Matrice" d'Orange et l'implication d'Amesys dans ce projet.

Cette information, comme une tripotée d'autres, sur Amesys, que nous avons publiées, n'a jamais intéressé la presse. Personne n'a approfondi, personne n'a repris. Ni le projet "Matrice", ni le courtois et amical "sponsoring" du Festival mondial des arts nègres à hauteur de 130 000 euros par Amesys. Ni même l'existence d'un projet Eagle en France impactant plusieurs ISPs...

Bref, revenons à mon tweet contenant ces liens. Il était accompagné d'un hashtag maison : #TiensLaPresseDécouvre.

Ce qui m'a valu une réponse toute en finesse de @martin_u :

Oui, il faut le dire, l'avouer enfin, l'ego des auteurs de Reflets est absolument démesuré. On a le melon qui explose.

Allez, ça c'est fait.

Revenons au projet "Matrice".

En octobre 2011, Orange formalise par écrit un cahier des charges pour son projet "Matrice 10GB". Ce cahier des charges est signé par Nicolas de Javel. Selon son profil Linkedin, Nicolas est en fait un salarié d'une SSII en poste chez Orange comme "Chef de projet déploiement service". En quoi cela consiste-t-il ? Hum. Selon le même profil Linkedin il s'agit de :

Déploiement et suivi du dimensionnement d’infrastructures sur le réseau cœur mobile Suivi et optimisation du dimensionnement Projections (planning, budget) des évolutions capacitaires et techniques Pilotage et coordination des intervenants lors des déploiements Gestion de la relation avec les fournisseurs :Industrialisation des procédures de déploiement Négociations des coûts Contrôle de la qualité des prestations

Le projet Matrice est bien entendu un simple projet visant à mieux répondre aux attentes des clients d'Orange en permettant à l'opérateur d'être alerté en temps réel des dysfonctionnements de son réseau. Le DPI, ça sert à ça ma bonne dame.

Voilà ce que dit le cahier des charges :

Afin de répondre à des besoins de monitoring sur les architectures complexes utilisant des infrastructures réseau à base de fibre 10Gbs, 1Gb de liens de cuivre 1Gb, nous souhaitons avoir une solution flexible, que nous appellerons Matrice, pour rediriger et filtrer la demande de flux en provenance d'un splitter ou d'un port de capture vers un outil d'analyse, optimisant de la sorte l'utilisation de ces derniers. En amont de ces Matrices, seront déployés des splitters 70/30 installés dans les répartiteurs optiques ou des TAP cuivre Gigabit. Les Matrices seront déployées dans une armoire où seront aussi regroupés sondes et analyseurs de protocoles. Deux catégories d'usage sont aujourd'hui identifiées :

  • La collecte en permanence en des points précis de l'infrastructure à des fins de supervision de la qualité de fonctionnement via des équipements sondes.
  • La collecte de manière ponctuelle pour analyse des flux réseaux dans le cadre de la résolution d'un incident ou du traitement d'un problème (analyseur de protocoles).

Dans la liste des choses que les Matrices devaient pouvoir faire, on retiendra des trucs qui aident beaucoup pour la supervision de la qualité de fonctionnement de l'Internet by Orange© :

  • Capacités de filtrage avancées : MAC, IP, Port, Vlan, protocole
  • Possibilité de faire DPI (Level 2 -> 7)
  • Interface graphique embarquée dans un client léger
  • Capable d'analyser le trafic IPV6 pour le filtrage et le DPI
  • Possibilité de répartir le trafic de plusieurs liens en entrée sur plusieurs ports en sortie avec possibilité d'affinité de session selon critère (@ IP, ...)

But, oh, wait... Mais ils en veulent combien des points de capture du trafic ?

Voyons, voir... Sur le beau dessin d'Orange, il y a quand même 15 et selon le cahier des charges, on ne parle là que d'une sorte de test sur une architecture représentative des besoins sur de nouvelles infrastructures. L'avenir est radieux.

Mais ensuite, après publication de ce beau cahier des charges pour du "DPI by Orange"® imaginé afin de te faire un meilleur réseau bien supervisé, mon cher client Orange, que s'est-il passé ?

Bof, on retrouve nos amis de Bull/Amesys qui répondent, c'est bien normal.

Ils savent à peu près faire tout ce que veut Orange (mais pas le réassemblage de paquets TCP demandé).

En même temps, quand on a réussi à mettre en place un système d'écoute global pour tout un pays... Quelques sondes chez Orange... C'est sans doute de la gnognotte.

Sans compter que le client, Orange, sera sans doute beaucoup moins tendu qu'un Abdallah Senoussi, terroriste notoire et sans doute un rien colérique. Allez savoir comment peut finir la colère d'un client comme ça quand vous êtes en visite sur place pour voir l'avancement de votre bel Eagle poilu...

Amesys présente donc début décembre 2011 du Gigamon.

Mais en janvier 2012, on est sur du Netoptics. Un produit bien américain, qui s'est probablement retrouvé dans quelques pays bien douteux et avec lesquels le Département d'État n'a pas de relations amicales (souvenez-vous de Bluecoat). Et cela, sans doute par la grâce d'intégrateurs peu scrupuleux. Des gens capables d'aller vendre n'importe quoi à n'importe qui.

Pour en revenir au début de cet article fleuve, la question n'est pas de savoir si Orange et les autres ISP réfléchissent aux usages possibles du DPI by Qosmos, Amesys, etc. ou pas, parce que cette question a déjà sa réponse depuis des lustres.

Oui, les ISP installent du DPI.

Oui, ça craint.

Non, ça ne date pas d'hier.

Oui, il est trop tard.

Non, la CNIL n'en a rien à faire et comme toujours, elle ne sert à rien.

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée