SFR man in the middle : oui, c’est particulièrement grave

Nous vous parlions vendredi dernier des petites horreurs que nous avons eu la surprise de découvrir en surfant sur une connexion 3G SFR. A la lecture de certains commentaires, sur Reflets comme sur les trop
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

51 thoughts on “SFR man in the middle : oui, c’est particulièrement grave”

  1. quelques fôtdefrap

    *quitTe* à vendre
    contenus qui *SONT* trop
    celles *utiliséEs* par le régime syrien pour
    surveiller et *censurER*
    « d’importantes dérives » => d’inacceptables dérives
    je n’accède *PAS* à Internet,
    SARL Internet »‘ le « ‘ » est en trop

    J’ai aussi l’impression qu’il manque pleins d’accents ici ou là

    « SFR altère des oeuvres de l’esprit »

    Ohhhh, une idée « rigolote » familière ;)

  2. Méfiance Blue, tu glisses sur la corde raide :/

    Car contrairement à ce que dit clairement Col dans son papier Zdnet, de ce qui transpire du tiens ici, il s’ouvre une brèche vers l’option suivante :

    un « internet » altéré à la condition que l’utilisateur en soit « averti » (CGU… hum!), avec possibilité par opt-in d’avoir un internet non altéré (bonjour la porte ouverte aux tarifs+++ dans ce cas, et ce que ça implique à bien des niveaux n’est ce pas).

    Il n’y a pas à transiger de la sorte.

    Notons au passage ce point crucial qui ressort des conclusions du très serviable CCNum (voire servile, c’est dit, et cela me déplait de le dire car certains membres de ce conseil méritent mieux, mais ce fut tant un cadeau offert au PS en termes de communication et de stratégie « continentale »)
    conclusions qui renvoient de manière explicite vers un arbitrage au niveau européen, donc via les volontés de Madame Kroes et son entourage, dame qui a clairement exprimé son point de vue il y a peu concernant la « neutralité » et les offres « différenciées »!!!
    Un rapide parcours du CV de Madame Kroes suffira à comprendre de quoi elle est la main…

    La seule option défendable est un internet non altéré pour tous, par défaut, avec possibilité d’opt-in pour un internet plus rapide (charge alors aux législateur dignes de porter ce nom et non aux lobbies de se pencher sur la question de savoir si cet opt-in est un service méritant abonnement ou si par l’effet d’allègement sur la charge réseau de l’opérateur il ne nécessite donc pas de contrepartie financière de la part de l’abonné).

    Etc

    1. C’est discutable, si SFR m’indique contractuellement que ce n’est pas un accès à Internet qu’il me vend, libre à moi de l’accepter ou non. Mais effectivement il ne faut pas appeler ça Internet.

      Il n’y a pas d’internet +, il y a Internet ou pas Internet.

      Donc on se rejoint je pense au final.

      1. Faut voir… Pas sûr, loin de là au final, à discuter, un jour… :)

        Tu ouvres là encore avec ton « pourvu que ça ne s’appelle pas internet » une boite de pandore qui ravirait les opérateurs et autres affamés sans fin et à tout prix.

        Doit-il être acceptable qu’Internet soit rendu sécable pour tels ou tels intérêts infra-généraux,
        même si vendus ensuite par des marketers de « talent » comme des merveilleuses parcelles de terrain #ultranet ou #wondernet ou #lidlnet?

        Non.

        Je te sors pour mémoire le lien vers le panachage d’offres Us qui ressemblent à un sapin lumineux avec options tendance
        skype#oupas
        facebook#oupas
        twitter#oupas
        mail#oupas
        vidéo#oupas
        mousik#oupas
        protocoleXouYouZ#oupas
        etctoutestpossiblen’estcepas#oupas
        ?

        Non, non, non, et non. L’accès à internet doit rester non-sécable, et neutre#pascommeSFRdonc, par défaut.

        Cette question est politique, et au plus haut des niveaux des considérationS d’ordre politique.

        Me voilà situé, clairement.
        Toi moins Blue, par contre, sur cette question éminemment structurante pour nos sociétés ;)

  3. Mon dieu ! Un complot ! (sur ce site ? étrange…)

    Sans vouloir offenser personne, on est tout de même en train de dire que mettre un proxy sur le net est quelque chose de Mal. C’est quelque chose que tous les opérateurs font – on appelle ça des CDN, pour content delivery network.

    Le fait que ce proxy soit intelligent et fournissent des données optimisées pour la navigation sur mobile est là aussi extrêmement grave. Lorsque j’utilise mon téléphone sur une connexion mutualisée (parce ques les connexions mobiles sont mutualisées, au cas ou ça aurait échapé à quelqu’un ; Si 100 personnes sont sur une seule antenne 4G, alors chaque personne n’a qu’un Mo de bande passante (dans un centre commercial, 100 personnes, ça fait peu)) qui souffre lorsque trop d’utilisateurs sont en ligne, ça m’ennuie profondément de n’avoir à charger que des pages qui s’affichent dans un temps décent. Je préférerais très nettement avoir des images énormes, longues à charger, qui m’offriront le maximum de détails visibles sur mon énorme écran 3,5 pouces de 480×800 pixels. C’est tellement plus mieux de demander à mon téléphone de faire le redimensionnement par lui même, lui permettant ainsi d’utiliser un peu plus d’énergie – à l’heure où on parle d’écologie, il est préférable de mettre en place des solutions qui permettent une consommation d’énergie maximale.

    Avant de monter sur un imposant équidé et d’organiser la formation de mouvements atmosphériques intenses dans un petit récipient remplit au trois quart d’un liquide aqueux, il faudrait peut-être répondre à une question simple : qu’est-ce que j’y perds, en tant qu’utilisateur, et qu’est-ce que j’y gagne ? La réponse à la première partie de la question est « rien ». La réponse à la seconde partie de la question est « un peu de batterie et un peu de bande passante, que tout le monde pourra utiliser ».

    Ou alors, j’attends les preuves que SFR a délibérément ralenti un accès à un site web particulier, ou changé le sens d’un texte ou d’une image, ou qu’il a censuré quelque chose (parce que bon, c’est ça, la neutralité du net ; ce n’est pas l’interdiction de l’utilisation de procédés d’optimisation (cache, adaptation de la taille d’image…).

    Quand à passer outre, c’est une bonne idée : vous n’avez quà demandez aux quelques millions de clients de SFR (ou quelque chose comme ça ; je peux me tromper) de payer un peu plus pour que votre confort personnel soit assuré. Tout en continuant bien sûr à pester contre SFR parce que ses forfaits sont trop chers par rapport à ceux de Free – donc, en gros, SFR doit augmenter le prix de ses forfaits tout en baissant le prix de ses forfaits. Ca va être simple à mettre en oeuvre ça.

    Bon, je vous laisse, je vais aller lire des choses vraiment intéressantes, écrites par des gens intelligents.

    1. « Proxy intelligent »… elle est bien bone… depuis quand l’intelligence ne se situe plus aux extrêmités du réseau mais en son « centre » ?
      Je passe sur le reste de ton argumentation qui légitimise des altérations de contenus, pas envie de m’égosiller un dimanche.

    2. Le gentil petit FAI qui veut du bien à ses gentils petits abonnés.
      Une larme de bonheur me vient.

      En quoi est-ce mal que l’utilisateur soit au courant de ces pratiques et en quoi est-ce mal qu’il ait le choix ?

    3. « Bon, je vous laisse, je vais aller lire des choses vraiment intéressantes, écrites par des gens intelligents. »

      Le monsieur vient d’affirmer qu’il ne s’est pas relu. :)

    4. L’injection de JavaScript pour améliorer l’expérience utilisateur et faire baisser le prix des forfaits, sur un fond d’empreinte énergétique :D

      I LUV DAT. SO CUTE !

      Merci, Syvlain, pour cette participation qui illumine cette grise journée.

    5. « qu’est-ce que j’y perds, en tant qu’utilisateur, et qu’est-ce que j’y gagne ? La réponse à la première partie de la question est « rien ». »

      On voit que tu n’as pas lu l’article pour répondre « rien ». Ou alors tu n’as juste rien compris.
      Et à partir de ce constat, on peut effectivement affirmer que ton argumentation ne vaut « rien ».

  4. « Mon dieu ! Un complot ! »
    Mais non voyons, simplement une tromperie, mais « c’est pas grave » puisque « c’est utile pour le consommateur » pourquoi s’emmerder à lui expliquer et à lui demander/proposer de choisir…
    Ben voyons, c’est bien connu, d’ailleurs la viande de cheval est bien meilleure pour la santé (plus maigre) que celle de boeuf …. Pourquoi ces « cons de consommateurs » ont trouvés quelque chose à y redire …

    Non, un proxy cache presque transparent n’a rien à voir avec un CDN.

    « Avant de monter sur un imposant équidé et d’organiser la formation de mouvements atmosphériques intenses dans un petit récipient remplit au trois quart d’un liquide aqueux »
    Superbe formulation, j’apprécie beaucoup.

  5. Excellent article, clair et précis. Vous faite du bon boulot chez Reflets, continuez, on a besoin de vous.

    Cependant j’ai une question : quel opérateur mobile choisir pour avoir le vrai Internet ?

    1. Ben il faudrait qu’il te délègue exclusivement au moins une adresse IP publique (v4 ou v6), qu’il ne filtre rien ni en entrée ni en sortie, qui’l n’injecte rien (pas de TCP Rst sauvage), qu’il ne modifie rien, qu’il ne privilégie rien, etc.

      Pas sur que ça existe sur le marché un telle licorne … Sauf à la faire sois même.

          1. Oui pour l’ADSL. Mais pour le mobile il n’y a rien… Si quelqu’un a des infos sur des projets ou des discutions abordant ce sujet, je suis preneur.

      1. Oui, ils vont peut-être s’en tirer avec une simple amande et dans quelque temps ça recommencera de plus belle. C’est sans arrêt comme ça.
        Franchement, je pense pas que le gouvernement ou autre fasse quelque chose, ou alors de belles promesses comme d’habitude, histoire que tout le monde oubli et soit rassuré à chaud et après c’est reparti…
        Tu sais le coup du #Spanou® ;-).

  6. Je viens de vérifier et comme on pouvait s’y attendre chez joemobile on est traité de la même façon

    Comprehensive Perl Archive NetworkOver 15 years of Perl libraries at your fingertips<td

  7. Pourquoi vos articles ne sont que contre SFR ? Vous manquez vous même de neutralité ! Tous les FAI mobile utilisent des proxy, et depuis toujours. D’ailleurs avant il fallait même les mettre « à la main » dans les APN sur les mobiles, aujourd’hui la plupart sont en mode transparent, c’est plus simple.

    Pour ce qui est de l’information préalable, relisez vos CGV SFR Mobile, il y a indiqué EN TOUTES LETTRES que l’intégrité des données n’est pas garantie sur ce réseau. Donc n’importe quelle données peut être altérée, sans autre préavis.

    1. Si vous nous lisiez un peu plus, vous sauriez qu’on épargne personne… mais alors vraiment personne :

      http://goo.gl/1i8mJ
      http://goo.gl/eV0RF
      http://goo.gl/hF32D
      http://goo.gl/GNX7c

      Donc niveau partialité, il faudra trouver autre chose.

      « Tous les FAI mobile utilisent des proxy »

      Oui mais tous les FAI ne modifient pas à la volée les contenus des pages.

      « Donc n’importe quelle données peut être altérée, sans autre préavis. »

      Il y a une difference entre l’altération volontaire et l’altération accidentelle (congestions etc)

  8. Juste pour ajouter qu’en altérant sans leur consentement les pages HTML et images JPG de Reflets et de tous les autres sites web, SFR se rend coupable du délit de contrefaçon, ce qui est passible d’une sanction pénale.

    Un éditeur de site web peut donc dès demain aller déposer plainte contre SFR et tout autre opérateur ou FAI qui agirait de même…

    1. Eh bien justement, si c’est pas trop vous demander, je voudrais bien comprendre l’image « touche pas à mon site »…
      Je sais, c’est honteux peut-être, mais je ne comprends pas : ergo, je demande.

      1. C’est « simple »,
        En « optimisant » les images, celles qui sont affichées ne sont pas les originales mais des version altérée, dégradée, plus légères, en d’autre mots : des contrefaçons.

        De plus l’injection de « scripts optimisants » dans le contenu des pages html modifie sans aucune ambiguïté possible le dit contenu (avant il y était pas le script alors que maintenant il y est) sans l’accord du créateur de la page ni celui de la personne qui la lit.

        C’est plus clair ?

  9. Face à du man in the middle (de quelque opérateur que ce soit), les éditeurs de contenus responsables devrait forcer l’utilisation d’HTTPS, surtout qu’il existe des solutions gratuites comme StartSSL dont les certificats sont valables un an.

  10. Bonjour,

    Juste pour info et sans vouloir rajouter de l’huile sur le feu, Orange fait de même avec ses WISP internet pour les mobiles. Le contenu délivré est automatiquement optimisé aux terminaux finaux.

  11. Dans le cas de ces proxys « accélérateurs » qui dégradent la qualité des images, que penser du résultat sur les éventuels messages ou images que peuvent tenter de faire passer au grand jour mais en douce quelques rebelles/résistants/activistes/manifestants/journalistes/etc… de pays « compliqués » afin d’éviter de se faire repérer par un bon vieux VPN IPSec ou SSL bien gras ? Je parle bien sûr de stéganographie. Le contenu du fichier étant différent entre la source et la destination, le « message » caché est forcément détruit.

    J’imagine ce cas mais il doit bien y avoir d’autres situations où le problème se pose sans que les personnes concernées ne puissent se douter de la présence du problème, ni même avoir les moyens de s’en apercevoir et de contourner le problème.

    La Neutralité du Net doit être respectée : c’est la condition sine qua non de la liberté d’usage d’Internet.
    C’est aux extrémités de s’entendre, sans encombre, sur ce qu’elles veulent échanger. Le transporteur ne doit en aucun cas faire preuve d’intelligence, car il ne connait pas avec certitude les tenants et aboutissants de l’échange d’informations qu’il transporte…

  12. Salut,

    N’ayant pas de forfait 3G chez SFR, je ne peux pas faire ce petit test ;)

    Mais quelqu’un pourrait-il essayer de bloquer l’ip du proxy (ou la plage d’adresse correspondante) avec par exemple iptables pour voir si on a toujours accès à internet via une connexion 3G ?

    Merci ;)

  13. On ne peut laisser les opérateurs utiliser des proxys pour modifier le contenu de ce que l’on consulte ou transmet.

    Laissez les opérateurs « pratiquer » ce type d’opérations entraine le risque non seulement de recevoir des informations « tronquées », « modifiées », mais aussi, et c’est plus grave, de les autoriser à lire le contenu de nos emails, et pourquoi pas à modifier aussi leur contenu.

    Même si il n’y a pas d’intention délibéré de la part d’un opérateur pour ce genre d’actions délictueuses, un pirate peut à un moment quelconque prendre le contrôle du proxy mis en place par l’opérateur et agir de la sorte.
    Et je ne parle pas du cas où le pays passe sous un régime dictatorial…
    Dans un pays où déjà le fait d’avoir une cocotte minute et un peu d’engrais suffit pour être classé comme terroriste, il ne reste que trafiquer un email pour avoir toutes les preuves nécessaires à une bonne incarcération ;-)

  14. Bien, çà aide à mieux comprendre tout le foin fait autour du claoude vs un hébergement web.
    Dans le claoude, l’opérateur sait dans quel répertoire se trouve images et zik
    et peut, sinon tailler à volonté dedans, du moins en faire un miroir de ces fichiers mais pré-rognés d’où il les reservira lors d’une requête par un mobile.
    Alors que l’hébergement d’un site web , il ne sait pas d’avance où on va fourrer ses images …

  15. Bonjour !

    Tout d’abord merci pour cet article. Ils sont bien peu nombreux à aborder le sujet.

    Je rencontre actuellement un drôle de problème qui est lié à ce fameux « Man in the middle » de SFR. Je ne suis pas sûr de poster mon commentaire au bon endroit mais je tente ma chance. Dans tous les cas ça montrera que ces pratiques peuvent avoir des répercussions.

    Certaines pages (deux exactement) d’un site qu’on a développé pour un client ont des images qui ont été mises en cache par SFR et ne s’affichent plus… Leur « nouvelle » url est bien celle modifiée par SFR : 91.68…. + /bmi/ + URL de la cible.

    Le problème, c’est qu’il n’y a aucune info. Pas moyen de savoir pourquoi telle ou telle page a été mise en cache, comment l’éviter etc. J’ai bien réussi à faire sauter leur cache sur une des deux pages en ôtant le trailing slash de l’url (???). Mais pour la deuxième, je ne vois pas de solution. Je me demandais si la mise en cache d’une page n’était pas liée au nombre de requêtes qu’elle émet, ou au nombre des images présentes (pour optimiser), mais une des pages du site avec des dizaines de photos ne passe pas par ce cache.

    Voilà, comprends pas. Quelqu’un aurait une idée ?

    Merci par avance ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *