SFR man in the middle : oui, c’est particulièrement grave

sfrmitmNous vous parlions vendredi dernier des petites horreurs que nous avons eu la surprise de découvrir en surfant sur une connexion 3G SFR. A la lecture de certains commentaires, sur Reflets comme sur les trop rares sites qui semblent s’intéresser à ce qui constitue une atteinte manifeste à la Neutralité du Net, il nous a semblé bon de vous expliquer avec un peu plus de détails pourquoi les pratiques constatées chez SFR sont graves et pourquoi ni les utilisateurs, ni les éditeurs de sites web ne devraient un instant tolérer ce genre de pratiques. Le message que l’internaute va chercher sur Internet est altéré et modifié par l’opérateur, comme si le facteur ouvrait votre courrier et en modifiait le contenu avant de le faire parvenir au destinataire.

Votre opérateur vous ment

En ne procédant à aucun avertissement sur le fait qu’il modifie le code source des pages ou qu’il optimise sauvagement la qualité des images en les compressants, SFR ment sur la capacité de son réseau. C’est bien mignon d’offrir de la 4G kivasupervite®, mais est-ce le réseau qui est rapide car correctement dimensionné ou est-ce que le réseau est rapide car il manque la moitié des bits que vous souhaitez consulter ? Si le réseau d’SFR a des problèmes de congestion, c’est qu’il est sous-dimensionné. A l’opérateur de le dimensionner correctement en réalisant les investissements nécessaires pour le rendre plus fluide, quitte à vendre son abonnement plus cher. Mais en aucuns cas ce dernier ne peut s’arroger le droit de décréter que ce sont les contenus qui sont trop lourds et non son réseau qui n’est pas assez performant. En procédant à des optimisations sur les contenus dans le dos des utilisateurs, SFR sert des pages plus légères, qui vont plus vites, mais il s’agit de pages dégradées pour faire croire à l’utilisateur que son réseau est plus rapide que celui du voisin. Dans les faits, il ne l’est pas puisqu’il taille dans les contenus ! Si un opérateur se permettait de dégrader les MP3 ou la VOD que vous avez légalement acheté sur un site sous prétexte que ça consomme trop de bande passante sur son réseau, tout le monde hurlerait au scandale. Et bien pour les images, c’est la même chose.

SFR ne propose pas explicitement de solution pour afficher « le vrai contenu » des pages

Ce point est la conséquence du premier, comme SFR vous ment délibérément, il ne vous propose évidemment pas de moyen, coté utilisateur (les éditeurs de sites en ont un mais encore faut-il qu’SFR les ait avertis de ce genre de procédé, ce qui n’est pas le cas), d’afficher le contenu original des pages, non modifié par son proxy pas si transparent que ça. Lors du FreeAdGate, toute la presse était vent debout et il y avait déjà de quoi. En activant par défaut le filtre de publicité, Free ciblait surtout Google. L’ARCEP s’est d’ailleurs saisie du dossier et a demandé à Free de proposer cette option sur Opt-In. Deux poids deux mesure ? Nous verrons si l’ARCEP se saisit du cas SFR, bien plus grave que le cas de Free. Mais Free en tapant sur les publicitaires s’assurait une réaction et également un chouette coup médiatique.

SFR altère des oeuvres de l’esprit

En modifiant sauvagement le contenu du HTML d’un site web ou en optimisant de manière sauvage les images des sites web, SFR altère l’expérience utilisateur souhaitée par l’éditeur du site. SFR se substitue ainsi à l’éditeur du site et décide pour lui de l’expérience utilisateur qu’il souhaite délivrer aux internautes. Non seulement il n’est plus dans rôle d’intermédiaire délivrant un message, mais en plus de ça il opère une action très discutable en matière de propriété intellectuelle :  Reflets ne se souviens pas avoir signé quoi que ce soit avec SFR pour lui permettre de modifier le source son site web avant de le restituer à nos lecteurs.

tpams

Un risque évident de manipulation de l’information

Avec ce genre de solutions probablement une appliance … peut être même du même style que celles utilisés par le régime syrien pour surveiller et censurer Internet, dans les faits, rien n’empêche SFR de coupler un script à son proxy qui remplacera par exemple la chaine de caractères « François Hollande » par « Nicolas Sarkozy ». L’utilisateur n’y verra que du feu. Il faut être conscient que la présence même de ce genre de dispositif est une porte ouverte à d’importantes dérives, à des manipulations d’information, à de la censure.

La sécurité et la confidentialité des échanges

En insérant un dispositif tiers entre vous et Internet, SFR procède à un traitement, une modification et une altération de l’information que vous consultez sur Internet. Les tunisiens, pour ne citer qu’eux, en ont fait les frais avec un dispositif sensiblement similaire : un proxy injectant un javascript dans les pages qui permettait l’interception des frappes sur le clavier quand il ne s’agissait pas de manipulation de certificats SSL avec le « bienveillant » concours de Microsoft. Pouvons nous faire confiance à un fournisseur d’accès qui altère le contenu d’une page web ? Doit-on faire confiance à un fournisseur d’accès qui s’est équipé d’un dispositif dont la fonction est de modifier à la volée les contenus que nous visitons (avec les conséquences que nous connaissons dans certains pays) ? La réponse est évidemment non.

Vous avez dit neutralité ?

Nous affirmions plus haut qu’il s’agissait ici d’une atteinte manifeste à la neutralité du Net. Dans sa définition, la Neutralité du Net implique que tout internaute, à n’importe quel point du réseau, accède aux mêmes contenus. Les contenus originaux, non modifiés par un intermédiaire dont le rôle est d’acheminer l’information. C’est encore plus grave quand une manipulation est opérée à l’insu des utilisateurs. Ici SFR nous sert des contenus qui ne sont plus les contenus originaux. Un utilisateur du réseau mobile SFR n’accède pas au même Internet que les autres. On peut même dire qu’il n’accède donc pas à Internet mais à un ersatz d’Internet.

Tromperie sur la marchandise ?

Ce qui nous est vendu c’est un accès mobile à Internet. Nous ne signons pas un contrat avec notre opérateur pour accéder à son réseau local, mais bien à Internet. C’est écrit en toutes lettres dans le contrat que j’ai signé avec mon opérateur. Or Je n’accède pas à Internet, (pas même au web!) mais à une version modifiée par ses soins d’Internet et du web, modifié par un équipement situé entre Internet et moi et entièrement sous le controle d’SFR, en toute opacité. Oui je me sens trompé sur ce que l’on m’a vendu, et au prix du Mo payé, j’entends bien qu’il ne manque pas un seul octet dans les contenus auxquels je souhaite accéder. La promesse de vente n’est pas tenue, je n’accède pas à Internet, je n’accède même pas au web.

La suite ?

La suite logique serait que l’ARCEP se saisisse du dossier et mette en demeure SFR :

  • D’avertir les utilisateurs explicitement des altérations de contenus qu’il opère ;
  • De proposer un mécanisme de désactivation de ces « optimisations » ;
  • De ne pas proposer ces « optimisations » par Opt-Out (ce qui n’est même pas encore le cas), mais par Opt-In (que l’utilisateur choisisse volontairement d’accéder à un internet « optimisé » par SFR, en toute connaissance de cause.

L’ARCEP se saisira t-elle elle même du dossier ? Dans les faits, il y a bien peu de chances. Seul un opérateur peut la saisir, et il faut en outre que ce dernier s’estime lésé pour justifier sa démarche. En outre l’ARCEP est en ce moment en proie à une dissolution de ses pouvoirs. Il semblerait que Bercy, le « gestionnaire de la SARL Internet »‘, n’ait plus spécialement envie de donner les moyens techniques et juridiques à une autorité indépendante gardienne des bonnes pratiques des opérateurs. Bercy a toujours eu la fâcheuse tendance à plus reconnaitre le « marché Internet » et l’ économie numérique au détriment du bien commun universel qu’il constitue.

Twitter Facebook Google Plus email


51 thoughts on “SFR man in the middle : oui, c’est particulièrement grave”

  1. quelques fôtdefrap

    *quitTe* à vendre
    contenus qui *SONT* trop
    celles *utiliséEs* par le régime syrien pour
    surveiller et *censurER*
    « d’importantes dérives » => d’inacceptables dérives
    je n’accède *PAS* à Internet,
    SARL Internet »‘ le « ‘ » est en trop

    J’ai aussi l’impression qu’il manque pleins d’accents ici ou là

    « SFR altère des oeuvres de l’esprit »

    Ohhhh, une idée « rigolote » familière ;)

  2. Méfiance Blue, tu glisses sur la corde raide :/

    Car contrairement à ce que dit clairement Col dans son papier Zdnet, de ce qui transpire du tiens ici, il s’ouvre une brèche vers l’option suivante :

    un « internet » altéré à la condition que l’utilisateur en soit « averti » (CGU… hum!), avec possibilité par opt-in d’avoir un internet non altéré (bonjour la porte ouverte aux tarifs+++ dans ce cas, et ce que ça implique à bien des niveaux n’est ce pas).

    Il n’y a pas à transiger de la sorte.

    Notons au passage ce point crucial qui ressort des conclusions du très serviable CCNum (voire servile, c’est dit, et cela me déplait de le dire car certains membres de ce conseil méritent mieux, mais ce fut tant un cadeau offert au PS en termes de communication et de stratégie « continentale »)
    conclusions qui renvoient de manière explicite vers un arbitrage au niveau européen, donc via les volontés de Madame Kroes et son entourage, dame qui a clairement exprimé son point de vue il y a peu concernant la « neutralité » et les offres « différenciées »!!!
    Un rapide parcours du CV de Madame Kroes suffira à comprendre de quoi elle est la main…

    La seule option défendable est un internet non altéré pour tous, par défaut, avec possibilité d’opt-in pour un internet plus rapide (charge alors aux législateur dignes de porter ce nom et non aux lobbies de se pencher sur la question de savoir si cet opt-in est un service méritant abonnement ou si par l’effet d’allègement sur la charge réseau de l’opérateur il ne nécessite donc pas de contrepartie financière de la part de l’abonné).

    Etc

    1. C’est discutable, si SFR m’indique contractuellement que ce n’est pas un accès à Internet qu’il me vend, libre à moi de l’accepter ou non. Mais effectivement il ne faut pas appeler ça Internet.

      Il n’y a pas d’internet +, il y a Internet ou pas Internet.

      Donc on se rejoint je pense au final.

      1. Faut voir… Pas sûr, loin de là au final, à discuter, un jour… :)

        Tu ouvres là encore avec ton « pourvu que ça ne s’appelle pas internet » une boite de pandore qui ravirait les opérateurs et autres affamés sans fin et à tout prix.

        Doit-il être acceptable qu’Internet soit rendu sécable pour tels ou tels intérêts infra-généraux,
        même si vendus ensuite par des marketers de « talent » comme des merveilleuses parcelles de terrain #ultranet ou #wondernet ou #lidlnet?

        Non.

        Je te sors pour mémoire le lien vers le panachage d’offres Us qui ressemblent à un sapin lumineux avec options tendance
        skype#oupas
        facebook#oupas
        twitter#oupas
        mail#oupas
        vidéo#oupas
        mousik#oupas
        protocoleXouYouZ#oupas
        etctoutestpossiblen’estcepas#oupas
        ?

        Non, non, non, et non. L’accès à internet doit rester non-sécable, et neutre#pascommeSFRdonc, par défaut.

        Cette question est politique, et au plus haut des niveaux des considérationS d’ordre politique.

        Me voilà situé, clairement.
        Toi moins Blue, par contre, sur cette question éminemment structurante pour nos sociétés ;)

  3. Mon dieu ! Un complot ! (sur ce site ? étrange…)

    Sans vouloir offenser personne, on est tout de même en train de dire que mettre un proxy sur le net est quelque chose de Mal. C’est quelque chose que tous les opérateurs font – on appelle ça des CDN, pour content delivery network.

    Le fait que ce proxy soit intelligent et fournissent des données optimisées pour la navigation sur mobile est là aussi extrêmement grave. Lorsque j’utilise mon téléphone sur une connexion mutualisée (parce ques les connexions mobiles sont mutualisées, au cas ou ça aurait échapé à quelqu’un ; Si 100 personnes sont sur une seule antenne 4G, alors chaque personne n’a qu’un Mo de bande passante (dans un centre commercial, 100 personnes, ça fait peu)) qui souffre lorsque trop d’utilisateurs sont en ligne, ça m’ennuie profondément de n’avoir à charger que des pages qui s’affichent dans un temps décent. Je préférerais très nettement avoir des images énormes, longues à charger, qui m’offriront le maximum de détails visibles sur mon énorme écran 3,5 pouces de 480×800 pixels. C’est tellement plus mieux de demander à mon téléphone de faire le redimensionnement par lui même, lui permettant ainsi d’utiliser un peu plus d’énergie – à l’heure où on parle d’écologie, il est préférable de mettre en place des solutions qui permettent une consommation d’énergie maximale.

    Avant de monter sur un imposant équidé et d’organiser la formation de mouvements atmosphériques intenses dans un petit récipient remplit au trois quart d’un liquide aqueux, il faudrait peut-être répondre à une question simple : qu’est-ce que j’y perds, en tant qu’utilisateur, et qu’est-ce que j’y gagne ? La réponse à la première partie de la question est « rien ». La réponse à la seconde partie de la question est « un peu de batterie et un peu de bande passante, que tout le monde pourra utiliser ».

    Ou alors, j’attends les preuves que SFR a délibérément ralenti un accès à un site web particulier, ou changé le sens d’un texte ou d’une image, ou qu’il a censuré quelque chose (parce que bon, c’est ça, la neutralité du net ; ce n’est pas l’interdiction de l’utilisation de procédés d’optimisation (cache, adaptation de la taille d’image…).

    Quand à passer outre, c’est une bonne idée : vous n’avez quà demandez aux quelques millions de clients de SFR (ou quelque chose comme ça ; je peux me tromper) de payer un peu plus pour que votre confort personnel soit assuré. Tout en continuant bien sûr à pester contre SFR parce que ses forfaits sont trop chers par rapport à ceux de Free – donc, en gros, SFR doit augmenter le prix de ses forfaits tout en baissant le prix de ses forfaits. Ca va être simple à mettre en oeuvre ça.

    Bon, je vous laisse, je vais aller lire des choses vraiment intéressantes, écrites par des gens intelligents.

    1. « Proxy intelligent »… elle est bien bone… depuis quand l’intelligence ne se situe plus aux extrêmités du réseau mais en son « centre » ?
      Je passe sur le reste de ton argumentation qui légitimise des altérations de contenus, pas envie de m’égosiller un dimanche.

    2. Le gentil petit FAI qui veut du bien à ses gentils petits abonnés.
      Une larme de bonheur me vient.

      En quoi est-ce mal que l’utilisateur soit au courant de ces pratiques et en quoi est-ce mal qu’il ait le choix ?

    3. L’injection de JavaScript pour améliorer l’expérience utilisateur et faire baisser le prix des forfaits, sur un fond d’empreinte énergétique :D

      I LUV DAT. SO CUTE !

      Merci, Syvlain, pour cette participation qui illumine cette grise journée.

    4. « qu’est-ce que j’y perds, en tant qu’utilisateur, et qu’est-ce que j’y gagne ? La réponse à la première partie de la question est « rien ». »

      On voit que tu n’as pas lu l’article pour répondre « rien ». Ou alors tu n’as juste rien compris.
      Et à partir de ce constat, on peut effectivement affirmer que ton argumentation ne vaut « rien ».

  4. « Mon dieu ! Un complot ! »
    Mais non voyons, simplement une tromperie, mais « c’est pas grave » puisque « c’est utile pour le consommateur » pourquoi s’emmerder à lui expliquer et à lui demander/proposer de choisir…
    Ben voyons, c’est bien connu, d’ailleurs la viande de cheval est bien meilleure pour la santé (plus maigre) que celle de boeuf …. Pourquoi ces « cons de consommateurs » ont trouvés quelque chose à y redire …

    Non, un proxy cache presque transparent n’a rien à voir avec un CDN.

    « Avant de monter sur un imposant équidé et d’organiser la formation de mouvements atmosphériques intenses dans un petit récipient remplit au trois quart d’un liquide aqueux »
    Superbe formulation, j’apprécie beaucoup.

  5. Excellent article, clair et précis. Vous faite du bon boulot chez Reflets, continuez, on a besoin de vous.

    Cependant j’ai une question : quel opérateur mobile choisir pour avoir le vrai Internet ?

    1. Ben il faudrait qu’il te délègue exclusivement au moins une adresse IP publique (v4 ou v6), qu’il ne filtre rien ni en entrée ni en sortie, qui’l n’injecte rien (pas de TCP Rst sauvage), qu’il ne modifie rien, qu’il ne privilégie rien, etc.

      Pas sur que ça existe sur le marché un telle licorne … Sauf à la faire sois même.

          1. Oui pour l’ADSL. Mais pour le mobile il n’y a rien… Si quelqu’un a des infos sur des projets ou des discutions abordant ce sujet, je suis preneur.

      1. Oui, ils vont peut-être s’en tirer avec une simple amande et dans quelque temps ça recommencera de plus belle. C’est sans arrêt comme ça.
        Franchement, je pense pas que le gouvernement ou autre fasse quelque chose, ou alors de belles promesses comme d’habitude, histoire que tout le monde oubli et soit rassuré à chaud et après c’est reparti…
        Tu sais le coup du #Spanou® ;-).

  6. Je viens de vérifier et comme on pouvait s’y attendre chez joemobile on est traité de la même façon

    Comprehensive Perl Archive NetworkOver 15 years of Perl libraries at your fingertips<td

  7. Pourquoi vos articles ne sont que contre SFR ? Vous manquez vous même de neutralité ! Tous les FAI mobile utilisent des proxy, et depuis toujours. D’ailleurs avant il fallait même les mettre « à la main » dans les APN sur les mobiles, aujourd’hui la plupart sont en mode transparent, c’est plus simple.

    Pour ce qui est de l’information préalable, relisez vos CGV SFR Mobile, il y a indiqué EN TOUTES LETTRES que l’intégrité des données n’est pas garantie sur ce réseau. Donc n’importe quelle données peut être altérée, sans autre préavis.

    1. Si vous nous lisiez un peu plus, vous sauriez qu’on épargne personne… mais alors vraiment personne :

      http://goo.gl/1i8mJ
      http://goo.gl/eV0RF
      http://goo.gl/hF32D
      http://goo.gl/GNX7c

      Donc niveau partialité, il faudra trouver autre chose.

      « Tous les FAI mobile utilisent des proxy »

      Oui mais tous les FAI ne modifient pas à la volée les contenus des pages.

      « Donc n’importe quelle données peut être altérée, sans autre préavis. »

      Il y a une difference entre l’altération volontaire et l’altération accidentelle (congestions etc)

  8. Juste pour ajouter qu’en altérant sans leur consentement les pages HTML et images JPG de Reflets et de tous les autres sites web, SFR se rend coupable du délit de contrefaçon, ce qui est passible d’une sanction pénale.

    Un éditeur de site web peut donc dès demain aller déposer plainte contre SFR et tout autre opérateur ou FAI qui agirait de même…

    1. Eh bien justement, si c’est pas trop vous demander, je voudrais bien comprendre l’image « touche pas à mon site »…
      Je sais, c’est honteux peut-être, mais je ne comprends pas : ergo, je demande.

      1. C’est « simple »,
        En « optimisant » les images, celles qui sont affichées ne sont pas les originales mais des version altérée, dégradée, plus légères, en d’autre mots : des contrefaçons.

        De plus l’injection de « scripts optimisants » dans le contenu des pages html modifie sans aucune ambiguïté possible le dit contenu (avant il y était pas le script alors que maintenant il y est) sans l’accord du créateur de la page ni celui de la personne qui la lit.

        C’est plus clair ?

  9. Face à du man in the middle (de quelque opérateur que ce soit), les éditeurs de contenus responsables devrait forcer l’utilisation d’HTTPS, surtout qu’il existe des solutions gratuites comme StartSSL dont les certificats sont valables un an.

  10. Bonjour,

    Juste pour info et sans vouloir rajouter de l’huile sur le feu, Orange fait de même avec ses WISP internet pour les mobiles. Le contenu délivré est automatiquement optimisé aux terminaux finaux.

  11. Dans le cas de ces proxys « accélérateurs » qui dégradent la qualité des images, que penser du résultat sur les éventuels messages ou images que peuvent tenter de faire passer au grand jour mais en douce quelques rebelles/résistants/activistes/manifestants/journalistes/etc… de pays « compliqués » afin d’éviter de se faire repérer par un bon vieux VPN IPSec ou SSL bien gras ? Je parle bien sûr de stéganographie. Le contenu du fichier étant différent entre la source et la destination, le « message » caché est forcément détruit.

    J’imagine ce cas mais il doit bien y avoir d’autres situations où le problème se pose sans que les personnes concernées ne puissent se douter de la présence du problème, ni même avoir les moyens de s’en apercevoir et de contourner le problème.

    La Neutralité du Net doit être respectée : c’est la condition sine qua non de la liberté d’usage d’Internet.
    C’est aux extrémités de s’entendre, sans encombre, sur ce qu’elles veulent échanger. Le transporteur ne doit en aucun cas faire preuve d’intelligence, car il ne connait pas avec certitude les tenants et aboutissants de l’échange d’informations qu’il transporte…

  12. Salut,

    N’ayant pas de forfait 3G chez SFR, je ne peux pas faire ce petit test ;)

    Mais quelqu’un pourrait-il essayer de bloquer l’ip du proxy (ou la plage d’adresse correspondante) avec par exemple iptables pour voir si on a toujours accès à internet via une connexion 3G ?

    Merci ;)

  13. On ne peut laisser les opérateurs utiliser des proxys pour modifier le contenu de ce que l’on consulte ou transmet.

    Laissez les opérateurs « pratiquer » ce type d’opérations entraine le risque non seulement de recevoir des informations « tronquées », « modifiées », mais aussi, et c’est plus grave, de les autoriser à lire le contenu de nos emails, et pourquoi pas à modifier aussi leur contenu.

    Même si il n’y a pas d’intention délibéré de la part d’un opérateur pour ce genre d’actions délictueuses, un pirate peut à un moment quelconque prendre le contrôle du proxy mis en place par l’opérateur et agir de la sorte.
    Et je ne parle pas du cas où le pays passe sous un régime dictatorial…
    Dans un pays où déjà le fait d’avoir une cocotte minute et un peu d’engrais suffit pour être classé comme terroriste, il ne reste que trafiquer un email pour avoir toutes les preuves nécessaires à une bonne incarcération ;-)

  14. Bien, çà aide à mieux comprendre tout le foin fait autour du claoude vs un hébergement web.
    Dans le claoude, l’opérateur sait dans quel répertoire se trouve images et zik
    et peut, sinon tailler à volonté dedans, du moins en faire un miroir de ces fichiers mais pré-rognés d’où il les reservira lors d’une requête par un mobile.
    Alors que l’hébergement d’un site web , il ne sait pas d’avance où on va fourrer ses images …

  15. Bonjour !

    Tout d’abord merci pour cet article. Ils sont bien peu nombreux à aborder le sujet.

    Je rencontre actuellement un drôle de problème qui est lié à ce fameux « Man in the middle » de SFR. Je ne suis pas sûr de poster mon commentaire au bon endroit mais je tente ma chance. Dans tous les cas ça montrera que ces pratiques peuvent avoir des répercussions.

    Certaines pages (deux exactement) d’un site qu’on a développé pour un client ont des images qui ont été mises en cache par SFR et ne s’affichent plus… Leur « nouvelle » url est bien celle modifiée par SFR : 91.68…. + /bmi/ + URL de la cible.

    Le problème, c’est qu’il n’y a aucune info. Pas moyen de savoir pourquoi telle ou telle page a été mise en cache, comment l’éviter etc. J’ai bien réussi à faire sauter leur cache sur une des deux pages en ôtant le trailing slash de l’url (???). Mais pour la deuxième, je ne vois pas de solution. Je me demandais si la mise en cache d’une page n’était pas liée au nombre de requêtes qu’elle émet, ou au nombre des images présentes (pour optimiser), mais une des pages du site avec des dizaines de photos ne passe pas par ce cache.

    Voilà, comprends pas. Quelqu’un aurait une idée ?

    Merci par avance ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *