Journal d'investigation en ligne et d'information‑hacking
par bluetouff

SFR man in the middle : oui, c'est particulièrement grave

Nous vous parlions vendredi dernier des petites horreurs que nous avons eu la surprise de découvrir en surfant sur une connexion 3G SFR.

Nous vous parlions vendredi dernier des petites horreurs que nous avons eu la surprise de découvrir en surfant sur une connexion 3G SFR. A la lecture de certains commentaires, sur Reflets comme sur les trop rares sites qui semblent s'intéresser à ce qui constitue une atteinte manifeste à la Neutralité du Net, il nous a semblé bon de vous expliquer avec un peu plus de détails pourquoi les pratiques constatées chez SFR sont graves et pourquoi ni les utilisateurs, ni les éditeurs de sites web ne devraient un instant tolérer ce genre de pratiques. Le message que l'internaute va chercher sur Internet est altéré et modifié par l'opérateur, comme si le facteur ouvrait votre courrier et en modifiait le contenu avant de le faire parvenir au destinataire.

Votre opérateur vous ment

En ne procédant à aucun avertissement sur le fait qu'il modifie le code source des pages ou qu'il optimise sauvagement la qualité des images en les compressants, SFR ment sur la capacité de son réseau. C'est bien mignon d'offrir de la 4G kivasupervite®, mais est-ce le réseau qui est rapide car correctement dimensionné ou est-ce que le réseau est rapide car il manque la moitié des bits que vous souhaitez consulter ? Si le réseau d'SFR a des problèmes de congestion, c'est qu'il est sous-dimensionné. A l'opérateur de le dimensionner correctement en réalisant les investissements nécessaires pour le rendre plus fluide, quitte à vendre son abonnement plus cher. Mais en aucuns cas ce dernier ne peut s'arroger le droit de décréter que ce sont les contenus qui sont trop lourds et non son réseau qui n'est pas assez performant. En procédant à des optimisations sur les contenus dans le dos des utilisateurs, SFR sert des pages plus légères, qui vont plus vites, mais il s'agit de pages dégradées pour faire croire à l'utilisateur que son réseau est plus rapide que celui du voisin. Dans les faits, il ne l'est pas puisqu'il taille dans les contenus ! Si un opérateur se permettait de dégrader les MP3 ou la VOD que vous avez légalement acheté sur un site sous prétexte que ça consomme trop de bande passante sur son réseau, tout le monde hurlerait au scandale. Et bien pour les images, c'est la même chose.

SFR ne propose pas explicitement de solution pour afficher "le vrai contenu" des pages

Ce point est la conséquence du premier, comme SFR vous ment délibérément, il ne vous propose évidemment pas de moyen, coté utilisateur (les éditeurs de sites en ont un mais encore faut-il qu'SFR les ait avertis de ce genre de procédé, ce qui n'est pas le cas), d'afficher le contenu original des pages, non modifié par son proxy pas si transparent que ça. Lors du FreeAdGate, toute la presse était vent debout et il y avait déjà de quoi. En activant par défaut le filtre de publicité, Free ciblait surtout Google. L'ARCEP s'est d'ailleurs saisie du dossier et a demandé à Free de proposer cette option sur Opt-In. Deux poids deux mesure ? Nous verrons si l'ARCEP se saisit du cas SFR, bien plus grave que le cas de Free. Mais Free en tapant sur les publicitaires s'assurait une réaction et également un chouette coup médiatique.

SFR altère des oeuvres de l'esprit

En modifiant sauvagement le contenu du HTML d'un site web ou en optimisant de manière sauvage les images des sites web, SFR altère l'expérience utilisateur souhaitée par l'éditeur du site. SFR se substitue ainsi à l'éditeur du site et décide pour lui de l'expérience utilisateur qu'il souhaite délivrer aux internautes. Non seulement il n'est plus dans rôle d'intermédiaire délivrant un message, mais en plus de ça il opère une action très discutable en matière de propriété intellectuelle :  Reflets ne se souviens pas avoir signé quoi que ce soit avec SFR pour lui permettre de modifier le source son site web avant de le restituer à nos lecteurs.

Un risque évident de manipulation de l'information

Avec ce genre de solutions probablement une appliance ... peut être même du même style que celles utilisés par le régime syrien pour surveiller et censurer Internet, dans les faits, rien n'empêche SFR de coupler un script à son proxy qui remplacera par exemple la chaine de caractères "François Hollande" par "Nicolas Sarkozy". L'utilisateur n'y verra que du feu. Il faut être conscient que la présence même de ce genre de dispositif est une porte ouverte à d'importantes dérives, à des manipulations d'information, à de la censure.

La sécurité et la confidentialité des échanges

En insérant un dispositif tiers entre vous et Internet, SFR procède à un traitement, une modification et une altération de l'information que vous consultez sur Internet. Les tunisiens, pour ne citer qu'eux, en ont fait les frais avec un dispositif sensiblement similaire : un proxy injectant un javascript dans les pages qui permettait l'interception des frappes sur le clavier quand il ne s'agissait pas de manipulation de certificats SSL avec le "bienveillant" concours de Microsoft. Pouvons nous faire confiance à un fournisseur d'accès qui altère le contenu d'une page web ? Doit-on faire confiance à un fournisseur d'accès qui s'est équipé d'un dispositif dont la fonction est de modifier à la volée les contenus que nous visitons (avec les conséquences que nous connaissons dans certains pays) ? La réponse est évidemment non.

Vous avez dit neutralité ?

Nous affirmions plus haut qu'il s'agissait ici d'une atteinte manifeste à la neutralité du Net. Dans sa définition, la Neutralité du Net implique que tout internaute, à n'importe quel point du réseau, accède aux mêmes contenus. Les contenus originaux, non modifiés par un intermédiaire dont le rôle est d'acheminer l'information. C'est encore plus grave quand une manipulation est opérée à l'insu des utilisateurs. Ici SFR nous sert des contenus qui ne sont plus les contenus originaux. Un utilisateur du réseau mobile SFR n'accède pas au même Internet que les autres. On peut même dire qu'il n'accède donc pas à Internet mais à un ersatz d'Internet.

Tromperie sur la marchandise ?

Ce qui nous est vendu c'est un accès mobile à Internet. Nous ne signons pas un contrat avec notre opérateur pour accéder à son réseau local, mais bien à Internet. C'est écrit en toutes lettres dans le contrat que j'ai signé avec mon opérateur. Or Je n'accède pas à Internet, (pas même au web!) mais à une version modifiée par ses soins d'Internet et du web, modifié par un équipement situé entre Internet et moi et entièrement sous le controle d'SFR, en toute opacité. Oui je me sens trompé sur ce que l'on m'a vendu, et au prix du Mo payé, j'entends bien qu'il ne manque pas un seul octet dans les contenus auxquels je souhaite accéder. La promesse de vente n'est pas tenue, je n'accède pas à Internet, je n'accède même pas au web.

La suite ?

La suite logique serait que l'ARCEP se saisisse du dossier et mette en demeure SFR :

  • D'avertir les utilisateurs explicitement des altérations de contenus qu'il opère ;
  • De proposer un mécanisme de désactivation de ces "optimisations" ;
  • De ne pas proposer ces "optimisations" par Opt-Out (ce qui n'est même pas encore le cas), mais par Opt-In (que l'utilisateur choisisse volontairement d'accéder à un internet "optimisé" par SFR, en toute connaissance de cause.

L'ARCEP se saisira t-elle elle même du dossier ? Dans les faits, il y a bien peu de chances. Seul un opérateur peut la saisir, et il faut en outre que ce dernier s'estime lésé pour justifier sa démarche. En outre l'ARCEP est en ce moment en proie à une dissolution de ses pouvoirs. Il semblerait que Bercy, le "gestionnaire de la SARL Internet"', n'ait plus spécialement envie de donner les moyens techniques et juridiques à une autorité indépendante gardienne des bonnes pratiques des opérateurs. Bercy a toujours eu la fâcheuse tendance à plus reconnaitre le "marché Internet" et l' économie numérique au détriment du bien commun universel qu'il constitue.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée