Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025

Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025

La technique, sans l'image négative

Avatar de l'auteur
Marc Rees

Publié dans

Droit

02/03/2018 7 minutes
65

Du deep packet inspection dans le projet de loi de programmation militaire 2019-2025

La nouvelle loi de programmation militaire va autoriser les opérateurs, mais également l’ANSSI à déployer des marqueurs sur leurs réseaux à des fins de cybersécurité. Questions : que sont exactement ces marqueurs, et jusqu’où veut aller l’ANSSI dans la cybersécurité ? Éléments de réponse avec Guillaume Poupard, directeur de l'agence.

Une disposition de la future LPM, bientôt en débat au Parlement, veut autoriser les opérateurs à installer des dispositifs capables de repérer, à l’aide de marqueurs techniques, des « événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ».

Orange compte exploiter cette disposition pour proposer des offres commerciales, taillées sur les besoins de certains clients professionnels. Néanmoins, lorsque des attaques seront « susceptibles » de frapper une autorité publique ou un opérateur d’importance vitale, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) pourra elle-même procéder à ces installations, nourries de ses propres « marqueurs ».

Lors d’un échange en comité restreint auquel nous participions, Guillaume Poupard, numéro un de l’ANSSI, nous a apporté de nouveaux éléments sur ce mécanisme en cours d’adoption. Déjà, est confirmé que les marqueurs utilisés chez les opérateurs, soit volontairement soit à la demande de l’ANSSI, ne seront pas rendus publics.

« Les rendre publics réduit leur efficacité » explique le chef de file de l’Agence, qui craint que les attaquants ne changent de mode opératoire très rapidement. « J’assume le fait que notre métier ne permet pas une transparence totale car cela apporterait beaucoup plus d’inconvénients que d’avantages ».

Entre la loi Renseignement et la LPM, un champ lexical bien différent

Que sont ces marqueurs ? Seuls quelques exemples sont donnés dans les documents accompagnant le projet de loi  (« les caractéristiques des programmes malveillants utilisés par l’attaquant, les adresses IP de son infrastructure d’attaque ainsi que celles des victimes »). L’interrogation qui surgit depuis quelques semaines est de savoir si le texte va autoriser, ou non, une analyse approfondie des paquets, bien au-delà des seules métadonnées.

Déjà, un constat. La future LPM n’utilise pas le champ lexical de la loi Renseignement. Dans le texte de 2015, lorsque le législateur a évoqué la surveillance des métadonnées, il a systématiquement utilisé l’expression « d’informations et documents ». Une expression encadrée par le Conseil constitutionnel qui a exclu, à l’occasion d’une question prioritaire, les données de contenu, parce qu'elles sont protégées au titre des « correspondances privées ».

« Certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers » commente Guillaume Poupard. Et c’est peu de le dire, mais la distinction entre métadonnées et données de contenu ne le satisfait pas vraiment : « si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».

L’URL est un cas parfait puisque la CNCTR comme la CNIL ont considéré qu’elles pouvaient tomber dans certains cas dans le spectre des données de contenus… Voilà donc pourquoi la plume du législateur a changé entre la loi Renseignement et la LPM. « Une URL est un marqueur technique » insiste le numéro un de l’agence qui se dit « contre l’idée d’un inventaire à la Prévert de ce que l’on entend par cette expression », poursuit-il en quête d’une belle marge de manœuvre.

L’ARCEP a cependant tiré la sonnette d’alarme dans un avis sur l’avant-projet de loi révélé dans nos colonnes. Elle estime ainsi que des menaces pèsent sur le secret des correspondances. « Depuis cet avis, on a mis des garde-fous, tout comme le Conseil d’État » rétorque Guillaume Poupard qui considère déjà que la neutralité du Net est respectée.

Neutralité, juste rémunération

Il reconnaît qu’une idée avait éclos, celle de confier aux opérateurs un rôle actif en cas de crise majeure de type DDOS mais « pour l’instant, ce n’est pas prêt. On l’a retiré du texte car on n’est pas capable de donner des garanties suffisantes sur le fait que les mécanismes envisagés ne pourraient pas être détournés pour porter atteinte à la neutralité ».

Sur la question de la juste rémunération des opérateurs, autre point signalé par l’ARCEP, l’astuce est simple : en confiant à ces acteurs la possibilité de faire de la détection, sans les y obliger, l’État n’a plus vocation à les indemniser. « La juste rémunération des opérateurs, mais aussi des hébergeurs, sera posée uniquement pour les opérations qu’on leur demande spécifiquement de faire et qu’ils n’auraient pas fait autrement. Des décrets et arrêts préciseront les prestations payées ».

Techniquement, cela ressemble au DPI

Pour revenir au sujet principal, le projet de loi va-t-il finalement autoriser le deep packet inspection ? L’ANSSI reconnaît qu’elle ne veut pas s’interdire d’aller jusqu’aux pièces jointes d’un mail dans la mise en œuvre de la loi de programmation militaire.

La réponse est assez limpide : « Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants…mais techniquement cela ressemble étrangement. La question est jusqu'où on veut aller. Il y a un compromis à trouver sur ce qu'on peut détecter et les limites que l'on se pose pour la protection de la vie privée ».

« Le DPI fait référence très clairement à une atteinte directe au secret des correspondances,  au fait qu’on a envie d’aller lire ce que les gens se disent, là ce n’est actuellement pas le cas, temporise Guillaume Poupard. Sous l’angle technique, c’est clair, mais ce qui m’embête plus c’est l’image attachée au DPI que je ne veux évidemment pas récupérer. Ce n’est pas notre métier ».  La balle est désormais dans le camp du législateur qui pourra toujours estimer qu’aller regarder dans des pièces jointes est trop intrusif, auquel cas, « on ne le fera pas ».

Chiffrement, contrôle de l'ARCEP

« On fait du NetFlow [analyse de métadonnées d'un échantillon des paquets réseau, ndlr], mais je ne veux pas m’interdire d’aller plus loin si cela a un intérêt et n’est pas attentatoire au secret » ajoute Guillaume Poupard. Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».

Fait notable, l’ANSSI sera contrôlée par l’ARCEP dans cette régulation des opérateurs. Une première dans l’histoire de l’institution qui n’a jamais été ainsi chapeautée. « Tout est à construire avec l’autorité de régulation, il s’agira de trouver un niveau efficace de contrôle. Et ce contrôle, je l’accepte volontiers ».

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Entre la loi Renseignement et la LPM, un champ lexical bien différent

Neutralité, juste rémunération

Techniquement, cela ressemble au DPI

Chiffrement, contrôle de l'ARCEP

Commentaires (65)




Quid du chiffrement ? « Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».



bon point pour lui parce que jusque là c’était pas joli joli comme tableau.



Bref, encore une fois les contremesures se nomment Tor ou VPN. <img data-src=" />


Je vois mal comment il peut parler de regarder une pièce jointe sans atteinte au secret des correspondances.



De toute façon dans un email il n’est pas possible de connaître l’adresse email du destinataire sans récupérer le titre qui est juste en dessous, et qui fait partie du secret de correspondance (par analogie au courrier postal, tout ce qui est dans l’enveloppe).


Dites voir, le DPI rends pas l’utilisation d’un VPN inutile ? Ou ça sert toujours à quelques choses au final ?


« Le DPI polarise un petit peu les peurs, à juste titre, mais fondamentalement pour aller au fin fond d’une pièce jointe d’un mail, il faut bien être en capacité de la reconstituer. Techniquement, je ne peux pas vous dire que cela n’a rien à voir avec du DPI. On peut trouver d’autres noms, plus rassurants… mais techniquement cela ressemble étrangement.»



<img data-src=" />



« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».



Quelqu’un peut-il déchiffrer cette phrase? D’ailleurs, qui est cette “victime”?


et bientot on changera le système de nomination de la présidence de l’arcep pour la mettre au plus proche de la tête du pouvoir et les carottes seront alors cuites








JD a écrit :



« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».



Quelqu’un peut-il déchiffrer cette phrase? D’ailleurs, qui est cette “victime”?





La victime peut être une institution, une entreprise à caractère stratégique ou autre grosse boîte.



Pour la phrase, quand deux sites d’une entreprise sont reliés par VPN, je suppose que le chiffrement a lieu entre 2 serveurs VPN, donc si tu es au niveau du serveur chez le client, le trafic est en clair. Sauf pour du trafic HTTPS à partir du navigateur.

Après, il faut s’installer sur chaque poste pour venir lire le HTTPS.



A quand du DPI par les box opérateurs ? <img data-src=" />









alphavo50 a écrit :



A quand du DPI par les box opérateurs ? <img data-src=" />







Ne leur donne pas d’idée malheureux !



Ouais c’est ce que je me disais aussi ;-)

Et moi qui imaginais l’ANSSI débarquer au plus près de la “victime” en tenue du GIGN pour demander les clés privées <img data-src=" />


surveillance protection



Le DPI, c’est voldemort dans Harry Potter., la technique-dont-on-ne-doit-pas-dire-le-nom


On va revenir aux bonnes vielles boite au lettres des romans d’espionnage, une clé usb chiffrée sur un ordinateur non connecté à internet dans une cage de faraday et laissée à un endroit discret <img data-src=" />

Et pour être sur, si le destinataire ne possède pas la bonne clé de déchiffrement, la clé usb fond sur l’air de mission impossible, crame le pc ou explose, voir les trois à la fois <img data-src=" />


Pas assez proche, on peut toujours chiffrer sur un pc non connecté, et envoyer ensuite le message. Il faudra aussi faire du DPI sur les connexions 3G/4G/5G Le plus serais d’interdire le chiffrement et les envois sous enveloppe, ou alors enveloppe transparentes. Pareil pour les colis. Après tout, si tu n’a rien à cacher, chiffrer est suspect <img data-src=" />


Tu parles de ça ? <img data-src=" />

https://deaddrops.com/db/?location=paris&maxdistance=5000&pagelen=&a…



Jamais essayé de m’y connecter.








Kazer2.0 a écrit :



Dites voir, le DPI rends pas l’utilisation d’un VPN inutile ? Ou ça sert toujours à quelques choses au final ?





Le DPI correspond à aller jusqu’au couche 7 (application) donc à la partie “données” des paquets réseau.



Si ton paquet est chiffré, les données le son, donc à moins de le déchiffrer, tu ne verras rien si tu intercepte au milieu. D’où l’idée d’avoir des bug/porte dérobé ou vulnérabilité dans le protocol pour casser ce chiffrement.



Après si ton chiffrement est correct et bien configuré, tu ne crains rien de ce genre de sonde.



Ah quand un comparatifs et de vrais tests de VPN&nbsp; <img data-src=" />

Me souvient de l’époque ou “hidemyass” avais cafté au FBI ..


L’utilisation du DPI, telle que prévue, est la même que celle du filtrage des sites web (avant ou maintenant) ?


Question HS… et vous n’aurez peut être pas la réponse…



Sur la photo, on ne voit qu’un micro, celui d’une chaine catalane.



Savez vous pourquoi?


je tente <img data-src=" />

Marc a rencontré Guillaume Poupart au MWC à Barcelone et a pris la photo ?


Niquel, merci pour l’explication. On se retrouve à de sacré extrémité dans un pays “libre” <img data-src=" />








hwti a écrit :



Je vois mal comment il peut parler de regarder une pièce jointe sans atteinte au secret des correspondances.



De toute façon dans un email il n’est pas possible de connaître l’adresse email du destinataire sans récupérer le titre qui est juste en dessous, et qui fait partie du secret de correspondance (par analogie au courrier postal, tout ce qui est dans l’enveloppe).





Euh bah un dispositif automatique peut récupérer les entêtes de l’e-mail qui vont bien. Il est possible de récupérer le destinataire et les personnes en copies sans connaitre&nbsp; le sujet .









Maxouime a écrit :



et bientot on changera le système de nomination de la présidence de l’arcep pour la mettre au plus proche de la tête du pouvoir et les carottes seront alors cuites





Tu me l’enlève de la bouche.



On l’a vu encore très récemment avec le coup fourré de l’Agence pour la biodiversité pour le projet d’éolienne en mer du Tréport : pour ce projet aucune des procédures légales prévues pour tout investissement public de cette ampleur (études d’impacts et environnementales, analyses des coûts/bénéfices, débats publics, etc.) n’a été respectée. De plus le projet avait reçu un avis négatif du Parc Naturel. Qu’a fait notre sinistre shampouiné la Hulotte ? Il a désavoué l’avis du Parc Naturel en demandant à l’Agence pour la biodiversité qui le chapeaute un avis favorable ! Son prédécesseur, à l’origine du projet, avait bien évidemment pris ses précautions en remplaçant le directeur d’alors, ingénieur E&F, par un sous-fifre ignare et activiste d’ONF escrolo.



La tare française dans toute son ignominie. Et il y encore des gogos pour soutenir ce système dépravé. <img data-src=" />



<img data-src=" />


Sortez vos chapeaux en alu et vos VPN! <img data-src=" />


quand on doit se mettre à utiliser la novlangue pour essayer de continuer dans la surveillance massive et satisfaire l’appétit exponentiel des autorités…



J’espère sans y croire que le législateur fasse son devoir et mette le hola à ces pratiques toujours plus scandaleuses.


Il y aurait apparemment des approches qui permettraient de faire du dpi directement sur des données chiffrées.



Je ne retrouve plus l’article original sur arxiv,

https://blog.acolyer.org/2016/06/21/blindbox-deep-packet-inspection-over-encrypt…








RedSlahdumdum a écrit :



Ah quand un comparatifs et de vrais tests de VPN  <img data-src=" />

Me souvient de l’époque ou “hidemyass” avais cafté au FBI ..







Il n’existe à ma connaissance aucune entreprise au monde qui puisse légalement dire fuck à l’administration du pays où elle est immatriculée/implantée.



Vous me direz que Apple a tenu bon face au FBI. Mais comme finalement le FBI a contourné (en toute légalité) le problème, on ne peut pas savoir si Apple aurait plié face à l’administration US. En tout cas, Apple a plié face à l’administration chinoise.



Bref, si tu fais uniquement confiance au VPN pour protéger ton anonymat, le choix du “meilleur” VPN revient à choisir quel est pour toi le “meilleur” pays qui pourra lever ton anonymat.



Vive lec chiffrage :)








127.0.0.1 a écrit :



…..

En tout cas, Apple a plié face à l’administration chinoise.

….





a plié face à la dure réalité financière ?

<img data-src=" />



Oui, c’est vrai que Apple a des problèmes de trésorerie… <img data-src=" />


ce n’est pas ce que je voulais dire ( d’ailleur j’aurais du dire économique et non pas financière)

Je voulais dire que 10% du CA c’est pas un truc qu’on peut se permettre de perdre











Z-os a écrit :



Il y aurait apparemment des approches qui permettraient de faire du dpi directement sur des données chiffrées.



Je ne retrouve plus l’article original sur arxiv,

https://blog.acolyer.org/2016/06/21/blindbox-deep-packet-inspection-over-encrypt…





Il existe des approches “comportementales” utilisant les métadata (heures, vers qui, depuis où, taille des paquets etc). Cela revient plus à “deviner” le contenu du paquet en exploitant le contexte. Mais qui ne sont pas du DPI, qui est le terme technique spécifique lorsque l’on analyse au dela-là des entêtes des paquets (IP / TCP) pour atteindre la payload (à partir de la couche 5). C’est d’ailleurs dans le nom “Deep Packet Inspection”.&nbsp;



Si on ne déchiffre pas un paquet chiffré, ce n’est pas du DPI “techniquement parlant”, après le DPI n’est pas forcément “intrusif” ou nocif, ce n’est qu’un outils, c’est ce qu’on en fait derrière qui l’est.



Analyser toutes les payload à la recherche de virus ce n’est pas “mal”, ça le devient lorsque l’on conserve les données et qu’on met un moteur de recherche derrière et qu’on l’utilise hors d’un cadre légal/juridique autorisé.



&nbsp;L’informatique à cette avantage que l’on peu mettre en place un déchiffrement et une analyse DPI avec une sonde (anti-intrusion, analyse anti-virus, comportement DDOS etc) sans que jamais il n’y ait un humain derrière et que les données ne soient conservées (analyse à la volée sans rétention). Chose impossible donc interdite par défaut avec les courriers papier ce qui est une bonne chose.



Y a des gens qui ont accepté de tout perdre (y compris la vie) pour conserver une ligne morale ou éthique. Donc non, ce n’est pas une excuse à mes yeux mais un choix de vie/entreprise.



Je peux comprendre le choix économique d’Apple, mais faut pas qu’ils essayent de me convaincre qu’ils sont prêt à livrer bataille aux US quand ils se couchent en Chine.


Ah mais loin de moi de dire le contraire

Je voulais simplement signaler un peu cyniquement que je pensais qu’Apple avait agi plus en fonction de leur intérêt économique qu’en fonction d’une morale pour moi plus qu’improbable


Inspection profonde des paquets sur PornHub, YouPorn…



<img data-src=" />








127.0.0.1 a écrit :



Il n’existe à ma connaissance aucune entreprise au monde qui puisse légalement dire fuck à l’administration du pays où elle est immatriculée/implantée.



…couic…



Bref, si tu fais uniquement confiance au VPN pour protéger ton anonymat, le choix du “meilleur” VPN revient à choisir quel est pour toi le “meilleur” pays qui pourra lever ton anonymat.





Il y a des pays où l’on n’est pas obligé de journaliser les données de connexion, c’est déjà un bon départ pour ne pas avoir son anonymat levé. Le Panama est par exemple dans ce cas.





« si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».





Et avant Internet (il n’y a pas si longtemps), vous faisiez comment? <img data-src=" />


Les méchants n’utilisaient pas non plus les URLs, mais je suis en partie d’accord avec toi sur l’idée générale de travailler aussi à l’ancienne pour les services secrets.



Par contre que l’ANSSI a pour mission de s’occuper de la sécurité des systèmes d’informations, s’occuper des “tuyaux”, c’est forcément une partie de son travail. La sécurité des SI avant Internet, c’était plus facile : il suffisait d’avoir des bâtiments sécurisés (j’exagère un peu à dessein).


je ne m’en fait pas, les groupes de défense ne savent pas faire un logiciel de paie et encore moins un logiciel d’interception des communications fonctionnel



alors le DPI … c’est a des années lumière de nos capacité, par contre ca va couter très chère, sa va bien marcher <img data-src=" /> coté facturation.


C’est ridicule comme commentaire.



L’ANSSI est un concentré de grosses têtes bien faites, bien loin de ceux ayant fait le système Louvois.








JD a écrit :



« Le chiffrement s’oppose à la détection. Le choix est de dire que le chiffrement doit primer. Quand on se met suffisamment près de la victime, cependant, à un moment, ça passe en clair ».



Quelqu’un peut-il déchiffrer cette phrase? D’ailleurs, qui est cette “victime”?









Pour moi, “victime” veux dire “victime de l’espionnage” , quelque soit l’agence qui espionne.&nbsp;



Et oui, tout contenu chiffré à un moment passe en clair, à la source & à la destination.

=&gt; Pour moi, ça implique que, par exemple, pour espionner les mails (comme il semble le dire) il faut compromettre le serveur mail (plus ou moins légalement selon le cas).

&nbsp;

Ou, plus “simplement”, compromettre le PC des gens. En théorie , ce dernier principe interdit l’écoute de masse, mais c’est donc plus du DPI… sans compter la plus grande complexité de la chose, selon les OS, les plates-formes , …









ben5757 a écrit :



Euh bah un dispositif automatique peut récupérer les entêtes de l’e-mail qui vont bien. Il est possible de récupérer le destinataire et les personnes en copies sans connaitre  le sujet .







Mais le dispositif a bien tout récupéré, il y a donc bien DPI à l’intérieur du système.

Même s’il y a une entité externe (CNIL, ARCEP, …) qui certifie que le sujet est bien ignoré (sans bug ?), ça ne change pas les techniques utilisées, et comme l’information est bien disponible en interne, il est difficile d’être sûr que personne ne l’exploite (les renseignements, des accès non autorisés, …).









bloossom a écrit :



quand on doit se mettre à utiliser la novlangue pour essayer de continuer dans la surveillance massive et satisfaire l’appétit exponentiel des autorités…



J’espère sans y croire que le législateur fasse son devoir et mette le hola à ces pratiques toujours plus scandaleuses.





On a le droit de rêver, mais depuis les années Hadopi les lois s’ amoncèles pour contrôler, approfondir,…



S’ amoncèlent 😕


Ouais j’avais pensé à cette interprétation.Dès lors, si on se trouve dans le réseau de connaissance d’une personne suspectée alors bye bye les communications privées (chiffrées ou pas). Le problème est que ce réseau de connaissance des personnes suspectées peut vite correspondre à une proportion très importante de la population…


C’est tout le contraire. Un VPN/HTTPS rend le DPI inopérant car chiffré.

Le DPI n’est utile que si la communication est en clair. Le matériel réseau (routeur/switch) ne s’amuse pas a lire toute une trame pour la faire transiter, juste les entêtes, ça fait gagner énormément de perf. Le DPI lui va lire toute la trame, entête + corps, mais si le corps est chiffré il ne peux rien en faire.








Mimoza a écrit :



C’est tout le contraire. Un VPN/HTTPS rend le DPI inopérant car chiffré.

Le DPI n’est utile que si la communication est en clair. Le matériel réseau (routeur/switch) ne s’amuse pas a lire toute une trame pour la faire transiter, juste les entêtes, ça fait gagner énormément de perf. Le DPI lui va lire toute la trame, entête + corps, mais si le corps est chiffré il ne peux rien en faire.





Je n’en suis pas aussi sur que toi.

&nbsp;

Le simple fait que tu utilises tel ou tel VPN est déjà une information (Limite dans ce domaine TOR est plus discret, bien que plus chiant à utiliser).

Si par exemple, tu postes sur un forum (qu’ils ont infiltré) depuis un VPN , ils peuvent corréler le trafic des posts avec le trafic provenant de ta connexion internet , même chiffré.

C’est pas une preuve a 100% , mais derrière ils envoient simplement les gros bras pour valider ou pas l’hypothèse.



Mon problème c’est l’usage de ce genre de truc : Personne ira contester le fait qu’il faut chopper les terroristes / jihadistes.

Mais tu peux très très facilement imaginer le même type de truc pour les lanceurs d’alerte, les actions syndicales qui se préparent, les manifs anti-enfouissement de déchets nucléaire, l’euthanasie , la GPA, les LGBT (si l’extrême droite passe un jour),…&nbsp; Les blackbox, elles , elles ont pas de morale…



La seule “parade” relativement facile à mettre en oeuvre, ce serait un VPN qui maintient un trafic constant (chiffré) et régulier avec le serveur de VPN , et que bon nombre de personnes qui postent utilisent le même VPN (mais pas tous, évidemment). Le problème c’est que c’est très consommateur de données. Typiquement, à ce que j’en sais, OpenVPN ne fait pas cela.



Bon, va falloir que je me refasse un trousseau de clef PGP moi, ça commence à devenir critique dans ce pays <img data-src=" />


On en revient toujours au même point. C’est le controle par l’institution judiciaire de la mise en place qui est critique pas tant la technologie en place.

Personne n’est choquée aujourd’hui qu’on puisse intercepter les appels/SMS, le DPI n’est pas très différent.








Mearwen a écrit :



On en revient toujours au même point. C’est le controle par l’institution judiciaire de la mise en place qui est critique pas tant la technologie en place.

Personne n’est choquée aujourd’hui qu’on puisse intercepter les appels/SMS, le DPI n’est pas très différent.





Faut avoir sacrément confiance… Et les affaires d’écoutes / FADET sont assez régulièrement mises en lumières.



&nbsp;=&gt; Mais là, c’est pas tout à fait la même chose: Les appels/SMS , ya du ciblage : Les opérateurs transmettent pas TOUS les SMS envoyés au ministère de l’intérieur, même à travers une moulinette.

&nbsp;

&nbsp;Dans le DPI, c’est l’inverse : Les algo espionnent tout, et (tentent de) trouver des corrélations à posteriori. Je vois très mal un juge décider dudit algorithme…



Mais oui, plus généralement, je suis d’accord, je n’ai pas tellement confiance dans le contrôle par l’autorité judiciaire sur le long terme, simplement car demain les lois peuvent changer (regarde en Europe, il y a des pays où il y a eu des régressions, ça n’arrive pas qu’aux autres), et les institutions françaises de répression n’ont pas un passif très glorieux en terme de défense des grandes avancées sociétales (au contraire de leurs intérêts particuliers….)



&nbsp;=&gt; C’est pourquoi à mon avis il est crucial de répondre à ces technologies de DPI par le développement d’autres technologies, de protection / masquage, ne serait-ce qu’en “dissuasion” : Si il est connu qu’avant même la mise en place des technologies de DPI les résultats seront négligeables parce que les cibles privilégiées auront dès le début appris l’évasion, et pire encore que ce “savoir” devient un réflexe pour une partie de la population, ce sera difficile pour les politiciens et les lobby de justifier la dépense importante et les SPOF induits dans le réseau par ces technologies.



Un exemple (réduit) de ce principe, c’est Hadopi : Gros bouzin cher & inutile qui ne choppe que les étourdis qui apprennent ensuite bien vite comment se protéger au point ensuite que ça en devient un automatisme, à l’installation d’une nouvelle machine (ou le détournement vers des méthodes moins ciblées). A _aucun_ moment, j’ai entendu quelqu’un se dire : “Ah zut, ya Hadopi, je vais plutôt aller lâcher 30€/mois à canal+, contraint et forcé” (Alors que pour les radars automatiques routiers, le débat fait encore rage , parce que malgré tout une partie non négligeable de la population trouvent les objectifs justifiés).

&nbsp;

&nbsp;









Ramaloke a écrit :



Analyser toutes les payload à la recherche de virus ce n’est pas “mal”, ça le devient lorsque l’on conserve les données et qu’on met un moteur de recherche derrière et qu’on l’utilise hors d’un cadre légal/juridique autorisé.





Attention, ce qui est “légal” n’est pas nécessairement moralement bon non plus <img data-src=" />



Ce qui m’inquiète le plus, c’est que le type, qui a priori connaît un peu son sujet, parle de “marqueurs” et considère qu’on peut mettre en place au niveau global sur le net un système de “marqueurs” qui resterait… secret. Comment on peut envisager qu’un tel système tiendrait plus de 5 minutes…?



Le DPI c’est forcément du temps réel et sur du ciblage. Le volume de données est bien trop imposant pour envisager l’analyse full du trafic fr.&nbsp; Les volumes de BP, stockage et de traitement seraient totalement hors de portée.

Le DPI c’est vraiement la mise sur écoute des telco, forcément ciblé et limité car très couteuse (Humaine /matérielle) en ressource à l’inverse de l’écoute des données de routage.


Tu as raison, c’est presque pareil, en plus, quand on n’a rien à cacher, pourquoi s’en faire ? <img data-src=" />


Non. Le DPI peut être massif et généralisé. Dire qu’il sera ciblé, c’est soit vivre chez les Bisounours, soit faire de la désinformation. Il y a généralement une phase temps réel pour détecter le trafic grâce aux marqueurs dont on parle dans l’article, puis le trafic correspondant est analysé et stocké. Traiter l’ensemble du trafic pour détecter un marqueur est la seule solution pour détecter ceux que l’on recherche.

La détection peut se faire en temps réel parce qu’elle se fait de façon matérielle dans les routeurs même des opérateurs ou sur des appareils dédiés vers lesquels le trafic est dupliqué. J’ai l’impression que l’on parle ici plutôt de la première solution, vu que l’on n’envisage pas de rémunération des opérateurs (il faut que le coût soit négligeable pour eux).








Mearwen a écrit :



Le DPI c’est forcément du temps réel et sur du ciblage. Le volume de données est bien trop imposant pour envisager l’analyse full du trafic fr.&nbsp; Les volumes de BP, stockage et de traitement seraient totalement hors de portée.

Le DPI c’est vraiment la mise sur écoute des telco, forcément ciblé et limité car très couteuse (Humaine /matérielle) en ressource à l’inverse de l’écoute des données de routage.





On est clairement pas d’accord sur la signification du DPI.



&nbsp; Pour moi en tous cas - je laisse à chacun le soin d’aller valider ou pas cette interprétation - c’est vraiment un “espionnage systématique” de TOUTE les communication à priori , pour déclencher des “marqueurs” qui, eux, effectivement implique une analyse plus fine & plus ciblée (mais qui peux aussi être automatique), éventuellement allant jusqu’à l’anayse + recoupement d’autres éléments différents - tel que par exemple le fichage des personnes dans les fichiers de la police , mais pas uniquement).



Tu penses que les volumes sont énormes - mais c’est pas forcément le cas , vu que ce sont pas les _données_ qui sont analysés mais les méta-données. Si l’on cherche des “schémas” dans les connections, Netflow peux être utilisé.

On peux aussi imaginer des “blackbox” qui , sur tout le territoire et par tous les FAI participants, lèvent une alerte lors de la connexion sur l’IP (ou le range de) de certains forums, serveur de VPN, …



Exemple : Tu veux savoir qui se connecte sur le forum : “non-a-lenfouissement-a-bure.com” , et tu vois que plein de personnes s’y connectent avec un VPN =&gt; Tu configures la sonde pour chercher tous les usagers des VPN en France, et corréler les trafics entrant sur le forum et les sorties des abonnés aux FAI (le problème juridique n’en est pas un, il suffit de trouver un juge qui accepte de te qualifier ça en terrorisme et le tour est joué).

&nbsp;

C’est grossier, mais ça permet de te sortir une liste à aller visiter en priorité, et ça marche même si le VPN est à l’étranger.

(Plus chiant si le forum y est, mais ça , c’est un préalable).



&nbsp;



Un VPN est l’établissement d’un réseau privé entre toi et un prestataire de service. Ce dernier sert d’intermédiaire entre toi et le site/forum. Donc même s’ils récupère ton IP depuis le forum dans ton exeple ça sera celle de l’intermédiaire. Donc pour remonter jusqu’a toi soit ils ont aussi infiltré le prestataire, soit ce dernier n’est pas regardant/devoir légal sur la transmission de ces infos. Donc tu as fait l’erreur de faire confiance a ce presta. Mais dans tous les cas c’est ce prestat (au lieu de ton FAI) qui connait tes habitude de navigation.

Tu peux pousser plus loin le concepts pour contrer cet inconvénient en mettant en place un système de double aveugle, 2 VPN enchainés. Le premier sait d’où tu vient mais ne sais pas où tu vas, le second sait où tu vas mais ne sait pas d’où tu vient. C’est un peu le principe de Tor qui ajoute pas mal de couches.



@Mearwen : Bizarrement l’interception de courrier est bien plus encadré que celle des SMS/DPI … mais les lois n’ont pas été voté au même siècle <img data-src=" /> Pour info la confidentialité des correspondance est un droit fondamentale <img data-src=" />


Mearwen a raison, les équipements pour faire du DPI ça coûte le PIB d’un petit pays, et le volume de données à analyser sur la France et les réseaux de ses opérateurs est bien trop élevé pour tout sonder en temps réel.



Je peux me tromper mais je ne vois pas comment les routeurs BGP des ISP pourraient magiquement se mettre à faire du DPI.



Je précise que la société pour qui je travaille à une marque&nbsp; de DPI au catalogue, je suis formé pour faire l’avant-vente dessus.








sneakyB a écrit :



Mearwen a raison, les équipements pour faire du DPI ça coûte le PIB d’un petit pays, et le volume de données à analyser sur la France et les réseaux de ses opérateurs est bien trop élevé pour tout sonder en temps réel.



Je peux me tromper mais je ne vois pas comment les routeurs BGP des ISP pourraient magiquement se mettre à faire du DPI.



Je précise que la société pour qui je travaille à une marque&nbsp; de DPI au catalogue, je suis formé pour faire l’avant-vente dessus.





Le problème n’est pas que du faire de l’ultra massif, mais aussi de surveiller des trucs qui ne devrait pas l’être : espionnage industriel, de journalistes, de fonctionnaire qui pourraient trop parler à des journalistes, d’opposants politiques qui veulent parler de votre filles caché, etc…









cyrano2 a écrit :



Le problème n’est pas que du faire de l’ultra massif, mais aussi de surveiller des trucs qui ne devrait pas l’être : espionnage industriel, de journalistes, de fonctionnaire qui pourraient trop parler à des journalistes, d’opposants politiques qui veulent parler de votre filles caché, etc…





Ce n’est pas trop dur de surveiller l’IP de quelques personnes, la URL de quelques forum ou de mailer et de croiser le tout. Vous faites du “DPI light” pour faire le trie, mais ce qui est mis de coté, peut être très creusé.









Mimoza a écrit :



@Mearwen : Bizarrement l’interception de courrier est bien plus encadré que celle des SMS/DPI … mais les lois n’ont pas été voté au même siècle <img data-src=" /> Pour info la confidentialité des correspondance est un droit fondamentale <img data-src=" />





Clair que la différenciation&nbsp; sur la possibilité de l’interception des communications par voie électronique / voie matérielle est bizarre. Après je pense que ca vient surtout du fait que le besoin ne s’est pas fait vraiment ressentir au cours des enquêtes ( Pis faudrait des truands qui savent écrire et des flics qui savent lire <img data-src=" /> )





OB a écrit :



On est clairement pas d’accord sur la signification du DPI.



&nbsp; Pour moi en tous cas - je laisse à chacun le soin d’aller valider ou pas cette interprétation - c’est vraiment un “espionnage systématique” de TOUTE les communication à priori , pour déclencher des “marqueurs” qui, eux, effectivement implique une analyse plus fine & plus ciblée (mais qui peux aussi être automatique), éventuellement allant jusqu’à l’anayse + recoupement d’autres éléments différents - tel que par exemple le fichage des personnes dans les fichiers de la police , mais pas uniquement).



Tu penses que les volumes sont énormes - mais c’est pas forcément le cas , vu que ce sont pas les _données_ qui sont analysés mais les méta-données. Si l’on cherche des “schémas” dans les connections, Netflow peux être utilisé.

On peux aussi imaginer des “blackbox” qui , sur tout le territoire et par tous les FAI participants, lèvent une alerte lors de la connexion sur l’IP (ou le range de) de certains forums, serveur de VPN, …



Exemple : Tu veux savoir qui se connecte sur le forum : “non-a-lenfouissement-a-bure.com” , et tu vois que plein de personnes s’y connectent avec un VPN =&gt; Tu configures la sonde pour chercher tous les usagers des VPN en France, et corréler les trafics entrant sur le forum et les sorties des abonnés aux FAI (le problème juridique n’en est pas un, il suffit de trouver un juge qui accepte de te qualifier ça en terrorisme et le tour est joué).

&nbsp;



&nbsp;





Le DPI c’est l’analyse des couches hautes du modèle OSI (4-7), des couches qui ne sont pas manipulés par le cœur de réseaux (1-3), en gros la différence entre l’entête et le payload du paquets.

L’analyse des entêtes (Stateful Packet Inspection) est lui par contre réalisable en temps réel et c’est lui qui va guider le ciblage du DPI et c’est peut être de ce coté qu’il y a le plus de danger (Le fameux débat sur l’inclusion de l’url dans les métadonnées ou non).



Typiquement pour savoir qui c’est connecter au forum “non-a-lenfouissement-a-bure.com” via VPN ou pas tu n’as pas besoin du DPI. L’analyse des métadonnées suffit puisque tu as l’urlde la destination et donc la méta suffit.

Par contre si tu veux savoir ce que chaque personne a posté tu as besoin du DPI pour accéder à la couche HTTP.

&nbsp;

&nbsp;









Mearwen a écrit :



Clair que la différenciation&nbsp; sur la possibilité de l’interception des communications par voie électronique / voie matérielle est bizarre. Après je pense que ca vient surtout du fait que le besoin ne s’est pas fait vraiment ressentir au cours des enquêtes ( Pis faudrait des truands qui savent écrire et des flics qui savent lire <img data-src=" /> )



Le DPI c’est l’analyse des couches hautes du modèle OSI (4-7), des couches qui ne sont pas manipulés par le cœur de réseaux (1-3), en gros la différence entre l’entête et le payload du paquets.

L’analyse des entêtes (Stateful Packet Inspection) est lui par contre réalisable en temps réel et c’est lui qui va guider le ciblage du DPI et c’est peut être de ce coté qu’il y a le plus de danger (Le fameux débat sur l’inclusion de l’url dans les métadonnées ou non).



Typiquement pour savoir qui c’est connecter au forum “non-a-lenfouissement-a-bure.com” via VPN ou pas tu n’as pas besoin du DPI. L’analyse des métadonnées suffit puisque tu as l’urlde la destination et donc la méta suffit.

Par contre si tu veux savoir ce que chaque personne a posté tu as besoin du DPI pour accéder à la couche HTTP.

&nbsp;

&nbsp;





Le débat ne devrait pas être sur metadonnées ou données (fadette vs contenu); mais bien ce qui relève de la donnée privé ou non. L’ip est privé, ce que je regardes comme site aussi.&nbsp; il faut donc un garde-fou similaire au écoute téléphonique quelque soit ce qui est écouté.









OB a écrit :



On est clairement pas d’accord sur la signification du DPI.



&nbsp; Pour moi en tous cas - je laisse à chacun le soin d’aller valider ou pas cette interprétation - c’est vraiment un “espionnage systématique” de TOUTE les communication à priori , pour déclencher des “marqueurs” qui, eux, effectivement implique une analyse plus fine & plus ciblée (mais qui peux aussi être automatique), éventuellement allant jusqu’à l’anayse + recoupement d’autres éléments différents - tel que par exemple le fichage des personnes dans les fichiers de la police , mais pas uniquement).



Tu penses que les volumes sont énormes - mais c’est pas forcément le cas , vu que ce sont pas les _données_ qui sont analysés mais les méta-données. Si l’on cherche des “schémas” dans les connections, Netflow peux être utilisé.

On peux aussi imaginer des “blackbox” qui , sur tout le territoire et par tous les FAI participants, lèvent une alerte lors de la connexion sur l’IP (ou le range de) de certains forums, serveur de VPN, …



Exemple : Tu veux savoir qui se connecte sur le forum : “non-a-lenfouissement-a-bure.com” , et tu vois que plein de personnes s’y connectent avec un VPN =&gt; Tu configures la sonde pour chercher tous les usagers des VPN en France, et corréler les trafics entrant sur le forum et les sorties des abonnés aux FAI (le problème juridique n’en est pas un, il suffit de trouver un juge qui accepte de te qualifier ça en terrorisme et le tour est joué).

&nbsp;

C’est grossier, mais ça permet de te sortir une liste à aller visiter en priorité, et ça marche même si le VPN est à l’étranger.

(Plus chiant si le forum y est, mais ça , c’est un préalable).



&nbsp;







Alors pour respecter très précis, DPI (Deep packet Inspection) ça veut juste dire “regarder” ce qu’il se passe sur les couches 4-7 (la partie données des paquets réseau). c’est tout.



Après ça peut être fait en temps réel (en coupure, façon IPS), en duplication (façon IDS) ou même à froid (en stockant et rejouant les scénarios (façon test de solution en lab).



Il existe aussi des analyses méta-data (repérer des comportements avec qui discute avec qui, comment, en quelle quantité, à quelle intervalle etc), mais ce n’est “strictement” du DPI, puisqu’on ne sait jamais ce qui circule vraiment.



Si le trafic est chiffré (et le reste), ça ne peut pas être du DPI.



-&gt; Et pour répondre aux questions, des sondes DPI de 40Gbits/s ça existe déjà depuis longtemps, pour du 100Gbits ça doit couper une blinde mais c’est loin d’être impossible.

Sinon oui, le but avancer est surtout de protéger les OIV (laboratoire, centrale éléctriques, transport, gouvernement etc) donc potentiellement uniquement faire “manger” le flux aux sondes qui vont vers les IPs concernés (donc DPI sélectif). Mais il n’y a aucune raison qu’on ne puisse pas mettre plusieurs “grosses” (40-100Gbits/s) sonde dans les coeurs réseaux des opérateurs. Ca coûte une blinde mais on parle pas non plus de petite structure ici, et ils sont pas à quelques millions près, surtout pour des risques sécurités à plusieurs milliard (faire tomber une centrale ou la SNCF, par exemple, c’est pas quelques millions qui seraient perdus…)



La lecture des commentaires m’a autant, si ce n’est pas plus appris des choses que l’article lui-même. ce qui n’est pas une critique - loin de là - envers l’article, mais plutôt un gros remerciement aux quelques gus qui ont pris le temps de débattre sur le sujet ces 6 dernières heures.



Merci les lecteurs !

<img data-src=" />


Si tu installes un mouchard sur le PC (au plus près donc), les données doivent être lisible en clair quelque part.


Vous auriez quelques liens sur le sujet, pour un béotien qui veut creuser et comprendre ?&nbsp;








Mearwen a écrit :



Le DPI c’est l’analyse des couches hautes du modèle OSI (4-7), des

couches qui ne sont pas manipulés par le cœur de réseaux (1-3), en gros

la différence entre l’entête et le payload du paquets.

L’analyse

des entêtes (Stateful Packet Inspection) est lui par contre réalisable

en temps réel et c’est lui qui va guider le ciblage du DPI et c’est peut

être de ce coté qu’il y a le plus de danger (Le fameux débat sur

l’inclusion de l’url dans les métadonnées ou non).





Typiquement pour savoir qui c’est connecter au forum

“non-a-lenfouissement-a-bure.com” via VPN ou pas tu n’as pas besoin du

DPI. L’analyse des métadonnées suffit puisque tu as l’urlde la

destination et donc la méta suffit.

Par contre si tu veux savoir ce que chaque personne a posté tu as besoin du DPI pour accéder à la couche HTTP. &nbsp;

&nbsp;















Ramaloke a écrit :



Alors pour respecter très précis, DPI (Deep packet Inspection) ça veut

juste dire “regarder” ce qu’il se passe sur les couches 4-7 (la partie

données des paquets réseau). c’est tout.





Après ça peut être fait en temps réel (en coupure, façon IPS), en

duplication (façon IDS) ou même à froid (en stockant et rejouant les

scénarios (façon test de solution en lab).



Il existe aussi

des analyses méta-data (repérer des comportements avec qui discute avec

qui, comment, en quelle quantité, à quelle intervalle etc), mais ce

n’est “strictement” du DPI, puisqu’on ne sait jamais ce qui circule

vraiment.



Si le trafic est chiffré (et le reste), ça ne peut pas être du DPI.











&nbsp;Ok

alors si c’est cette définition, personne à rien à craindre du “DPI” ,

puisqu’une grande partie des communications sont chiffrés, et pour

celles qui reste les VPN (y compris chaînés, ou via tor) est une

protection suffisante.



Après il reste tj possible de “cibler”

(que ce soit coté serveur / forum ou coté abonné via des malware) , mais

là on est _plus_ dans l’espionnage massif , mais dans le ciblage de

personnes déjà identifiés.

=&gt; Oui, faut que ce soit protégé par

la loi, mais on est déjà plus dans l’arbitraire de la recherche

d’infractions “aléatoire”, et j’ai moins de mal a accepter ça.



pour

reprendre mon exemple, si tu veux savoir ce que chaque personne a

posté, la seule solution (si le forum est en HTTPS) est de rooter ledit

serveur, et là, de toute manière t’a simplement les logs du serveur à

disposition.



Mais tu saura donc que l’IP www.xxx.yyy.zzz

provenant d’un VPN en arménie a posté tel message, et pas grand chose de

plus si le posteur a pris quelques précautions. Pour moi , c’est pas

forcément du DPI…



&nbsp;

Toutefois, qu’on l’appelle DPI ou SPI , je reste assez méfiant quant au scénario que j’ai évoqué, cad l’analyse des métadonnées de la couche 3 (et au-dessus en terme de timing, volumétrie, …) pour rassembler des faisceaux d’indices et restreindre le champ de recherche de personnes que l’on souhaite identifier dans une grande masse de personnes, sans quand ces personnes ne soient à priori mise en cause pour quoi que ce soit , juste façon NSA : “On capture le maximum d’info (sous forme de metadonnées, puisque le contenu chiffré n’apporte rien), on verra bien plus tard si on peux trouver un moyen de s’en servir”&nbsp; Et ce sans réel contrôle des personnes / services qui ont accès à ça. D’ailleurs, le fait qu’il n’existe pas de grade fou prévu dès le départ à ces pratiques mènent à des scandales comme celui de snowden / FISA aux USA.





Je parlais des radars automatique dans mon 1er mail car on est sur à peu près la même logique:




  1. les premières versions mesurent la vitesse puis n’identifient (ie “flashent”) la personne que si l’infraction n’est commise, et ce par construction.

  2. les secondes versions (ie radars de tronçon) , présentés comme simples amélioration , filment et identifie TOUS les véhicules, bien obligé pour calculer une vitesse moyenne. Les infractions sont ensuite calculées à posteriori, _mais_ à l’heure actuelle, on a que la “parole” du ministère de l’intérieur pour savoir si les données sont effectivement détruites. Et surtout, ces données existent ! Demain, une simple ordonnance (c’est dans l’air du temps) permettra, par exemple, de vendre ces données aux assurances, publicitaires, et bien évidemment aux ministères, “simplement au cas où”, et pour faire des recoupements même bien longtemps après.

    Le stockage coûte plus grand chose et ce type de données se compresse bien … :-)



    La logique à l’oeuvre me semble être la même dans les 2 cas.

    &nbsp;