Trafic Internet : complexe à jauger, difficile à taxer

Suite à une saisine du gouvernement, le régulateur des télécoms a étudié les solutions pour mesurer le trafic provenant de tel ou tel service Internet. Résultat des courses : c'est possible, mais de nombreux contournements existent. Les solutions les plus intrusives, comme le DPI, sont écartées.

Hier soir, l'ARCEP a publié un avis rendu au gouvernement début juillet, qui doit faire avancer le dossier de la taxation des géants américains du Net. Il porte sur l'analyse du trafic Internet, pour identifier d'où proviennent les flux reçus par les fournisseurs d'accès à Internet (FAI) et dans quelles proportions. Il a été rendu après une saisine du gouvernement en avril, qui ne détaille pas sa finalité. Pourtant, le seul sujet affiché par le gouvernement où une mesure générale du trafic Internet en France serait utile est bien une taxe sur la bande passante, un serpent de mer qui fait son chemin depuis 2011.

Prudente, l'ARCEP précise dans son avis qu'elle traite de l'analyse du trafic, et non des usages qui pourraient être faits de cette analyse. Il lui a été demandé d'analyser les caractéristiques techniques pertinentes pour les mesures, des données sur la répartition du trafic, les méthodes possibles pour recueillir les données de trafic et les méthodes de contournement disponibles, pour éventuellement cacher une consommation de bande passante. Pour départager les méthodes de mesure, l'ARCEP s'est appuyée sur des critères classiques, comme « la faisabilité technique et juridique, le coût et la complexité de mise en œuvre, la fiabilité, la complétude [et] le caractère facilement certifiable des résultats obtenus ».

Pour préparer son avis, l'institution a interrogé plusieurs acteurs du secteur : « deux fournisseurs d'accès à Internet, deux fournisseurs de contenus et applications, un gestionnaire de point d'échange Internet [où viennent se connecter directement des acteurs pour communiquer directement avec les autres], un transitaire international, un hébergeur et une société spécialisée dans l’analyse des performances réseau ». Cela en plus de l'envoi de questionnaires à d'autres. Le résultat pourrait ne pas plaire aux partisans d'une taxation immédiate de la bande passante consommée par Google, Amazon, Facebook, Apple ou Microsoft (GAFAM).

Des sources multiples qui brouillent toute analyse

Alors qu'Internet s'est construit sur l'idée d'échanges pair-à-pair, les usages se sont concentrés autour de quelques grandes plateformes qui envoient beaucoup de trafic pour, au final, en recevoir bien moins. L'ARCEP estime même que le trafic sortant peut être écarté d'éventuelles mesures par l'État, pour ne garder que l'entrant.

Plus de la moitié du trafic Internet en France proviendrait de cinq réseaux (fournisseurs de services, hébergeurs ou intermédiaires) « sur les 60 000 qui composent Internet », selon les chiffres recueillis par l'ARCEP. Cela s'explique par la montée de certains usages, dont le streaming vidéo, qui aurait largement supplanté les autres types de trafic, selon les données obtenues auprès des opérateurs.

Malgré la concentration des usages, l'identification de la bande passante consommée reste très difficile, estime le régulateur. Pour acheminer leurs contenus, les fournisseurs de services passent par différents réseaux et tentent d'optimiser au mieux la livraison, en rapprochant les contenus des utilisateurs.

Une même image de chat peut, par exemple, directement provenir du réseau du fournisseur de services, qui s'est connecté avec le FAI. Mais elle peut aussi passer via un opérateur de transit, qui s'intercale entre le fournisseur de services et le FAI. Il peut aussi provenir d'un réseau de livraison de contenu (CDN) qui rapproche les contenus des utilisateurs pour le compte de nombreux services.

Le trafic qui provient d'un transitaire ou d'un CDN devient donc très difficile à attribuer à un fournisseur de service, vu que le FAI ne voit en principe que le réseau auquel il est directement connecté. Dans tous les cas, il est aussi difficile d'identifier l'éditeur d'un contenu, qui peut être directement l'exploitant du site ou un tiers qui place simplement son contenu chez l'hébergeur sur la plateforme qui le diffuse.

D'autres cas de figure posent problème avec, par exemple, les serveurs de cache et les CDN hébergeurs chez les fournisseurs d'accès, comme le poussent notamment Netflix et Google pour limiter leurs frais d'interconnexion. « Internet est caractérisé par une décorrélation forte entre, d’une part, les contenus, services et applications fournies et, d’autre part, les réseaux qui assurent leur diffusion de manière majoritairement indifférenciée » résume l'ARCEP.

Une mesure de trafic complexe, mais pas impossible

Pour mesurer le trafic acheminé par ses tuyaux et dimensionner correctement son réseau, un fournisseur d'accès fait généralement une mesure du trafic toutes les cinq minutes et les pondère, en excluant les gros pics d'activité. Le régulateur propose notamment de s'appuyer sur ce principe pour identifier les flux. L'ARCEP a analysé trois techniques pour quantifier les flux réseau :

• Effectuer des mesures automatiques aux interconnexions entre les réseaux via les compteurs intégrés au matériel des fournisseurs d'accès. Les résultats seraient récupérés via le protocole SNMP.
• Obtenir les entêtes des paquets IP pour en déduire le réseau d'origine, donc le fournisseur, via des outils dédiés comme IPFix ou NetFlow (chez Cisco).
• Inspecter le contenu de chaque paquet IP (Deep Packet Inspection, DPI) par des outils ou des sondes dédiées.

Chaque technique est plus précise que la précédente, mais aussi plus complexe à mettre en place. L'ARCEP propose trois points où appliquer ces techniques : aux points d'interconnexion des réseaux des FAI avec le reste d'Internet, au bord du réseau de collecte du FAI (qui relie les réseaux locaux de l'opérateur au coeur national) ou au niveau des « premiers équipements actifs », c'est-à-dire au premier point de mutualisation au plus près des utilisateurs. Dans tous les cas, il est recommandé de chercher les données chez les FAI, et non directement chez les fournisseurs de service.

Deux scénarios envisagés, un plus que l'autre

La méthode possiblement la plus efficace est l'inspection de paquets, qui permettrait une analyse au cas par cas. Le régulateur l'écarte pourtant d'emblée, pour plusieurs raisons. La montée du chiffrement du trafic la rendrait facilement inopérante. La moitié du trafic Internet en France serait déjà chiffré à la mi-2015, contre 5 % à peine en 2012. L'ARCEP note surtout que le DPI peut se révéler « intrusif » et « soulever des interrogations » en matière de vie privée. Il faudrait examiner la « faisabilité technique ou juridique » avant de l'envisager, prévient encore l'institution.

La première technique vraiment envisageable serait d'appliquer une analyse des entêtes des paquets, via IPFix ou NetFlow, en bordure du réseau de collecte. Pour l'ARCEP, « cette méthode permettrait d’englober plus de trafic qu’au niveau des points d’interconnexion et d’opérer un premier niveau d’identification » en obtenant l'expéditeur et le destinataire. Reste qu'il s'agit simplement d'un échantillonnage, qui pourrait dégrader les performances du réseau s'il est trop intensif.

La deuxième technique envisageable et de s'appuyer sur les compteurs du matériel aux points d'interconnexion avec les autres réseaux. Pour l'ARCEP, il s'agit du « meilleur compromis » et de la méthode la plus facile à mettre en place par les FAI. Pour prendre en compte le trafic au sein même du réseau d'un FAI (par exemple pour un serveur de cache posé par Netflix), le régulateur recommande d'opérer le même type de mesure sur le réseau interne. Reste aussi à noter qu'avec cette méthode, le FAI ne voit que le réseau qui lui a directement remis le contenu. Dans le cas d'un transitaire ou d'un CDN, qui envoie en un flux le contenu de nombreux sites, cela pourrait donc poser quelques risques d'erreur...

Cette analyse du trafic au niveau des interconnexions est donc la solution privilégiée par l'ARCEP. Celle-ci prévient d'ailleurs qu'elle ne peut pas être complétée par une analyse IPFix ou NetFlow (pour obtenir précisément le point d'envoi et le point de réception final). Selon l'institution, les données des deux méthodes ne coïncideraient pas facilement, avec le risque de compter plusieurs fois le même trafic.

Les méthodes de contournement existent déjà

Dans son avis, le régulateur tient aussi à souligner que ces techniques ont d'autres limites. L'ARCEP identifie par exemple les échanges en pair-à-pair, utilisé à une époque par Spotify. Une autre limite est la localisation des interconnexions en dehors de France, qui pose un souci juridique. Est-ce que la France aurait le droit d'obtenir des données sur des interconnexions situées dans un pays étranger ? Selon le régulateur, imposer une mesure aux interconnexions pourrait inciter des FAI à déplacer ces points (donc des investissements) hors du pays. De même, ce déplacement pourrait mener à une dégradation de la qualité de service pour les utilisateurs.

La diffusion en multicast pourrait aussi poser problème. Pour transporter certains flux, comme la TV, les fournisseurs d'accès les agrègent jusqu'au dernier point où c'est possible, pour ensuite le répartir vers chaque abonné. Cela permet de n'envoyer qu'une fois les données, plutôt que vers chaque utilisateur individuellement. Avec cette technique, seul un flux est identifiable, alors qu'il correspond à un usage par plusieurs internautes.

Comme évoqué, un autre problème est l'hébergement du contenu au sein du FAI lui-même. Selon le document du régulateur, un CDN envoie en moyenne cinq fois plus de contenu qu'il n'en reçoit. Placer un serveur au sein du réseau d'un FAI permettrait donc « de réduire de près de 80 % le recours aux interconnexions concernant les contenus pouvant y être stockés », par exemple les vidéos les plus vues sur YouTube. D'où l'idée de l'ARCEP d'en prendre compte en plaçant des sondes entre les abonnés et le cœur de réseau (où sont les serveurs de cache) ou de compléter les mesures au bord du réseau du FAI par des mesures internes.

Au final, « il n’existe par ailleurs pas de méthode univoque, infaillible ou exhaustive permettant d’associer un trafic à un service » estime l'ARCEP. La mesure du trafic aux interconnexions via les outils intégrés au matériel, qui est la méthode étudiée la moins intrusive, est donc celle privilégiée par le régulateur. Si le but de telles mesures était très sûrement la taxation du trafic des géants américains, elle ne serait pas encore à l'ordre du jour à Bercy, rapportent Les Échos. En plus de la complexité technique, cette mesure pourrait tout simplement pénaliser les petits acteurs du numérique, alors qu'ils ne sont normalement pas visés.