Décryptage

Boites noires : l’utilisation de DPI semble inévitable

Posté le 17 mai 2015
par La rédaction
dans Informatique et Numérique

La loi renseignement, votée à l’Assemblée nationale, sera examinée au Sénat en juin. Pour détecter des terroristes sur Internet, elle prévoit d’installer des “boites noires” sur les équipements des opérateurs et des FAI. Jusqu’à inspecter, en profondeur, des paquets réseau ?

Le nouveau texte de loi relatif au renseignement, très loin de faire l’unanimité, prévoit de “détecter, par un traitement automatique, une succession suspecte de données de connexion” en utilisant des “boites noires”.

Peu d’informations ont filtré sur la nature de ces “boites noires”, mais il s’agirait d’installer des appareils de “traitement de données” sur les équipements réseaux des opérateurs télécoms, des hébergeurs et des fournisseurs de services. Selon le gouvernement, les boites noires contiendront des algorithmes, qui devraient permettre de retrouver, dans une énorme masse de données transitant sur Internet, de possibles suspects – grâce au data mining

La CNCTR, la Commission nationale de contrôle des techniques de renseignement, vérifiera les algorithmes – qui nécessiteront d’être régulièrement mis à jour, les terroristes étant susceptibles de trouver des parades pour leur échapper. Cette commission validera au cas par cas la désanonymisation des données collectées – des métadonnées (adresses IP de sites web, heures et dates de connexion) principalement, assure le gouvernement.

Un “travail ciblé” grâce à une surveillance massive

Selon l’exécutif, la surveillance sera “localisée”, et non massive. Pour détecter les menaces sur Internet, les algorithmes se baseront sur une compilation de modèles de comportements suspects.

Mais pour nombre d’experts, ce “travail ciblé” risque d’être très difficile. Alexandre Archambault, ancien cadre chez Free, constate, dans l’émission d’Arrêts sur Image “14h42”, que les algorithmes risquent d’être “inopérants” sur les “données de flux”, qui circulent en permanence sur le réseau des FAI. “Pour que cela fonctionne, il faudrait stocker ces données, pour pouvoir ensuite les analyser. Le texte parle d’analyse de mots-clés en temps réel, ce qui signifierait que le trafic d’un abonné serait routé dans une interface dédiée, accessible aux policiers”, indique-t-il.

Selon Alexandre Archambault, pour cibler quelque 3000 terroristes dans la masse gigantesque de données circulant sur les réseaux des hébergeurs, des fournisseurs de service et des opérateurs, il faudrait en outre installer 50 000 raccordements sur les équipements des FAI, les DSLAM. Ce qui reviendrait à travailler, au final, avec les métadonnées et les données de l’ensemble de la population française.

Pour filtrer, classifier et analyser les flux Internet chez les FAI, il semble inévitable, aux yeux d’un grand nombre d’experts, que les services de renseignement auront recours à des outils de DPI (deep packet inspection). Cette technique consiste à inspecter, en profondeur, des paquets réseau (IP, le plus souvent). Ces paquets peuvent être “bloqués” selon une liste de critères définis par le FAI, et être ensuite routés, afin d’être analysés à part.

Des métadonnées au payload

Problème : les DPI sont tristement connus pour être utilisés par certains régimes dictatoriaux, afin de surveiller des opposants, ou de pratiquer la censure sur Internet – car les paquets peuvent aussi être bloqués. Un DPI permet de lire les couches 2 (liaison de données) et 3 (réseau) du modèle OSI, modèle de référence d’interconnexion des systèmes ouverts, mais parfois, l’analyse peut aller jusqu’à la couche 7 (application), ce qui permet d’accéder au “payload” – les entêtes HTTP (ce qui permet d’obtenir des informations détaillées sur la navigation d’un internaute), ou les “sujets” d’un mail, voire son contenu.

“Si vous voulez des mots-clés sur des recherches ou des vidéos, cela se passe au niveau du fournisseur de service, pas du fournisseur de réseau. Mais si vous voulez les obtenir, discrètement, via un FAI, ou via les opérateurs télécoms, il faut taper dans la couche 7, et la seule solution, c’est le DPI”, affirme Alexandre Archambault. En outre, “le gouvernement parle de regarder des vidéos, des mots-clés, ou des mots de passe. Ce ne sont pas des métadonnées, mais des contenus, et pour les analyser, il faut un DPI”, ajoute-t-il.

Ce système de surveillance massive et d’interception de communications électroniques permettrait ainsi aux services de renseignement d’intercepter et d’examiner le contenu d’un paquet IP, à la fois l’entête et les données, d’e-mails ou d’appels VoIP (par exemple, sur Skype). Si des éléments de navigations sont déclarés comme suspects grâce aux algorithmes de la boite noire, les FAI pourraient être contraints de transmettre l’identité de l’internaute aux enquêteurs, sans avoir besoin de l’autorisation d’un juge.

En réaction au projet de loi, Tristan Nitot, membre du CNN (conseil national du numérique), a lancé un mouvement de protestation, “Ni pigeons, ni espions”. Des hébergeurs ont rejoint les rangs de ce groupe, comme Gandi, Ikoula, ou OVH, qui menace de délocaliser ses activités si la loi est adoptée.

Par Fabien Soyez

Et aussi dans les
ressources documentaires :


Pour aller plus loin