The Internets

flux & contenux

[Actu] Le filtrage par DPI

avec 12 commentaires

L’article 5 de la loi Création et Internet du 12 juin 2009 prévoit que l’Hadopi évalue « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage ». Vendredi dernier, Jean Berbinau, membre de l’Hadopi, nous invitait à regarder l’expérience de l’Australie en matière de filtrage des réseaux. Là-bas, les tests, réalisés l’année dernière, sur la base du volontariat, par neuf fournisseurs d’accès Internet, ont été effectués sur un ensemble de technologies diverses : DPI, DNS, URL par proxy et hybride.

Lors d’une conférence à Montréal, en avril 2008, Jean Berbinau soutenait : «Pourquoi peut-on filtrer ? Parce qu’il y a longtemps que la vitesse des réseaux n’a pas progressé, ce qui favorise ceux qui cherchent à faire du filtrage, notamment grâce au procédé de Deep Packet Inspection – qui consiste à observer les paquets d’informations sur la bande passante et permet de savoir à peu près tout ce que l’on veut savoir : Qui a envoyé le paquet? Qui l’a reçu? Quelle est l’application correspondant aux contenus du paquet? Et qu’est-ce qu’il y a dedans? »

Il est donc envisageable que le filtrage par DPI – basée sur la centralisation du trafic au niveau d’un point du réseau où le trafic est inspecté au niveau de l’URL, ou plus en profondeur (port, application, mots-clés, etc.) – soit l’une des technologies que la Haute Autorité va souhaiter voir appliquée pour, comme l’a décrit le chef de l’Etat, « dépolluer automatiquement les réseaux et les serveurs de toutes les sources de piratage ».

« On a l’art de construire des lignes Maginot. On peut continuer encore longtemps » nous indiquait, récemment, sur ce sujet précis, Yves Le Mouël, directeur général de la Fédération Française des Télécoms (qui regroupe notamment Bouygues, France Télécom, Numéricable et SFR). Et Philippe Duluc, président de la commission Sécurité de la FFT, de nous réaffirmer leur opposition à mettre en œuvre un tel système. Aussi, nous sommes replongés dans l’Etude d’impact du blocage des sites pedopornographiques (pdf), réalisée par la Fédération, dans le cadre de la Loppsi, pour en extraire les éléments relatifs au filtrage par DPI.

Résumé :

Définition

Le DPI (pour Deep Packet Inspection ou Inspection en profondeur des paquets), est une technique d’inspection de paquets qui examine le contenu d’un paquet IP (à la fois l’entête et les données) lorsqu’il traverse un point particulier du réseau. L’inspection des paquets vise à rechercher des informations selon les critères prédéfinis dans le but de les router vers une autre destination ou de collecter des informations statistiques. Le DPI désigne la technique de blocage et par extension le serveur qui opère cette fonction dans le réseau.

Principe de fonctionnement

Les technologies de blocage de contenu par DPI consistent à analyser les contenus des paquets IP en forçant leur passage par un serveur DPI. En fonction des critères de blocage, le DPI autorise ou interdit le transit des paquets vers leur adresse destination.

Le principe général repose sur le blocage des paquets IP selon une liste de critères définis par le FAI. Ces critères peuvent être de plusieurs natures : URL, numéro de port, signature de l’application… Les paquets qui répondent aux critères de blocage subissent un traitement particulier, par exemple un routage différent du reste du trafic ou un blocage pur et simple sans notification.

Les critères sont compilés et triés par catégories avant d’être chargés dans un logiciel de blocage qui peut être configuré de façon à ne bloquer que certaines catégories. Quand les utilisateurs tentent d’accéder à une page Web, le logiciel vérifie sa liste de sites interdits et bloque l’accès à toute page qui s’y trouve.

Adopté à l’origine dans des pays peu démocratiques pour contrôler les trafics internet sortants, le DPI peut être utilisé pour faire de l’inspection d’URL dans le contexte de blocage des sites pédopornographiques. Dans le contexte de blocage légal de contenus pédopornographiques, l’approche par inspection d’URL faisant appel à du DPI s’avère coûteuse et inappropriée.


Principe de fonctionnement du blocage par inspection de contenu – Source Marpij

Mise en oeuvre technique et effets de bord

La technique de blocage par inspection d’URL agit au niveau d’un point unique du réseau qui concentre tout le trafic et qui refuse l’accès aux contenus interdits. Elle impose donc pour l’opérateur d’acheminer tout son trafic vers un point unique avant de le router vers sa destination, ce qui crée un goulot d’étranglement et limite fortement la fluidité du trafic.

Pour y remédier, un opérateur peut maintenir son architecture réseau inchangée mais devra disposer au niveau de chaque sortie de réseau un serveur DPI pour analyser tous les flux entrants et sortants. Cette deuxième solution s’avère très coûteuse, peu extensible (scalable) et mal adaptée à des réseaux ouverts comme le sont les réseaux des FAI français.

Bien qu’en apparence efficace, cette technique reste contournable et surtout nécessite des investissements disproportionnés par rapport au gain d’efficacité qu’elle peut apporter dans un cadre de blocage de sites pédopornographiques. Un seul opérateur dans les sept pays de notre échantillon a mis en place un blocage par inspection d’URL, qu’il est en train de migrer vers une solution hybride.

Les techniques de contournement

- L’utilisation de sites Miroirs
- Le changement d’IP plus fréquent que la mise de la liste noire d’IP.
- L’utilisation de proxy https
- Réseaux anonymisants chiffrés, réseaux de type TOR

Coût : 140 millions d’euros pour trois ans

Dans l’hypothèse d’une liste ne dépassant pas les 2000 entrées et d’une adoption uniforme d’une même technologie de blocage par les principaux FAI (3 FAI fixe-mobile, 1 FAI fixe-câble, 1 FAI fixe-DSL), le coût direct total pour le secteur sur 3 ans est de près de 140 millions d’euros.

Les modèles de coûts ne prennent pas en compte les impacts financiers des « effets de bord ». Les expériences étrangères montrent que ces effets sont inévitables. Les conséquences financières peuvent être significatives si le blocage concerne des sites à fort trafic.

Ces conséquences doivent donc être anticipées par les autorités. Des compensations pourraient être demandées par :
- d’une part les FAI, en cas de dégradation notamment de la qualité de service pour les clients finaux, de saturation des centres d’appel (plusieurs centaines de k€ par heure en cas de blocage erroné), ou d’altération de l’image de marque du FAI se traduisant par une augmentation des résiliations
- et d’autre part les éditeurs de sites bloqués, avec la perte de chiffre d’affaires induite et l’impact sur l’image de l’éditeur

Maj : Cette description répond à certaines configurations de réseaux, comme celle de France Télécom actuellement. Il en est encore autrement, et autrement plus complexe, pour une architecture telle que celle mise en œuvre par Free ou SFR. On y reviendra.

Par Astrid Girardeau

10 janvier 2010 à 14:45

12 Réponses à '[Actu] Le filtrage par DPI'

Souscrire aux commentaires en RSS ou TrackBack pour '[Actu] Le filtrage par DPI'.

  1. Social comments and analytics for this post…

    This post was mentioned on Twitter by TheInternets_: [Actu] Le filtrage par DPI http://ur1.ca/ji0w #hadopi #filtrage…

  2. À lire aussi, le dossier de la Quadrature du Net sur le filtrage et l’étude indépendante traduite par Framalang et La Quadrature :

    http://www.laquadrature.net/fr/filtrage-du-net-danger-pour-la-democratie-et-letat-de-droit

    Benjamin

    10 jan 10 à 15:11

  3. Plutôt que de réguler Internet, je propose à nos politiques de créer un espace de droits numériques à l’intérieur de celui-ci : http://is.gd/60hN2 . Créer le prochain Google, c’est plus difficile que taxer ou filtrer, mais c’est beaucoup plus efficace pour promouvoir notre patrimoine culturel : http://is.gd/5YaLz .

    Jean-Marc Mercier

    10 jan 10 à 16:09

  4. [...] Filtrage de l’internet français par DPI (Deep Packet Inspection) , comment ca marche ? [...]

  5. [...] Cette même tech­no­lo­gie, le Deep Packet Inspection, est uti­li­sée dans plu­sieurs dic­ta­tures, comme la Chine et la Tunisie, pour sur­veiller et cen­su­rer inter­net. Elle est envi­sa­gée très sérieu­se­ment en France afin de sur­veiller la popu­la­tion Française. [...]

  6. Ligne Maginot, ou, Mur de Berlin… on a le choix des exemples de l’Histoire !

    Frontière

    13 jan 10 à 18:09

  7. [...] Johnny et Sardou avec nos impôts, on va devoir payer pour ce filtrage qui si j’en crois The Internets (allez lire cette page, c’est passionnant), partirait plutôt vers une techno baptisée DPI [...]

  8. [...] Le filtrage par DPI – The Internets [...]

  9. [...] est totalement irresponsable et constitue, en l’état des choses, un accord tacite pour la mise en place du DPI.  On imagine un démenti plus ou moins maladroit sous peu, ou du moins, on espère : nous serions [...]

  10. [...] Berbineau avait lui-même sol­li­cité les béné­fices du DPI pour le fil­trage du pira­tage lors d’une confé­rence à Montreal en 2008. Or Jean Berbineau n’est autre que l’ancien secré­taire géné­ral de l’Autorité [...]

  11. [...] financer Johnny et Sardou avec nos impôts, on va devoir payer pour ce filtrage qui si j’en crois The Internets (allez lire cette page, c’est passionnant), partirait plutôt vers une techno baptisée DPI pour [...]

  12. merci sinon très bon article !

    Jeu en ligne

    13 juil 10 à 16:40

Laissez un commentaire