Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les opérateurs français utilisent-ils le DPI ? demande une députée

[ ] Non [ ] Un peu [ ] beaucoup [ ] passionnément

Les opérateurs français utilisent-ils le DPI ? demande une députée

Le 12 avril 2013 à 07h00

Les opérateurs français ont-ils reçu consigne du gouvernement d’utiliser d’une manière ou d’une autre le Deep Packet Inspection ? C’est en substance la question que vient d’adresser Isabelle Attard à la garde des Sceaux.

 

La députée écologiste vient de questionner la ministre de la justice sur l’usage du deep packet inspection (DPI) par les opérateurs de télécommunication. Cette technologie d’analyse fine des flux vise à scruter les paquets transmis dans les réseaux. Elle est évidemment la technique la plus attentatoire à la vie privée et aux libertés fondamentales garanties par la Constitution.

 

La députée écologiste souhaite savoir donc spécialement si ces entreprises « ont reçu pour consigne, du gouvernement actuel ou d'un précédent, d'étudier, d'expérimenter ou de mettre en place des moyens d'analyser le contenu détaillé d'un paquet réseau de façon à en tirer des statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. » Anticipant une possible réponse négative, elle prie par ailleurs le gouvernement de lui dire s’il a eu « connaissance de tels projets de la part d'un ou plusieurs opérateurs de télécommunication français et, si oui, lesquels. »

 

La députée Isabelle Attard veut aussi d’autres détails. Ainsi dans le cadre du projet annoncé d'un habeas corpus numérique, elle souhaite connaître les intentions du gouvernement « sur les règles qui permettraient de garantir la protection des données personnelles et de la vie privée sur Internet. »

Des tests menés en Allemagne par les ayants droit français

Les ayants droit ont depuis longtemps dans leur carton un projet une solution de filtrage par deep packet inspection. Cela nous avait été dévoilé par Marc Guez, président de la SCPP, qui réunit les majors de la musique. « C’est un robot qui vérifie : est-ce qu’il y a un fichier protégé dedans ou pas, si oui, le fichier protégé ne suit pas » expliquait-il en septembre 2010. Testé en Allemagne, ce filtrage, programmé à l’époque dans l’écosystème Hadopi, avait été évoqué à Bruxelles. « On l’a évoqué devant la Commission européenne de manière non positive avec les FAI » admettait-il.

 

Plus récemment, devant la mission Lescure, la SCPP a revu à la baisse ses ambitions suite à une jurisprudence de la Cour de Justice de l’Union Européenne (affaire Sabam). « On dit à la Mission Lescure qu’en dehors de la réponse graduée, si jamais elle devait être abandonnée, le filtrage fait aussi partie des mesures qui fonctionnent » nous a relaté toujours Marc Guez. « On sait que le filtrage par DPI a été rejeté par la CJUE qui l’estime trop intrusif, mais le filtrage par DNS, lui, ne l’est pas. »

Le deep packet inspection au-delà de nos frontières

En attendant la réponse gouvernementale, Isabelle Attard considère sans mal que « ces technologies [de DPI] pouvant servir à censurer ou à mettre sous surveillance des citoyens, hors de toute procédure judiciaire, il serait particulièrement dangereux pour notre démocratie que des opérateurs privés les utilisent sur les réseaux français. »

 

La sensibilité du DPI varie toutefois selon le côté de la frontière. Questionné en mars 2013, Laurent Fabius, ministre des Affaires étrangères, a considéré – comme ses prédécesseurs - que l’exportation des outils de DPI ne pose aucune difficulté particulière puisqu’il s’agit de solutions développées sur la base de produits « grand public ». Aucune autorisation n’est nécessaire pour leur vente, même dans des pays à la démocratie chancelante : « Ces matériels de communication, qui sont développés sur la base de produits du marché grand public et qui n'ont pas d'usage militaire, n'ont a priori pas vocation à faire partie de l'une des catégories d'équipements soumis à autorisation d'exportation. »

 

Une belle cacophonie puisque quelques jours avant, le premier ministre exprimait son souhait d’ « inclure les technologies de surveillance et de contrôle de l’internet dans la liste des biens à double usage dont l’exportation est soumise à autorisation »...

Commentaires (113)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







psikobare a écrit :



les mêmes qui veulent nous faire gazouiller?



soyons sérieux, ce n’est pas l’académie qui fait la langue, mais l’usage (oui, le français est une langue vivante, désolé)

laissez donc les gens utilisez les mots ou expressions qu’ils veulent au lieu de faire les nazis <img data-src=" />





<img data-src=" /> <img data-src=" />



Sauf qu’on dit chiffrement c’est tout. Je m’en fou que y’en a qui disent wesh wesh pour dire bonjour moi je dis bonjour.


votre avatar

un fai n’a jamais à aller au delà du header IP, juste JAMAIS. Et ses tuyaux doivent rester neutre et faire-play vis-à-vis de la destination/source/protocol présent dans le header (il peut cependant mettre en œuvre les classes de trafic grâce aux champs TOS et/ou label. Et le seul intérêt des équipements ci-dessus est un contrôle/censure du net invisible et de masse (ça aurait excité stalline et hilter…)

votre avatar







bzc a écrit :



Pas forcement, il y a plein de types de VPN.





Oula évidement et heureusement que ce n’est pas aussi simple. Pour faire ce que tu dis il faudrait faire un MITM et comme le certificat ne sera pas le bon le handshake va s’interrompre.







je n’ai jamais dit que c’était simple et heureusement…

je dis juste que les offres vpn qu’on voit fleurir de partout pour pas cher ne sont pas securisées.


votre avatar







saf04 a écrit :



je n’ai jamais dit que c’était simple et heureusement…

je dis juste que les offres vpn qu’on voit fleurir de partout pour pas cher ne sont pas securisées.







Et moi je dis que ce que tu dis n’est pas possible … donc que ils sont suffisamment sécurisés pour du DPI car décrypter le flux on the fly serait impossible.


votre avatar







bzc a écrit :



Pas forcement, il y a plein de types de VPN.





Oula évidement et heureusement que ce n’est pas aussi simple. Pour faire ce que tu dis il faudrait faire un MITM et comme le certificat ne sera pas le bon le harlemshake va s’interrompre.





<img data-src=" />



Pardon aux familles, c’est dredi, ‘cule un mouton quoi.


votre avatar

j’imagine bien que la DCRI ne se gêne pas pour aller coller des machines de DPI sur les backbones des opérateurs.

votre avatar







bzc a écrit :



Et moi je dis que ce que tu dis n’est pas possible … donc que ils sont suffisamment sécurisés pour du DPI car décrypter le flux on the fly serait impossible.





C’est possible sur un MITM pendant le handshake de certificats non signé.


votre avatar







Khalev a écrit :



C’est possible sur un MITM pendant le handshake de certificats non signé.







Les VPN commerciaux dont il parle ont des certificats publiquement signés … dans le cas d’un VPN perso la moindre des choses est de rajouter le certificat sur ta machine pour éviter ça …


votre avatar







spamator a écrit :



Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,





Je ne vois pas de DPI la-dedans.

EDIT: over-BBQed.


votre avatar







bzc a écrit :



Et moi je dis que ce que tu dis n’est pas possible … donc que ils sont suffisamment sécurisés pour du DPI car décrypter le flux on the fly serait impossible.







extrait de la doc du pare-feu dpi sonicwall de dell:

“In the Client DPI-SSL scenario, the SonicWALL UTM Appliance typically does not own the certificates and private keys for the content it is inspecting. After the Appliance performs DPI-SSL inspection, it re-writes the certificate sent by the remote server and signs this newly generated certificate with the certificate specified in the Client DPI-SSL configuration.”



edit: j’ai donne le premier exemple que j’ai trouvé sur Google.

peut etre l’exemple de ce matériel n’est pas parfait, mais il montre bien que cela se fait et que ca existe sur le marché.


votre avatar







bzc a écrit :



Les VPN commerciaux dont il parle ont des certificats publiquement signés … dans le cas d’un VPN perso la moindre des choses est de rajouter le certificat sur ta machine pour éviter ça …





J’espère que tout ces VPN ont un certificat publiquement signé, ou possèdent un moyen alternatif de transmettre leurs certificats. J’essayais juste de nuancer ton propos qui avait un ton un peu absolu: “c’est impossible”.


votre avatar







Groumfy a écrit :



Le filtre anti pub de Free, j’appelle ça du DPI…



Je considère que mon FAI n’a pas à parser les flux HTML qui transitent.





Il n’y a aucun parsage ni modification du flux HTML <img data-src=" />

C’est juste un serveur DNS qui répond différemment. (et que tu choisis d’activer)


votre avatar







saf04 a écrit :



extrait de la doc du pare-feu dpi sonicwall de dell:

“In the Client DPI-SSL scenario, the SonicWALL UTM Appliance typically does not own the certificates and private keys for the content it is inspecting. After the Appliance performs DPI-SSL inspection, it re-writes the certificate sent by the remote server and signs this newly generated certificate with the certificate specified in the Client DPI-SSL configuration.”



edit: j’ai donne le premier exemple que j’ai trouvé sur Google.

peut etre l’exemple de ce matériel n’est pas parfait, mais il montre bien que cela se fait et que ca existe sur le marché.





encore une fois, tu penses que l’utilisateur va gentiment accepter le certificat intégré dans la config sonicwall?



tient, essayes d’aller surhttps://linuxfr.org/ pour voir


votre avatar







saf04 a écrit :



extrait de la doc du pare-feu dpi sonicwall de dell:

“In the Client DPI-SSL scenario, the SonicWALL UTM Appliance typically does not own the certificates and private keys for the content it is inspecting. After the Appliance performs DPI-SSL inspection, it re-writes the certificate sent by the remote server and signs this newly generated certificate with the certificate specified in the Client DPI-SSL configuration.”







Apparament tu ne comprend pas ce que tu cites donc je traduis : le certificat fake utilisé pour le remplacement est signé par un certificat maison que tu choisis dans la configuration de SonicWall. Ça peut marcher en entreprise où tu déploies ce certificat comme étant de confiance sur tout les postes, ça ne peut pas marcher dans le cadre d’un DPI des FAI comme on est en train d’en parler : dans ce cas le certificat ne sera pas de confiance et comme déjà dit le handshake SSL va s’interrompre.


votre avatar







psn00ps a écrit :



Je ne vois pas de DPI la-dedans.

EDIT: over-BBQed.





Comment faire pour analyser le trafic, meme connaitre la source et la destination sans lire le contenu des paquets ?


votre avatar







spamator a écrit :



Comment faire pour analyser le trafic, meme connaitre la source et la destination sans lire le contenu des paquets ?





Il suffit d’utiliser les logs de connexion que tout FAI est tenu de mettre en place.

Les URLs visitées y figurant permettent à Orange de cibler le contenu intéressant l’abonné.


votre avatar

Quand on sait que la france est experte en matiere d’équipement de surveillance numérique et de dpi (vendu au maroc, en lybie et tout un tas de coin sympa), on se demande plutot “depuis quand on est surveillé?”

http://reflets.info/category/sagas/deep-packet-inspection/



il y’a de tres forte suspicion d’usage de dpi pour orange http://reflets.info/orange-preferences-le-deep-packet-inspection-en-opt-in/) et sfr mobile http://reflets.info/deep-packet-inspection-chez-sfr-la-boulette-qui-fait-mal/).



C’est sympa de savoir qu’on viole impunément nos correspondances privées. Imaginez que la poste lise tous vos courriers et décide de pas vous envoyer ceux qui leur plaise pas…

votre avatar







SFX-ZeuS a écrit :



On a un champion là <img data-src=" />







A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.


votre avatar







Anna Lefeuk a écrit :



Question de néophyte?

Le VPN permet de faire fi du DPI?

Merci









globalement non.

je t’explique grosso modo vulgarisé:

le vpn est un reseau privé a connection par SSL.

le DPI qui va voir sortir les paquets de chez toi va les modifier pour mettre le chiffrement du SSL a null.



il faudrait choisir des offres vpn qui résistent au dpi, et je ne sais pas s’il en existe beaucoup hors milieu professionnel.


votre avatar







flagos_ a écrit :



A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.





Je dirais même plus :

A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.


votre avatar







hadoken a écrit :



Le user agent est contenu dans un header HTTP, donc techniquement ce n’est pas de l’analyse de paquet, c’est une info accessible de base par le serveur <img data-src=" />







Euh http n’est pas un protocole applicatif?

Si c’est le cas, toute inspection de l’entête http par un routeur est du DPI. (au passage toutes les infos sont accessibles du moment que le contenu n’est pas chiffré)


votre avatar







SFX-ZeuS a écrit :



On a un champion là <img data-src=" />







Oupsss <img data-src=" />



A ma décharge, il est assez mal fait le site mobile de PCi sur la partie commentaires… On peut pas éditer, on peut pas répondre, et on ne sait pas si on a envoyé son commentaire ou pas <img data-src=" />


votre avatar







saf04 a écrit :



globalement non.

je t’explique grosso modo vulgarisé:

le vpn est un reseau privé a connection par SSL.

le DPI qui va voir sortir les paquets de chez toi va les modifier pour mettre le chiffrement du SSL a null.



il faudrait choisir des offres vpn qui résistent au dpi, et je ne sais pas s’il en existe beaucoup hors milieu professionnel.







Je suis plutôt très perplexe là. Peux tu détailler ta réponse car je ne vois pas comment cela est possible.


votre avatar







Betise a écrit :



Ce n’est pas ce que dit l’article <img data-src=" />



Je t’invite à relire <img data-src=" />







Si Si c’est bien ce que dit l’article de Korben.





Pour mémoire l’article L34- 1- IV du CPCE autorise les opérateurs à réaliser un traitement des données relatives au trafic en vue de commercialiser leurs propres services de communications électroniques ou de fournir des services à valeur ajoutée, si les abonnés y consentent.

Read more athttp://korben.info/dpi-orange.html#Y9JxDkEVB4ImxcIs.99





Comment traiter les informations liées au trafic sans en connaitre le contenu.

meme pour connaitre l’origine et la destination des paquets, une lecture de ceux ci s’impose.

Le DPI est bel et bien appliqué, avec un usage moindre certes, mais DPI quand même


votre avatar

Wow mais le mec il a violé le bouton “Envoyer” <img data-src=" />



Pourquoi y’a pas un truc pour protéger du multi post sur PCi ? Parce que bon on en voit au moins une dizaine par jour.

votre avatar







ErGo_404 a écrit :



Je dirais même plus :

A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.







Au moins j’arrive a faire passer des messages.. <img data-src=" />


votre avatar







patos a écrit :



Et globalement, le protocole GRE bloqué (VPN IPSEC) par tous correspond à un des usages du DPI….







en ayant mis en place un serveur VPN PPTP (donc proto GRE) avec mon NAS syno chez moi je peux te dire que ni OVH (ADSL) ni Orange (Sosh) ne bloque le GRE même en n’ayant le port par défaut (1723)



le VPN fonctionne en utilisant le tel android ou même en tethering wifi avec un win xp (client VPN directement)





@flagos_ : <img data-src=" />


votre avatar







spamator a écrit :



Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,







En effet <img data-src=" />


votre avatar







RaYz a écrit :



Wow mais le mec il a violé le bouton “Envoyer” <img data-src=" />



Pourquoi y’a pas un truc pour protéger du multi post sur PCi ? Parce que bon on en voit au moins une dizaine par jour.





anéfé <img data-src=" />



avant la v5 y’avait une limite de 10sec entre 2 posts et un contrôle sur 2 messages au contenu identiques, mais ça semble avoir disparu..

Ce qui au passage crée un bug dans la page suivante des commentaires <img data-src=" />



<img data-src=" /> P-A, y’a un patch de prévu ? <img data-src=" />



sinon le DPI oui ça fait pas rêver <img data-src=" />


votre avatar







SFX-ZeuS a écrit :



Je suis plutôt très perplexe là. Peux tu détailler ta réponse car je ne vois pas comment cela est possible.







par modification et resignature du certificat. (type attaque man in the middle).

apres je suis pas un super technicien pour connaitre les details, mais je sais que ca existe.


votre avatar







foxyfox51 a écrit :



En effet <img data-src=" />





anéfé <img data-src=" />


votre avatar







HarmattanBlow a écrit :



Ah ! Oui, en effet, au temps pour moi.







Et quel temps il fait chez toi ?

Autant poser la question. <img data-src=" />


votre avatar







jb18v a écrit :



anéfé <img data-src=" />



avant la v5 y’avait une limite de 10sec entre 2 posts et un contrôle sur 2 messages au contenu identiques, mais ça semble avoir disparu..

Ce qui au passage crée un bug dans la page suivante des commentaires <img data-src=" />



<img data-src=" /> P-A, y’a un patch de prévu ? <img data-src=" />



sinon le DPI oui ça fait pas rêver <img data-src=" />





la petite ligne de la fin pour pas être hors sujet <img data-src=" />

Comment t’assumes pas <img data-src=" />


votre avatar







Fantassin a écrit :



Et quel temps il fait chez toi ?

Autant poser la question. <img data-src=" />





faut demander à l’OTAN <img data-src=" />


votre avatar







RaYz a écrit :



la petite ligne de la fin pour pas être hors sujet <img data-src=" />

Comment t’assumes pas <img data-src=" />





<img data-src=" /> meuuh si


votre avatar

Les solutions VPN vont encore plus se démocratiser <img data-src=" />



Ou comment encourager les échanges cryptés …<img data-src=" />

votre avatar







RaYz a écrit :



anéfé <img data-src=" />







Excusez-moi, je suis nouveau.

Je corrige:



Anéfé <img data-src=" />


votre avatar







dentiste a écrit :



Les solutions VPN vont encore plus se démocratiser <img data-src=" />



Ou comment encourager les échanges cryptés …<img data-src=" />





Chiffrés <img data-src=" />



votre avatar







foxyfox51 a écrit :



Excusez-moi, je suis nouveau.

Je corrige:



Anéfé <img data-src=" />





Bienvenue <img data-src=" />



N’oublie pas le premium <img data-src=" />



(le mec qui perd pas le nord)


votre avatar









flagos_ a écrit :



Oupsss <img data-src=" />



A ma décharge, il est assez mal fait le site mobile de PCi sur la partie commentaires… On peut pas éditer, on peut pas répondre, et on ne sait pas si on a envoyé son commentaire ou pas <img data-src=" />







Il semblerait que le message soit bien passé <img data-src=" />


votre avatar







dentiste a écrit :



Les solutions VPN vont encore plus se démocratiser <img data-src=" />



Ou comment encourager les échanges cryptés …<img data-src=" />









un vpn non prevu pour n’est pas resistant au dpi.

et ce ne sont pas les offres a 5 ou 10€ par mois qui vont l’etre.


votre avatar







RaYz a écrit :



Bienvenue <img data-src=" />



N’oublie pas le premium <img data-src=" />



(le mec qui perd pas le nord)





Demande une commission au passage s’il devient effectivement premium <img data-src=" />


votre avatar







RaYz a écrit :



Chiffrés <img data-src=" />







Oui et non :)



D’après Didier Muller dans “Les codes secrets décryptés”,





  • la cryptographie est “l’art de transformer un message clair en un message inintelligible” ;

  • le chiffrement est “l’opération qui consiste à transformer un texte clair en cryptogramme”.



    Il me semble par conséquent que la cryptographie est la discipline et le chiffrement, la manipulation en elle-même.




votre avatar

I <img data-src=" /> China ! Exportons ce magnifique Great Wall of China en Europe ! C’est génial ! Il faut bien ça pour ces méchants tipiakers <img data-src=" />

votre avatar



flagos_A à écrit: noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.



T’es sur de toi ? <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar









dentiste a écrit :



Oui et non :)



D’après Didier Muller dans “Les codes secrets décryptés”,





  • la cryptographie est “l’art de transformer un message clair en un message inintelligible” ;

  • le chiffrement est “l’opération qui consiste à transformer un texte clair en cryptogramme”.



    Il me semble par conséquent que la cryptographie est la discipline et le chiffrement, la manipulation en elle-même.





    Sauf que c’est l’académie française qui décide, pas Didier <img data-src=" />


votre avatar

J’aurais une QPC mais j’hésite un peu à la faire officiellement…



“A quand le droit de cuissage officiel ?”



Non parce qu’à la limite ça permettrait à 2 3 hommes politiques finalement pas plus verreux que les autres de revenir sur le devant de la scène…

votre avatar







saf04 a écrit :



par modification et resignature du certificat. (type attaque man in the middle).

apres je suis pas un super technicien pour connaitre les details, mais je sais que ca existe.





Oui effectivement je l’avais zappé…


votre avatar

Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,


votre avatar

Je veux pas me faire inspecter profondément… J’ai pas encore 50 ans <img data-src=" />



Le VPN reste la solution, comme d’habitude.

votre avatar



« C’est un robot qui vérifie : est-ce qu’il y a un fichier protégé dedans ou pas, si oui, le fichier protégé ne suit pas »





Comment ils font la différence entre un “fichier protégé” en train d’être téléchargé, voir même échangé, légalement et le “fichier protégé” identique téléchargé illégalement ?

votre avatar







bubka a écrit :



quel rapport avec le DPI ?





Il n’y a que 2 technos qui permettent de faire cela: un proxy transparent et un DPI couplé à un routeur type NAT (mais pas le NAT de nos box). Et un proxy transparent pour faire ça, ça demande énormément de ressources…



Le DPI est la base de toute analyse réseau, et n’est pas méchant. Par contre, l’outil avec lequel il est couplé est, lui, méchant: Routeur, Proxy transparent, système de traçage, espionnage complet, redirection de trafic à l’insu de la personne, etc…



Perso je dirais:




  • Numéricâble: oui. QoS sur le service utilisée selon les ports & le type de service (avoir un VPN HTTPS sur le port 443 ne permet pas de gruger s’il n’a pas d’useragent)

  • Orange: Fixe non (ou à fin d’analyse de cœur de réseau uniquement) Mobile ultraoui depuis 2009: mode modem détecté, proxy transparent, NAT

  • SFR: Mobile je dirais que non, Fixe je dirais que non.

  • Bouygues: Fixe peut être (vu que associés avec numericable), Mobile je ne pense pas.

    Et globalement, le protocole GRE bloqué (VPN IPSEC) par tous correspond à un des usages du DPI….


votre avatar







HarmattanBlow a écrit :



Non, l’user-agent figure dans les en-têtes des paquets http, son examen ne nécessite donc pas une inspection du contenu des paquets, ce qu’on appelle DPI.





Si, parce que le DPI c’est quelquechose qui va plus loin dans l’entête du paquet. Et le paquet, il est IP. Les entêtes TCP, UDP et les entêtes applicatives sont toutes exploitées grâce à du DPI.



Les routeurs de niveau 3 n’existent que grâce à du DPI avec un cœur de métier très ciblé.


votre avatar







JCLB a écrit :



Oui ils l’utilisent, ne serait-ce que les opérateurs mobiles qui bloquent parfois certains user agents de navigateur, même si c’est moins fréquent depuis l’arrivée de free.



Donc oui.





Le user agent est contenu dans un header HTTP, donc techniquement ce n’est pas de l’analyse de paquet, c’est une info accessible de base par le serveur <img data-src=" />


votre avatar







oXis a écrit :



Je veux pas me faire inspecter profondément… J’ai pas encore 50 ans <img data-src=" />



Le VPN reste la solution, comme d’habitude.









Question de néophyte?

Le VPN permet de faire fi du DPI?

Merci


votre avatar







Tourner.lapache a écrit :



Comment ils font la différence entre un “fichier protégé” en train d’être téléchargé, voir même échangé, légalement et le “fichier protégé” identique téléchargé illégalement ?







surement nom/type de fichier + provenance


votre avatar







spamator a écrit :



Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,







Ce n’est pas ce que dit l’article <img data-src=" />



Je t’invite à relire <img data-src=" />


votre avatar







spamator a écrit :



Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,





Dans l’article orange répond qu’ils n’utilisent pas le DPI et ça peut-être le cas… Juste analyse des requête dns faite sur le serveur par leurs clients.



#grilled


votre avatar







patos a écrit :



Si, parce que le DPI c’est quelquechose qui va plus loin dans l’entête du paquet. Et le paquet, il est IP.





Ah ! Oui, en effet, au temps pour moi.


votre avatar

A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.

votre avatar







psikobare a écrit :



si t’es assez parano pour passer par un VPN, t’es sensé te méfier du changement de certificat…



les mêmes qui veulent nous faire gazouiller?



soyons sérieux, ce n’est pas l’académie qui fait la langue, mais l’usage (oui, le français est une langue vivante, désolé)

laissez donc les gens utilisez les mots ou expressions qu’ils veulent au lieu de faire les nazis <img data-src=" />







Pendant presque 30 ans on a dit ‘canal+ la chaîne cryptée’, ça aide pas ^^


votre avatar







popi_le_clown a écrit :



Non, je ne sais pas <img data-src=" />

C’est d’ailleurs bien pour ça que je pose la question <img data-src=" />

Du coup, je vais me renseigner. <img data-src=" />





au moins tu le reconnais et tu es moins têtu que saf04 :/


votre avatar







RaYz a écrit :



Pas de soucis j’avais bien compris. <img data-src=" />



Tu peux regarder ici déjà :en.wikipedia.org WikipediaMerci, j’étais justement en train de lire. J’ai aussi fini ici :http://theorylunch.wordpress.com/2013/01/24/ca-mitm/



Le point qui me manquait est que mon navigateur connait les clefs publiques des CA. Du coup, toute tentative de modification des réponses de ces CA implique de connaitre leur clef privée. Effectivement, ça rajoute pas mal de sécurité.



Merci


votre avatar







popi_le_clown a écrit :



Merci, j’étais justement en train de lire. J’ai aussi fini ici :http://theorylunch.wordpress.com/2013/01/24/ca-mitm/



Le point qui me manquait est que mon navigateur connait les clefs publiques des CA. Du coup, toute tentative de modification des réponses de ces CA implique de connaitre leur clef privée. Effectivement, ça rajoute pas mal de sécurité.



Merci





Si tu veux voir ce qu’il se passe quand une CA perd sa partie privée :

pcinpact.com PC INpact


votre avatar







popi_le_clown a écrit :



Non, je ne sais pas <img data-src=" />

C’est d’ailleurs bien pour ça que je pose la question <img data-src=" />

Du coup, je vais me renseigner. <img data-src=" />





Pour bien comprendre pourquoi, l’idéal est de se renseigner sur les certificats asymétriques. C’est assez simple à comprendre, même si le fonctionnement est hyper-complexe, lui.


Et par dessus cela, il faut prendre en compte que les principaux organismes de certification (verisign ‘n’ co) ont leurs certificats déjà déployés dans Windows. Il faudrait donc altérer ton ordinateur avant de pouvoir effectuer une telle attaque…. Autant dire que ce n’est pas du tout évident ^^


votre avatar

Les opérateurs n’ont pas attendu le gouvernement pour mettre en place le DPI…



De mémoire en 2005 je travaillais pour un FAI qui l’utilisait déjà .

votre avatar







patos a écrit :













Khalev a écrit :









Merci à tous les deux. Je connaissais déjà deux-trois principes, dont le chiffrement asymétrique.

M’en vais retourner bosser moins bête <img data-src=" />


votre avatar

Le gros problème de la cryptographie asymétrique c’est que les deux doivent avoir une clefs et une clefs privées, pour que la connexion soit cryptées dans les deux sens !



Et rien que pour le protocole https il y a pas grand monde qui a un certificat PKS#12 pour son navigateur.



Donc il est facile de savoir se que les abonnés reçoivent !

votre avatar







Winderly a écrit :



Du coup on sait pas si Orange pratique le DPI ou pas.







Il ne le pratique pas. Si tu regardes le contrat, ce que tu as pas du faire, c’est pour la Livebox star, je te laisse regarder ce que c’est. C’est mieux pour eux de regarder si tu utilises la VOD ou quel genre de chaine tu regardes pour pouvoir proposer des bouquets de chaines adaptée a chaque client, non ?



Après cette clause est trop “large”. Après au niveau de l’interprétation, cela dépends de ta paranoïa. <img data-src=" />


votre avatar







Xire a écrit :



Il ne le pratique pas. Si tu regardes le contrat, ce que tu as pas du faire





Je suis pas client d’orange pour internet, je vois pas pourquoi je lirais ce contrat.

Tu cites un billet en affirmant que ce billet dit que Orange fait du DPI.

On te fait remarquer que c’est pas ce qui est dit dans ce billet et là tu affirmes qu’il le pratique pas.





Xire a écrit :



C’est mieux pour eux de regarder si tu utilises la VOD ou quel genre de chaine tu regardes pour pouvoir proposer des bouquets de chaines adaptée a chaque client, non ?





Oui évidemment, mais Orange a pas inventé le profilage de client.



edit : foirage de quote


votre avatar







printf a écrit :



Le gros problème de la cryptographie asymétrique c’est que les deux doivent avoir une clefs et une clefs privées, pour que la connexion soit cryptées dans les deux sens !



Et rien que pour le protocole https il y a pas grand monde qui a un certificat PKS#12 pour son navigateur.



Donc il est facile de savoir se que les abonnés reçoivent !





<img data-src=" />



1 -Je vois pas pourquoi ça ne serait lié qu’à la crypto asy. C’est au contraire plus sur puisqu’on ne s’échange que les clé pour chiffrer le message : tout le monde peut nous parler, mais seul nous pouvons lire.

2 -dans le cas d’un certificat certifié par un CA tiers de confiance non compromis, le handshake ne passe pas si il y a un MITM. S’il n’y a pas la CA c’est sûr qu’on peut faire un MITM, c’est pour ça qu’on utilise les CA d’ailleurs.



T’aurais un exemple à donner?


votre avatar







printf a écrit :



Le gros problème de la cryptographie asymétrique c’est que les deux doivent avoir une clefs et une clefs privées, pour que la connexion soit cryptées dans les deux sens !



Et rien que pour le protocole https il y a pas grand monde qui a un certificat PKS#12 pour son navigateur.



Donc il est facile de savoir se que les abonnés reçoivent !







Oula j’ai l’impression que dans ton esprit le client chiffre les données envoyées avec le certificat publique du serveur, et le serveur répond en clair puisque le client n’a pas de certificat publique … encore une fois vous êtes mignons mais ça se passe comme ça.



Pour résumer le handshake : après un hello/hello où le client/serveur discutent des mécanismes supportés de chaque coté, le client envoie un PreMasterSecret chiffré avec le certificat client du serveur. C’est à partir de ce PreMasterSecret que sera généré de chaque coté le MasterSecret utilisé pour le chiffrement effectif de tout les connections de la session (quel que soit le sens).

En conclusion : le certificat du serveur n’est utilisé pour chiffrer que pendant le handshake pour transmettre la preshared key mais pour le chiffrement du contenu on utilise un cipher (défini pendant le hello) avec une clé beaucoup plus petite dérivé de la pre-shared key.



Donc non avoir son certificat côté client n’est pas utile pour chiffrer le trafic recu par le serveur. Par contre c’est parfois utilisé pour de l’authentification client (et non du chiffrement) mais du coup rien à voir avec ton “ il est facile de savoir se que les abonnés reçoivent !”


votre avatar







spamator a écrit :



Comment faire pour analyser le trafic, meme connaitre la source et la destination sans lire le contenu des paquets ?





Le DPI au niveau des FAI c’est tout ce qui touche aux couches supérieurs à la couche “Réseau” dans le modèle OSI.



La touche Réseau concerne tout ce qui est nécessaire pour le routage, évidemment que les FAI en ont besoin, comme les routeurs et autres éléments du réseaux.Mais ils n’ont pas besoin de regarder ce que contiennent les couches supérieurs. C’est quand ils le font qu’on parle de DPI.


votre avatar







psn00ps a écrit :



Il suffit d’utiliser les logs de connexion que tout FAI est tenu de mettre en place.

Les URLs visitées y figurant permettent à Orange de cibler le contenu intéressant l’abonné.





Sauf que le FAI n’est pas sensé regarder les URL visités. Il s’en tape, en théorie.


votre avatar

La réponse est : Oui pour tous les opérateurs dans le monde entier rien que pour la QoS. (Sinon ton réseau mobile data, je lui donne 500 utilisateurs et il flanche)



La vrai question serait plus: comment utilisent-ils le DPI? Et même plutôt à qui font-ils appel pour leurs solutions de DPI?



Les 3 derniers paragraphes de cette news montrent la méconnaissance profonde du monde des télécoms, et des moyens techniques qu’il y a derrière pour assurer que tous le monde puisse faire du Facebook sans que ton Skype saute toutes les 10 secondes.<img data-src=" />



Alors on va la faire simple:

Oui avec un ordinateur je peux récupérer des informations sur ce que font les gens. Oui il y a des ordinateurs qui gèrent le réseau. Non ces ordinateurs n’ont pas pour but d’espionner les gens.



Gmail lit vos mail pour votre boite prioritaire? Et bien la solution de DPI fait la même chose côté opérateur pour acheminer vos paquets. C’est plus efficace, voilà tout.

votre avatar







psn00ps a écrit :



Il n’y a aucun parsage ni modification du flux HTML <img data-src=" />

C’est juste un serveur DNS qui répond différemment. (et que tu choisis d’activer)





Soit, j’ai eu tort sur la partie technique.



Il n’empêche : Free #AdGate : « un FAI peut-il contrôler l’expérience utilisateur ? »


votre avatar







bzc a écrit :



Apparament tu ne comprend pas ce que tu cites donc je traduis : le certificat fake utilisé pour le remplacement est signé par un certificat maison que tu choisis dans la configuration de SonicWall. Ça peut marcher en entreprise où tu déploies ce certificat comme étant de confiance sur tout les postes, ça ne peut pas marcher dans le cadre d’un DPI des FAI comme on est en train d’en parler : dans ce cas le certificat ne sera pas de confiance et comme déjà dit le handshake SSL va s’interrompre.







apparement on ne s’est pas comprit.

je donnais cet exemple bateau pour montrer que le principe est possible.

la on est dans le cas de materiel pour sociétés. donc l’utilisateur doit etre informé.



mais maintenant dit moi, qu’est ce qui empêcherait un fai de balancer en retour un certificat intermediaire ou un gouvernement de balancer un certificat racine qui passerait comme une lettre a la poste ?

donc je ne dit pas que c’est facile, je ne dit pas que c’est implanté en France, mais oui le ssl n’est pas forcément secure devant du dpi.


votre avatar

Oui , Retina.















<img data-src=" />

votre avatar

Le dpi est présent depuis des années. Venir fouiner dans la connexion des gens c’est vraiment abusé, c’est pour ça qu’il existe VPN tunnel ^^

votre avatar







saf04 a écrit :



mais maintenant dit moi, qu’est ce qui empêcherait un fai de balancer en retour un certificat intermediaire ou un gouvernement de balancer un certificat racine qui passerait comme une lettre a la poste ?





Donc en gros ton exemple est que les autorités de certification seraient “corrompues” et accepterait de donneur leur clés privées à des FAIs ou des pays pour qu’ils signent eux même des faux certificats ?

Alors oui SSL/TLS repose sur la sécurités/confiance dans les CA, mais si on part sur des délires de parano/conspiration … on peut remettre en question beaucoup de choses comme ça.





donc je ne dit pas que c’est facile, je ne dit pas que c’est implanté en France, mais oui le ssl n’est pas forcément secure devant du dpi.



Pour l’instant tu ne m’a montré aucun bon exemple, même difficile à mettre en place.


votre avatar







bzc a écrit :



Donc en gros ton exemple est que les autorités de certification seraient “corrompues” et accepterait de donneur leur clés privées à des FAIs ou des pays pour qu’ils signent eux même des faux certificats ?

Alors oui SSL/TLS repose sur la sécurités/confiance dans les CA, mais si on part sur des délires de parano/conspiration … on peut remettre en question beaucoup de choses comme ça.





Mais tant qu’à faire du dpi, pourquoi ne pas modifier les certificats à la volée de manière à ce que ça soit invisible pour l’utilisateur ? Est-ce sérieusement plus compliqué ?


votre avatar







popi_le_clown a écrit :



Mais tant qu’à faire du dpi, pourquoi ne pas modifier les certificats à la volée de manière à ce que ça soit invisible pour l’utilisateur ? Est-ce sérieusement plus compliqué ?





Les certificats et le protocole SSL ne sont pas sensibles aux attaques de type man in the middle <img data-src=" />


votre avatar







popi_le_clown a écrit :



Mais tant qu’à faire du dpi, pourquoi ne pas modifier les certificats à la volée de manière à ce que ça soit invisible pour l’utilisateur ? Est-ce sérieusement plus compliqué ?





Je pense pas que tu comprennes le degré d’implication nécessaire pour falsifier un certificat signé…


votre avatar







RaYz a écrit :



Les certificats et le protocole SSL ne sont pas sensibles aux attaques de type man in the middle <img data-src=" />









patos a écrit :



Je pense pas que tu comprennes le degré d’implication nécessaire pour falsifier un certificat signé…





Non, je ne sais pas <img data-src=" />

C’est d’ailleurs bien pour ça que je pose la question <img data-src=" />

Du coup, je vais me renseigner. <img data-src=" />


votre avatar

Le DPI est en place en france : au moins 7 systèmes comme ceux qu’on a vendu en Libye.

Source : un intervenant à science Po spécialisé dans le net. Et encore le chiffre date d’il y a quelques mois….

votre avatar







popi_le_clown a écrit :



Non, je ne sais pas <img data-src=" />

C’est d’ailleurs bien pour ça que je pose la question <img data-src=" />

Du coup, je vais me renseigner. <img data-src=" />





Pas de soucis j’avais bien compris. <img data-src=" />



Tu peux regarder ici déjà :en.wikipedia.org Wikipedia


votre avatar
votre avatar







Xire a écrit :



De toute façon la réseau Internet est…un endroit en dehors de toute loi…





<img data-src=" />


votre avatar

A la folie ? <img data-src=" />



Légiférer sur le DPI, la neutralité du net ( et des réseaux) et l’ip tracking devient vraiment un sujet important.

votre avatar

Oui ils l’utilisent, ne serait-ce que les opérateurs mobiles qui bloquent parfois certains user agents de navigateur, même si c’est moins fréquent depuis l’arrivée de free.



Donc oui.

votre avatar

10 ans de retard…

votre avatar







JCLB a écrit :



Oui ils l’utilisent, ne serait-ce que les opérateurs mobiles qui bloquent parfois certains user agents de navigateur, même si c’est moins fréquent depuis l’arrivée de free.





quel rapport avec le DPI ?


votre avatar



Elle est évidemment la technique la plus attentatoire à la vie privée et aux libertés fondamentales garanties par la Constitution.



Qu’un algo consulte les données transmises ne me choque pas en soi. En revanche l’algo en lui-même est presque toujours conçu dans des buts déplaisants.









JCLB a écrit :



Oui ils l’utilisent, ne serait-ce que les opérateurs mobiles qui bloquent parfois certains user agents de navigateur, même si c’est moins fréquent depuis l’arrivée de free.Donc oui.





Non, l’user-agent figure dans les en-têtes des paquets http, son examen ne nécessite donc pas une inspection du contenu des paquets, ce qu’on appelle DPI.


votre avatar

Le filtre anti pub de Free, j’appelle ça du DPI…



Je considère que mon FAI n’a pas à parser les flux HTML qui transitent.

votre avatar







RaYz a écrit :



Bienvenue <img data-src=" />



N’oublie pas le premium <img data-src=" />



(le mec qui perd pas le nord)







au bout de combien de recrutement tu as un premium gratuit <img data-src=" />


votre avatar







saf04 a écrit :



par modification et resignature du certificat. (type attaque man in the middle).

apres je suis pas un super technicien pour connaitre les details, mais je sais que ca existe.





Ça c’est seulement s’il y a échange de certificat via le “hand-shake” utilisé lorsque tu ne connais la personne en face. Il faut aussi que le certificat ne soi pas signé par une tierce partie connue à l’avance (VeriSign & co)



En général si tu connais la personne en face, le certificat tu l’as à l’avance, pour éviter les MIM.


votre avatar







spidy a écrit :



en ayant mis en place un serveur VPN PPTP (donc proto GRE) avec mon NAS syno chez moi je peux te dire que ni OVH (ADSL) ni Orange (Sosh) ne bloque le GRE même en n’ayant le port par défaut (1723)



le VPN fonctionne en utilisant le tel android ou même en tethering wifi avec un win xp (client VPN directement)





Pardon j’ai confondu avec IPSEC qui fonctionne en IP (50 si je ne m’abuse), et non pas en TCP, et du coup les routeurs NAT (:coucou: la 3G d’orange) n’aiment pas.







saf04 a écrit :



globalement non.

je t’explique grosso modo vulgarisé:

le vpn est un reseau privé a connection par SSL.

le DPI qui va voir sortir les paquets de chez toi va les modifier pour mettre le chiffrement du SSL a null.



il faudrait choisir des offres vpn qui résistent au dpi, et je ne sais pas s’il en existe beaucoup hors milieu professionnel.





Si, avec un cryptage tiers manuel. En gros, un VPN avec certificats asymétriques, et une clé manuelle qui sert à randomiser le certificat (en gros). Du coup, cette partie manuelle, qui transite par un autre biais que le canal de communication du VPN, n’est pas vu par le DPI, qui n’a pas la clé pour le casser. Tout le reste est caduc.



De plus, un tunnel SSL, c’est le VPN du pauvre ou de l’inconscient. (ça revient à acheter des capotes prétrouées)


votre avatar







dentiste a écrit :



Oui et non :)



D’après Didier Muller dans “Les codes secrets décryptés”,





  • la cryptographie est “l’art de transformer un message clair en un message inintelligible” ;

  • le chiffrement est “l’opération qui consiste à transformer un texte clair en cryptogramme”.



    Il me semble par conséquent que la cryptographie est la discipline et le chiffrement, la manipulation en elle-même.







    Tu mélanges un peu tout là. Les noms cryptographie et chiffrement existent tout les deux ce n’est pas le problème. Seulement on utilise les verbes chiffrer, déchiffrer, décrypter (ie casser) mais pas crypter.


votre avatar







RaYz a écrit :



Bienvenue <img data-src=" />



N’oublie pas le premium <img data-src=" />



(le mec qui perd pas le nord)







Je le suis déjà :-)


votre avatar







Groumfy a écrit :



Le filtre anti pub de Free, j’appelle ça du DPI…



Je considère que mon FAI n’a pas à parser les flux HTML qui transitent.









C’est pas du DPI le filtrage de free c’est un filtre DNS sur les serveurs de Google Ad ! (Bon le résultat est le même mais bon …)


votre avatar

Et la question du DPI sauvage par les Ayant droit :

Comment distinguer que le contenu est légal ou pas ?

En effet, le stockage sur internet se développe. Il me parait légal de mettre par exemple sa musique sur un système de stockage accessible de partout. Exemple, je suis un particulier, j’ai un serveur chez moi, je l’utilise pour stocker mes musiques et pouvoir les écouter comme bon me semble. Il me semble normal que c’est totalement con de crypter un tel transfert.

Or dans un tel exemple, je ne vois pas comment un système de DPI est capable de faire le distingo entre ceci et un echange illégale. Ca marche par liste blanche? Tu t’appelles iTune, tu as le droit, mais Michou non?

votre avatar







trash54 a écrit :



au bout de combien de recrutement tu as un premium gratuit <img data-src=" />





<img data-src=" />







foxyfox51 a écrit :



Je le suis déjà :-)





Oh mais t’as tout pour toi <img data-src=" />


votre avatar







saf04 a écrit :



par modification et resignature du certificat. (type attaque man in the middle).

apres je suis pas un super technicien pour connaitre les details, mais je sais que ca existe.





Pour donner un peu plus de détails, lors de l’établissement de la connection, le certificat (qui contient la clefs et des infos permettant de vérifier l’authenticité de ces infos) est modifié. En particulier, un certificat contient une clef et une autorité de certification. Dans ma boîte, les deux sont changés. L’autorité devient celle (interne) de ma boîte, que j’ai acceptée comme autorité de chiffrement (je lui fais confiance, je considère cette autorité comme “fiable”, donnant les bonnes infos. Cette autoritée est installé par défaut sur le navigateur “officiel” de la boîte). La clef est celle générée par cette dernière autorité. Ainsi, lors du transit par https, mon navigateur chiffre en utilisant une clef fournie par le proxy, qui peut déchiffrer le message et le chiffrer de nouveau avec le certificat légitime envoyé par mon serveur.



Il y a donc encore une petite faille (en tous cas dans mon cas) : les autorités de certifications usuelles (pre-installées pour les différents navigateurs) ne valident pas le certificat modifié. C’est comme ça que je me suis rendu compte du problème, d’ailleurs. Mais si on arrive à un accord avec une autorité de certification “par défaut”, ou si on arrive à intercepter et modifier les données transmises à l’autorité de certification (plus facile, je pense), il sera presque impossible de détecter du dpi.


votre avatar







flagos_ a écrit :



A noter que chez Free mobile sur itinerance orange, on peut constater du DPI sur les contenus multimedia (limitation du débit).



Cette limitation n’existe pas chez Orange voire chez Sosh.





17 quand même…Il faudrait peut être songer à mettre en place un système automatisé contre les post de messages identiques parce que quand le rafraichissement se fait pas…


votre avatar

De toute façon la réseau Internet est trop utopique pour le moment, ca ne pourra pas durer un endroit en dehors de toute loi que personne contrôle. L’histoire nous a toujours montré que ce n’est pas dans la nature de l’Homme de laisser des choses comme ca sans “contrôle”…



Encore qques années et çà sera fini, suffit de voir le nombre d’actualité sur ce sujet ces dernières années, ça ne fait qu’augmenter…

votre avatar







saf04 a écrit :



globalement non.

je t’explique grosso modo vulgarisé:

le vpn est un reseau privé a connection par SSL.

le DPI qui va voir sortir les paquets de chez toi va les modifier pour mettre le chiffrement du SSL a null.



il faudrait choisir des offres vpn qui résistent au dpi, et je ne sais pas s’il en existe beaucoup hors milieu professionnel.









Merci


votre avatar







HarmattanBlow a écrit :



Non, l’user-agent figure dans les en-têtes des paquets http, son examen ne nécessite donc pas une inspection du contenu des paquets, ce qu’on appelle DPI.





Un Opérateur gère du niveau 3, des paquets IP.



Lire le header http c’est du niveau 7 donc c’est du DPI et pas qu’un peu.


votre avatar







saf04 a écrit :



par modification et resignature du certificat. (type attaque man in the middle).

apres je suis pas un super technicien pour connaitre les details, mais je sais que ca existe.





si t’es assez parano pour passer par un VPN, t’es sensé te méfier du changement de certificat…





RaYz a écrit :



Sauf que c’est l’académie française qui décide, pas Didier <img data-src=" />





les mêmes qui veulent nous faire gazouiller?



soyons sérieux, ce n’est pas l’académie qui fait la langue, mais l’usage (oui, le français est une langue vivante, désolé)

laissez donc les gens utilisez les mots ou expressions qu’ils veulent au lieu de faire les nazis <img data-src=" />


votre avatar







saf04 a écrit :



le vpn est un reseau privé a connection par SSL.





Pas forcement, il y a plein de types de VPN.





le DPI qui va voir sortir les paquets de chez toi va les modifier pour mettre le chiffrement du SSL a null.



Oula évidement et heureusement que ce n’est pas aussi simple. Pour faire ce que tu dis il faudrait faire un MITM et comme le certificat ne sera pas le bon le handshake va s’interrompre.


votre avatar







Anna Lefeuk a écrit :



Le VPN permet de faire fi du DPI?







Pour ma part je dirais que oui. Les échanges sont cryptés. Par contre si le pays qui héberge ton VPN fait du DPI par contre là tu y échappes pas. Tu n’as plus qu’à changer de pays. (pour le serveur pas pour toi <img data-src=" />)


votre avatar

On a un champion là <img data-src=" />

votre avatar







patos a écrit :



Si, parce que le DPI c’est quelquechose qui va plus loin dans l’entête du paquet. Et le paquet, il est IP. Les entêtes TCP, UDP et les entêtes applicatives sont toutes exploitées grâce à du DPI.



Les routeurs de niveau 3 n’existent que grâce à du DPI avec un cœur de métier très ciblé.







nan mais que ce soit la techno DPI qui permettent d’exploiter l’entête peut importe. L’idée c’est que les entêtes sont la pour assurer le routage des paquets mais sans avoir à analyser leur contenu il me semble.



Quand le DPI est évoqué comme ici dans l’article c’est pour son aspect ‘profond’, parce qu’il analyse au delà de ce qui est utilisé normalement pour assurer le service.


votre avatar







spamator a écrit :



Il serait temps de légiférer là dessus, déjà qu’Orange pratique le DPI dissimulé..



http://korben.info/dpi-orange.html





Les prochaines années vont être comiques,









Je les crois mais je pense qu’il est urgent de virer le mec qui rédige les CGV car à part créer du bad buzz, il ne sert pas à grand chose pour le coup :-)



Du coup on sait pas si Orange pratique le DPI ou pas.


Les opérateurs français utilisent-ils le DPI ? demande une députée

  • Des tests menés en Allemagne par les ayants droit français

Fermer