Espionnage des communications par les fournisseurs d’accès

Le Washington Post, dans un article du 4 avril 2008, fait état d’une pratique de plus en plus utilisée par les fournisseurs d’accès à l’internet : le deep packet inspection, ou l’analyse profonde de paquets, pour espionner leurs abonnés.

Quelle est cette pratique et en quoi consiste-t-elle ?

L’analyse profonde de paquets est tout simplement le fait pour un opérateur de télécommunications de regarder les données qui transitent sur son réseau. Celui-ci n’y a pas accès directement puisque l’information est découpée en plusieurs morceaux, les paquets, qui sont échangés entre l’émetteur et le destinataire.

Pour connaître les informations échangées, les opérateurs sont obligés de mettre en place des équipements dédiés. Les équipements de base n’ont pas cette possibilité puisque leur objectif est d’acheminer dans les meilleures conditions les paquets à transmettre, pas de les intercepter et de les analyser. Ils n’en ont de toutes les façons pas la capacité puisque cela demande une puissance de calcul beaucoup plus importante.

Quel est l’objectif de cette pratique ?

On pourrait penser que les opérateurs en question agissent pour le compte du gouvernement américain et participent de cette manière à leur “lutte antiterroriste”. Et même si cela était contraire à la législation, le gouvernement américain n’en est pas à ce genre de détails près, ni les opérateurs d’ailleurs, mais il n’en est rien cette fois-ci. Les réseaux de communications sont déjà surveillés par leurs multiples agences d’espionnage, ils n’ont donc nul besoin de renfort supplémentaire.

Non, cette fois-ci ce sont les opérateurs eux-mêmes qui sont à l’origine de cette pratique. Elle vise à connaître le contenu des échanges qui sont effectués par leurs abonnés, tels que les mails, les recherches effectuées, les pages visitées, bref, tout ce qu’il est possible de faire sur Internet.

C’est donc une extension du cookie ou d’autres systèmes de traçages à l’extrême puisque l’analyse ne se limite pas à un ou plusieurs sites mais à l’ensemble de toutes les pages visitées et de tous les contenus reçus ou envoyés. Et sa finalité est identique puisqu’elle consiste à revendre ces informations très personnelles à des agences de publicités et de marketing afin qu’elles puissent cibler au mieux leurs annonces en fonction de tous ces paramètres.

Comment s’en prémunir ?

Il est très difficile d’échapper à ce genre de pratique puisque toutes les informations qui transitent entre l’abonné et Internet sont bien évidemment acheminées par le fournisseur d’accès auquel vous êtes abonnés. Le seul moyen efficace est de crypter les communications, avec un chiffrement SSL par exemple, bien que votre opérateur sera toujours à même de savoir quels sites vous avez visités à défaut d’en voir le contenu. Tor est donc plus adapté à un anonymisation totale mais le meilleur moyen de faire cesser ces pratiques est de fuir les opérateurs qui ont recours à ces procédés.

Selon les estimations citées dans le journal, il y aurait actuellement environ 100.000 personnes victimes de ces pratiques aux États-Unis et l’objectif serait d’atteindre les 10% d’internautes américains très rapidement. Les opérateurs au comportement éthique accueilleront donc bien volontiers tous ces nouveaux abonnés.

Rappelons qu’en France de telles pratiques sont interdites par la loi, dont les principales sont :

  • l’article 226-18 du Code pénal qui dispose que le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 300.000 euros d’amende et de 5 ans d’emprisonnement ;
  • l’article 226-18-1 du Code pénal qui dispose que le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne est aussi puni de 300.000 euros d’amende et 5 ans d’emprisonnement ;
  • sans oublier les articles 226-19, 226-20, 226-21, 226-22 qui prévoient les mêmes peines ;
  • ou encore l’article L39-3 du Code des Postes et des Communications Électroniques qui dispose que le fait pour un opérateur de communications électroniques ou ses agents de ne pas procéder aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi sont punies d’un an d’emprisonnement et de 75.000 euros d’amendes. Les personnes physiques coupables de ces infractions encourent également l’interdiction d’exercer l’activité professionnelle à l’occasion de laquelle l’infraction a été commise, pour une durée de 5 ans ;
  • l’article 226-15 du Code Pénal puisqu’il dispose que le fait commis de mauvaise fois d’ouvrir des correspondances ou d’en prendre frauduleusement connaissance est puni de 45.000 euros d’amendes et d’un an d’emprisonnement ;
  • sans oublier l’article 432-9 du Code Pénal qui vise plus particulièrement les techniciens de ces opérateurs puisque la loi dispose que le fait, pour l’agent d’un FAI agissant dans le cadre de ses fonctions, d’ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l’interception, le détournement des correspondances, leur utilisation ou la divulgation de leur contenu est sanctionné de 45.000 euros d’amende et de 3 ans d’emprisonnement.

L’internaute français semble donc bien protégé de ces pratiques douteuses au nom du respect à la vie privée. Le fait pour les personnes physiques qui sont à l’origine de ces atteintes, d’encourir de lourdes peines va certainement limiter la situation aux pratiques que l’on connait aujourd’hui. Il faudra être toutefois de plus en plus vigilant au fur et à mesure que la publicité en ligne sera source de revenus gigantesques pour les opérateurs.

 

Source :

Nicolas Pujol

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.