Est-ce que votre FAI vous observe ?
Les fournisseurs d’accès Internet (FAI) connaissent toute votre vie ou presque. Ils peuvent observer tous les sites que vous visitez, recueillir vos données et si besoin les partager avec des tiers.
Est-ce que votre FAI vous observe ? Est ce que les FAI utilisent nos données à des fins commerciales ?
Les fournisseurs d’accès Internet surveillent votre activité sur le Web
La majorité des internautes connaissent l’activité visible de leur FAI, à savoir proposer un accès Internet qui allie coût attractif et connexion qualitative. Grâce au fournisseur d’accès, vous pouvez profiter de vos services en ligne préférés : Google, YouTube, Netflix, etc. Cependant, il existe plusieurs situations où votre FAI peut être amené à surveiller ou modifier votre trafic, comme par exemple le lawful intercept qui s’inscrit dans le cadre légal. Ici, nous allons analyser les possibilités de collectes de données par votre FAI et leur but.
Nous décrirons plusieurs pratiques abusives utilisées par certains FAI. Bien sûr, cela ne veut pas dire que tous les ont utilisées.
Comment votre FAI peut suivre votre historique de navigation ?
Lors de vos connexions sur Internet, votre FAI assure la liaison entre vos périphériques et Internet par l’intermédiaire de votre box en s’appuyant sur le protocole PPP (Point to Point Protocol). L’adresse IP qu’il vous alloue vous permet de communiquer avec les serveurs distants. Mais s’il le souhaite, il peut l’utiliser pour monitorer votre activité.
Voici une liste de toutes les donnés censées être visibles pour votre FAI :
- Tous les mails que vous échangez/recevez depuis leur serveur SMTP
- Les mails non chiffrés, même s’il ne sont pas stockés sur leurs serveurs de messagerie
- Tous les fichiers non cryptés stockés sur leurs serveurs, cloud, ou pour lesquels ils possèdent la clé de chiffrement
- Toutes les adresses IP aves lesquelles vous échangez du trafic sans exception, même si un réseau privé virtuel peut l’atténuer
- Toutes les requêtes au nom de domaine via leurs serveurs DNS
- Tous les paquets d’IP non chiffrés
- Votre FAI a la position idéale pour effectuer une attaque man-in-the-middle
Toutes ces situations peuvent être totalement ou partiellement corrigées avec un ou plusieurs outils de sécurité. Nous y reviendrons.
Est ce que les FAI utilisent nos données à des fins commerciales ?
En France, c’est le principe de neutralité du net qui régit le Web. Ce principe inclut l’interdiction de filtrer certains contenus ou d’en mettre d’autres en avant intentionnellement. Mais est-ce vraiment le cas ?
Les FAI ont la possibilité technique de vous faire parvenir un trafic modifié. Nous avons sélectionné plusieurs exemples figurant parmi les plus connus où l’internaute ne recevait pas les données qui avait été envoyées mais bien une version modifiée. Il en existe sûrement d’autres que les experts en réseau informatique n’ont pu détectées et analysées. Le réseau mobile est le plus souvent concerné car c’est un écosystème beaucoup plus fermé.
Il en existe sûrement beaucoup d’autre que les experts en réseau informatique n’ont pu détecté et analysé.
- De 2011 à 2013, SFR modifiait les pages HTML et les images de ses abonnés 3G arbitrairement. Les images perdaient en qualité dans le but d’améliorer le trafic sans que cela soit mentionné aux utilisateurs.
- En 2015, Verizon – qui se positionne contre la neutralité du Net – modifiait les pages de ses utilisateurs pour récolter des informations personnelles (IMEI, téléphone). A aucun moment l’utilisateur n’avait donné volontairement son consentement. On peut supposer que l’opérateur avait par la suite un usage commercial de ces informations.
- En 2018, Orange Tunisie modifiait les pages Web de ses abonnés pour insérer de la publicité qui lui rapportait. Pourtant c’est interdit par la législation tunisienne. Une fois encore, l’utilisateur n’était en aucun cas averti. Le compte Twitter Orange Officiel a préféré parler d’un problème technique.
Dans la majorité des cas, les modifications permettent de récolter des informations personnelles ou d’insérer de la publicité dans un but commercial. Parfois, cela se fait dans un but politique. Pris la main dans le sac, les FAI démentent ou arrêtent momentanément ces pratiques. Bien entendu, toutes ces actions vont à l’encontre de la neutralité du Web. Que penseriez-vous de votre opérateur s’il modifiait le contenu de vos SMS avant que vous ne les receviez ?!
La plupart des sites commerciaux et des GAFAM présents sur le Web collectent des données dans le but de vous proposer du contenu ciblé. Pourtant, le rôle d’un FAI est avant tout de vous permettre d’accéder à tous les services du Web et non de monétiser vos données à votre insu. Parmi les plus grands fournisseurs d’accès Internet, certains comme Verizon ou Comcast se sont positionnés contre cette neutralité, tout en affirmant qu’ils ne vendraient pas les données des utilisateurs à des tiers. Ceci étant, quand on s’interroge sur la publicité ciblée par les FAI, on s’aperçoit que d’une façon ou d’une autre ils utilisent déjà certaines données.
Comment empêcher votre FAI de surveiller votre trafic ?
Lorsqu’un FAI est en dehors du cadre légal, il n’est presque jamais inquiété. Il est donc judicieux de s’appuyer sur des moyens techniques de protection des données. Il en existe deux catégories : la compression (qui permet de minimiser un fichier) et le chiffrage (qui est encadré par le RGPD et qui est une solution efficace contre la modification des données et la surveillance).
- SSL / TLS (HTTPS)
HTTPS (ou Protocole Hypertexte de transmission sécurisé) est une évolution du protocole de transmission par lequel le navigateur et le serveur Web communiquent. L’avantage du HTTPS est que toutes les transmissions sont chiffrées.
HTTPS ne masque pas votre connexion. Votre FAI a la possibilité de vous localiser et de voir votre trafic. D’ailleurs, certaines techniques comme la requête de recherche permettent d’analyser les données cryptées et de prévoir ce qu’elle contiennent en fonction de la destination des paquets, de la date d’envoi et de leur taille.
- Pretty Good Privacy (PGP)
C’est un logiciel de cryptage qui permet d’authentifier et d’assurer la sécurité de tous vos périphériques sur le Web. Phil Zimmermann rend son outil public en raison de la demande croissante de protection des données privées.
- S/MIME
Le S/MIME (Secure Multipurpose Internet Mail Extension) permet de chiffrer vos emails. C’est un système qui utilise la technologie asymétrique afin de protéger vos mails des accès intrusifs. Ce protocole signe numériquement vos emails, ce qui atteste que vous êtes l’expéditeur légitime de vos messages. C’est une protection très efficace contre le phishing.
Ce que pouvez faire pour bloquer la surveillance de votre FAI
Il n’y a pas que le HTTPS et les méthodes de chiffrement évoquées auparavant pour bloquer la surveillance des FAI. L’utilisation d’un VPN (réseau virtuel privé) vous permet de chiffrer vos données et de passer sous le radar de votre FAI. C’est un système efficace de protection des données si vous utilisez le WiFi public où la manipulation des données est systématique. Bien sûr, les systèmes de chiffrement ont leurs failles qui sont régulièrement exploitées et qui font les choux gras des experts en cybersécurité. Pour ceux qui souhaitent encore plus d’anonymisation, le réseau Tor réduit considérablement l’exploitation des failles de sécurité et des métadonnées.