Doit-on s’inquiéter de l’inspection approfondie des paquets de données ?

L’inspection approfondie des paquets (en anglais Deep Packet Inspection soit DPI) est une méthode qui consiste à examiner les paquets de données qui passent par un réseau afin d’identifier le type de trafic. L’inspection approfondie des paquets de données peut susciter des préoccupations en matière de vie privée et de protection des données personnelles. Il est important d’être conscient de ces pratiques et de prendre les mesures nécessaires pour protéger les informations personnelles en ligne.

Doit-on s’inquiéter de l’inspection approfondie des paquets de données ?

Qu’est-ce qu’un paquet de données ?

Un paquet de données est une unité d’information transmise sur un réseau informatique. Il contient les données à transmettre et des informations sur leur destination.
Lorsque des données sont envoyées sur un réseau, elles sont divisées en petites portions. Ces petites portions sont appelées paquets de données. Toutes les données transmises sur Internet sont envoyées par paquets.

Le protocole Internet utilise les paquets de données pour s’assurer que les informations envoyées atteignent la bonne destination. Lorsque tous les paquets composant un ensemble de données, comme une image, une vidéo ou le contenu d’un mail, atteignent leur destination, ils sont rassemblés.

Les données réelles contenues dans un paquet sont appelées charge utile. Chaque paquet possède également un en-tête qui contient des métadonnées. Elles ont pour rôle d’indiquer certaines informations clé comme sa destination et sa provenance.

Cette technique est couramment utilisée dans les pare-feu, les systèmes de détection des intrusions et d’autres systèmes de sécurité réseau.

Malheureusement, les mêmes techniques d’analyse utilisées pour protéger les réseaux privés peuvent également être détournées à des fins de surveillance et de censure.

L’utilisation d’un VPN empêche ce type d’analyse, car les paquets sont chiffrés. Mais le protocole VPN lui-même peut souvent être identifié par la DPI. C’est la raison pour laquelle, certains sites et services en ligne détectent que vous utilisez un réseau privé virtuel et vous bloque l’accès.

Comment fonctionne l’analyse des paquets ?

Pour procéder à l’analyse de paquets, il faut tout d’abord obtenir des ensembles à analyser. Cela peut se faire de différentes manières, mais la mise en miroir de ports, les écoutes de réseaux physiques et le reniflage WiFi (packet sniffer) font partie des pratiques les plus courantes.

Une fois qu’une organisation a accès aux paquets, elle peut les analyser de différentes manières.

Analyse simple des paquets

Le moyen le plus simple (et le moins cher) pour une organisation de mettre en place des blocages sur le trafic réseau consiste à examiner les informations contenues dans les en-têtes des paquets. Ces organisations peuvent ainsi bloquer des paquets en fonction des ports qu’ils utilisent ou de leur adresse IP de destination.

Inspection approfondie des paquets

Le problème de la simple analyse des paquets pour les organisations qui souhaitent censurer l’internet est qu’il est facile de la contourner. Un VPN suffit à changer l’adresse IP de destination et/ou les numéros de port utilisés. L‘inspection approfondie des paquets analyse l’ensemble du paquet, y compris la charge utile.

Comment fonctionne l’inspection approfondie des paquets ?

Les techniques de DPI comprennent :

• La détection basée sur les signatures

Compare les paquets à une base de données de modèles de trafic malveillant ou indésirable connus.

• Détection des anomalies

Recherche de modèles ou de comportements qui s’écartent du trafic réseau normal. Les utilisateurs de Tor sont ciblés dans beaucoup de pays, dont la France.

• Analyse du protocole

Examine la structure et le format des paquets pour identifier le protocole utilisé.

• Inspection du contenu

Examen des données réelles contenues dans les données utiles, telles que le texte d’un e-mail, afin d’identifier et de bloquer des mots-clés ou des phrases spécifiques.

• Analyse comportementale

Examen du comportement du trafic réseau dans le temps, par exemple la fréquence des connexions à un serveur particulier ou la quantité de données transférées, afin d’identifier et de bloquer les modèles d’activité inhabituels.

L’inspection approfondie des données et la censure

Certains pays souhaitent limiter l’accès aux informations contenues sur Internet. Couper Internet n’est pas une solution envisageable en raison de la dépendance économique au réseau de ces mêmes pays.

La solution pour ces pays consiste à rendre l’internet disponible mais à bloquer les sites web et les applications auxquels ils ne veulent pas que leurs citoyens aient accès. C’est très simple à mettre en place. Il suffit simplement d’exiger des fournisseurs d’accès à Internet (FAI) de bloquer les connexions à certaines adresses IP.

Le problème de cette approche est que des dispositifs tels que les réseaux privés virtuels permettent aux internautes qui le souhaitent de contourner facilement ces blocages. L’inspection approfondie des paquets de données permet de détecter et bloquer les utilisateurs de VPN.

Comment la DPI est utilisée pour détecter les utilisateurs de VPN ?

Les censeurs en ligne et les internautes se livrent au jeu du chat et de la souris depuis les premiers jours d’Internet. Au commencement, les FAI bloquaient certains ports, les internautes ont donc commencé à utiliser des ports non-standard.

Les gouvernements répressifs ont ensuite réagi en utilisant l’inspection des paquets de données pour déterminer ce que faisait le trafic sur les ports ouverts, ce qui a encouragé les gens à utiliser des VPN pour contourner le problème.

À leur tour, les censeurs ont développé des techniques de DPI plus sophistiquées, et ainsi de suite.

L’inspection approfondie des paquets de données est difficile à contourner car il examine l’ensemble de l’élément pour identifier le trafic VPN de diverses manières. Ces méthodes comprennent

L’analyse du protocole

Elle examine la structure et le format des paquets pour identifier le protocole VPN utilisé et détecter si les paquets utilisent un protocole VPN comme OpenVPN, WireGuard®, PPTP, L2TP ou IKEv2.

Analyse de la taille des paquets

Des tailles de paquets inhabituelles peuvent indiquer l’utilisation d’un réseau privé vrituel.

Analyse comportementale

La DPI peut examiner le comportement du trafic réseau au fil du temps pour identifier des modèles qui peuvent indiquer l’utilisation d’un logiciel VPN. Par exemple, un pic inhabituel dans le trafic vers un serveur spécifique ou un changement soudain dans l’emplacement des adresses IP peut alerter.

Les VPN s’adaptent et ripostent à leur tour pour assurer leur rôle

Un VPN crée une connexion chiffrée entre votre appareil et un serveur sécurisé. L’application VPN achemine ensuite toutes les connexions de votre appareil par un tunnel VPN. Cela inclut les requêtes DNS, que votre fournisseur VPN traite plutôt que votre FAI.

Comme les données envoyées sont cryptées de manière sécurisée, votre FAI (et, par extension, n’importe quel tiers) ne peut pas voir le contenu de vos données ou les sites et services que vous visitez. Tout ce qu’il peut voir est l’adresse IP du serveur VPN auquel vous vous êtes connecté.

Il arrive que certaines adresse IP de serveur VPN soient détectées et black listées, rassurez-vous, cela ne dure jamais. Les fournisseurs de réseaux privés virtuels les changent régulièrement.

Ce qu’un FAI ne peut pas voir, il ne peut pas le bloquer.

Les meilleurs VPN, développent différentes façons de masquer leur utilisation. Parmi elles, on peut citer, la mise en place de protocoles furtifs, des serveurs obsusqués, des connexions MultiHop (création de plusieurs ponts), utilisation de ports différents, etc…

Bien que les protocoles VPN utilisent par défaut les ports prévus, la plupart d’entre eux peuvent être exécutés sur presque tous les ports (à l’exception des ports réservés à des fonctions spécifiques).

Pour conclure : doit-on réellement s’inquiéter de l’inspection approfondie des paquets de données ?

La réponse est oui dans la mesure où cela porte atteinte à la vie privée numérique et que l’on observe de plus en plus de dérives liées à la surveillance de masse et à la censure partout dans le monde.