Mon blog-notes à moi que j'ai

Blog personnel d'un sysadmin, tendance hacker

Loi renseignement – où et comment placer les "boîtes noires", pour quelle efficacité ?

La loi renseignement a été votée à l’Assemblée nationale. En attendant le vote au Sénat et les recours, continuons la réflexion au sujet des « boîtes noires ». Aujourd’hui : où et comment les déployer.

On sait de manière à peu près certaine que les algorithmes de détection ne fonctionneront pas : il génèreront beaucoup trop de faux positifs (individus considérés comme suspects par erreur), mais également de vrai négatifs (terroristes non détectés).

En outre, l’étendue du champ d’action du projet de loi renseignement (les fameuses 7 catégories) m’incite à cesser de me focaliser sur la lutte anti-terroriste qui n’en constitue qu’une petite partie, bien qu’étant systématiquement utilisée par les défenseurs de la loi pour provoquer la peur (on appelle ça le FUD).
Je pars du principe que nous serons toutes et tous placés sous surveillance.

Non à la survaillance de masse

Cet article ne portera donc pas sur l’efficacité supposée de l’analyse des métadonnées collectées par les « boîtes noires », mais bien de celle de la collecte. Elle est directement liée à l’emplacement des « boîtes noires ».
Il est en effet permis de s’interroger sur l’efficacité des « boîtes noires » en fonction de leur emplacement ainsi que sur leurs effets potentiels sur la stabilité des réseaux dans lesquels elles seront implantées.

Naturellement, ces réflexions sont limitées par le secret qui entoure le dispositif. Ne sachant rien ou presque à leur propos, il est délicat d’affirmer quoique ce soit en la matière.
Toutefois, si l’on admet que les métadonnées intéressant les services de renseignement se trouvent bien en couche 7, et que leur collecte suppose l’utilisation du DPI, on peut d’ores et déjà annoncer que les « boîtes noires » seront dans l’incapacité d’analyser le trafic chiffré.

Plus généralement, on peut faire un certain nombre de suppositions qui ont de bonnes chances de se révéler exactes.

Boîte noire – Allégorie

Par exemple, il est probable que la collecte des informations s’effectue à l’aide de sondes déjà existantes, telles que celles vendues par des entreprises comme Amesys ou Qosmos, pour ne citer que les champions français.
Compte tenu de l’expérience de ces deux entreprises en la matière, il est assez peu vraisemblable que les services de renseignement cherchent à ré-inventer la roue en mettant au point leur propre sonde réseau, même si l’ANSSI a mis au point un prototype 1, certes destiné à un autre usage que la surveillance de masse de l’ensemble de la population, notamment à cause de ses performances.

Selon certains, ce type de sondes serait par ailleurs déjà deployé dans les réseaux de certains opérateurs pour (notamment?) participer à leur gestion technique.

Comment installer les « boîtes noires »

Il existe 2 manières de déployer des sondes d’analyse réseau :

Installation en coupure
Il s’agit dans ce cas de « couper » le câble ou la fibre et de placer la sonde au milieu. Elle devient alors un point de passage obligé pour tout le trafic réseau qui transite par le lien. Elle ne peut rien rater.
Le problème de ce type d’architecture, c’est que la sonde devient un point unique de défaillance. Qu’elle tombe en panne, le réseau est « cassé »; qu’elle ne parvienne pas à traiter le trafic suffisamment rapidement et le réseau ralenti.
Installation en dérivation
Le principe ici est de copier tout le trafic réseau passant en un point précis, un switch ou un routeur, pour l’envoyer vers la sonde. Dans la mesure où il s’agit d’une copie, le réseau fonctionne toujours, il est à peine ralenti, et la sonde reçoit l’intégralité des échanges.
Cette solution présente deux avantages : d’une part, le réseau est protégé contre une panne de la sonde. D’autre part, la sonde voit toujours le trafic réseau et peut donc réaliser la collecte massive de données.

Il est peu vraisemblable que le choix se porte sur une installation en coupure. Cela fait en effet peser un risque trop important en terme de stabilité du réseau.

Où installer les « boîtes noires »?

On peut imaginer poser les « boîtes noires » à bien des endroits sur Internet. Pour cela, examinons le schéma suivant.

Schéma d'emplacements possibles des boîtes noires sur Internet

Les puristes, « ceux qui savent » ainsi que les trolls voudront bien m’excuser du côté simpliste du schéma. Il est nécessaire pour une bonne compréhension par tous ou presque.

D’une manière générale :

  • plus on se rapproche d’Internet, donc du centre du schéma, moins les boîtes noires seront nombreuses, mais plus elle devront être puissantes car la quantité de données à analyser augmente
  • plus on se rapproche des extrémités gauche et droite du schéma, donc plus on s’éloigne d’Internet, plus les boîtes noires devront être nombreuses, mais elles pourront être plus petites car la quantité de données à analyser diminue

Ce principe est similaire à un réseau routier :

  • lorsque vous quittez votre domicile, une petite route vous amène à la départementale, puis à la nationale et enfin à l’autoroute.
    À chaque fois, le nombre de voitures qui circulent augmente.
  • À l’arrivée c’est l’inverse : vous quittez l’autoroute pour la nationale, puis la départementale et arrivez à destination.
    Le nombre de voitures que vous croisez ou doublez diminue progressivement.

Il existe 6 emplacements possibles pour les « boîtes noires » :

① – À votre domicile
  • extrêmement ciblé, mais aussi le moins discret puisqu’il faut pénétrer chez vous pour la poser
  • n’est adapté qu’en cas de surveillance effective, pas pour de la détection qui supppose une collecte plus large (ou alors il faudra 25,4M de boîtes noires correspondant au nombre d’abonnés haut et très haut débit selon les chiffres de l’ARCEP au second trimestre 2014)
  • très peu probable car on aura la même précision, la discrétion en plus, au DSLAM
② – Dans le NRA ou le DSLAM
Votre ligne téléphonique, de même que celles de vos voisins, arrivent toutes dans un NRA.
Au sein d’un NRA, on trouve des DSLAM (un équipement qui appartient à un FAI).
Il y aurait près de 17000 NRA Orange éligibles à l’ADSL (source : ariase.com)
  • très ciblé, cela revient à être chez vous. Mais on peut aussi surveiller un quartier entier
  • infra déjà en place pour les écoutes judiciaires (PNIJ)
  • besoin de beaucoup de sondes d’interception
  • problème avec le trafic chiffré.
③ – Réseau FAI
  • moins ciblé car le réseau FAI aggrège le trafic de tous ses abonnés en provenance des NRA.
  • problème avec le trafic chiffré
  • problème avec le routage asymétrique : la boîte peut voir une requête mais peut ne pas voir la réponse (cf. schéma ci-dessous). Pire, 2 requêtes d’un même abonné (« trafic aller 1 & 2 » du schéma) ne passeront pas toujours pas le même chemin. On risque alors de rater du trafic.

Mise en évidence du problème de routage asymétrique dans un réseau

③ – Réseau d’un opérateur de téléphonie mobile
  • permet de s’affranchir du CGNAT. On obtient donc la vraie adresse IP du téléphone
  • problème avec le trafic chiffré
  • problème avec le routage asymétrique
④ – Au cœur des réseaux opérateurs
il s’agit cette fois de placer les boîtes dans les réseaux des très gros opérateurs ou dans les points d’échange Internet. Il existe très peu de très gros opérateurs Internet et encore moins de très gros opérateurs français: seul Opentransit, filiale d’Orange en fait partie.
  • problème avec le trafic chiffré
  • la quantité de trafic gérée par les gros opérateurs et les points d’échange Internet est colossale. Les « boîtes noires » vont devoir être énormes pour pouvoir analyser une telle quantité de données
⑤ – Réseau hébergeur
  • on ne surveille plus directement des personnes, mais un service internet (un site web, un serveur de mail, etc…)
  • problème avec le trafic chiffré
  • problème avec le routage asymétrique : la boîte peut voir une requête mais pas la réponse (les réseau d’hébergeur comme OVH peuvent être complexes et étendus géographiquement parlant)
⑥ – Réseau hébergeur mutualisé - Après un répartiteur de charge
un répartiteur de charge est un équipement qui reçoit tout le trafic et le réparti entre plusieurs serveurs qui traiteront les requêtes. Lorsqu’on utilise SSL/TLS, c’est généralement à cet endroit que le chiffrement est interrompu. Ensuite, le trafic passe en clair
  • parfait pour l’hébergement mutualisé (généralement plus de SSL)
  • plus de problème de routage asymétrique puisque qu’on se trouve à l’extrémité du réseau

Si on pousse le raisonnement à l’extrême, il existe même une dernière solution que je n’ai pas indiqué sur le schéma.

⑦ – Infra hébergeur
on connait déjà un peu, ça a été fait par la NSA et ça porte un nom : PRISM
  • pas besoin de DPI pour la collecte des logs applicatifs (HTTP & Mail par exemple) générés par les serveurs
  • ne fonctionne pas sur un serveur dédié puisque l’hébergeur n’a aucun contrôle sur la machine
  • plus de problème de routage asymétrique puisque qu’on se trouve à l’extrémité du réseau

Dans tous les cas, les réseaux et services Internet ne sont pas tous concentrés au même endroit. Les réseaux parce qu’il faut bien acheminer le trafic jusqu’à l’abonné et les services parce les hébergeurs ne sont pas tous dans le même datacentre. En outre, certains hébergeurs possèdent plusieurs datacentre qui, eux aussi, sont géographiquement distants

  • il faut donc prévoir des liens réseau pour effectuerla remontée des infos collectées par les « boîtes noires » vers les serveurs de stockage, a priori centralisés
  • la remontée des informations collectées vers les serveurs de stockage peut potentiellement générer un trafic réseau conséquent

Service de renseignements – Allégorie

Tout ceci me fait furieusement penser à la plate-forme nationale d’interceptions judiciaires (PNIJ) dont l’existence et le fonctionnement ont été révélés par Pierre Alonso et Andrea Fradin sur OWNI en 2012.
Il y aurait sans doute quelque avantage à profiter de l’infrastructure existante de la PNIJ : la remontée des informations collectées par les « boîtes noires » en serait facilitée. Le réseau de collecte existant déjà chez les FAI et opérateurs mobiles, il suffirait de raccorder les quelques hébergeurs ciblés (points ④ & ⑤ du schéma) pour pouvoir exploiter des « boîtes noires » à ces endroits.

Au passage, on peut se poser la question de l’utilité de la PNIJ au regard de l’étendue du champ d’action du . En effet, la seule utilité restante de la PNIJ concernerait l’accès au contenu des échanges, le tout sous contrôle du juge judiciaire. Rien de tout cela pour le projet de loi renseignement puisque celui-ci relève de la surveillance administrative.

Pour autant, ne me faites pas dire ce que je ne dis pas : si je ne suis évidemment pas favorable à la mutualisation excessive entre les boîtes noires du et la PNIJ, il me paraît néanmoins raisonnable d’envisager qu’une partie de l’infrastructure de la PNIJ puisse être utilisée par les boîtes noires du , par exemple l’infrastructure réseau utilisée pour centraliser les écoutes.

Quant au stockage, il n’est pas besoin d’être grand clerc pour supposer qu’il sera réalisé dans le nouveau datacentre de la DGSE dans les Yvelines. Celui-ci a de plus le bon goût d’être situé à une vingtaine de kilomètre du datacentre de la PNIJ opéré par Thalès…

Merci à mes relecteurs et relectrices, ils se reconnaîtront :)


  1. Architecture système sécurisée de sonde IDS réseau – PrésentationPublication