Quand l'IAP est entre de mauvaises mains

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Chris Lewis

Mai 2009

Avis de non-responsabilité :Les opinions exprimées dans ce document sont celles de l'auteur. Elles ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Nota : Cet essai a été communiqué par l'auteur au Commissariat à la protection de la vie privée pour le Project d'inspection approfondie des paquets.


Comme mon intervention arrive un peu tard, j’estime que les autres essais sur l’inspection approfondie des paquets (IAP) englobent la plupart des sujets sur lesquels j’aurais aimé me pencher. Donc, je m’abstiendrai de le faire, surtout que je suis d’accord avec la plupart des essayistes sur les questions entourant la neutralité du réseau, l’espionnage et la protection de la vie privée.

Toutefois, un élément crucial fait défaut à tous ces essais, ce qui au départ m’a complètement surpris. Après réflexion, je me suis dit que ce n’était peut être pas si étonnant puisqu’aucun des autres auteurs ne semble être en première ligne de la sécurité sur Internet, ni en prise directe avec les menaces actuelles et courantes.

Il s’agit des logiciels malveillants, des robots polluposteurs, des virus, de l’hameçonnage, des chevaux de Troie, des enregistreurs de frappe, du déni de service, des programmes malveillants de téléchargement, des attaques sur le serveur DNS, et ainsi de suite.

Nous traquons quotidiennement des dizaines de millions d’ordinateurs contaminés (des ordinateurs domestiques pour la plupart) qui participent à l’envoi quotidien de milliards de polluriels, ce qui engendre des attaques de déni de service distribué, le vol d’identité, de cartes de crédit et de titres de compétences, le blanchiment d’argent, le registre de frappe, etc. De plus, nous voyons des sites Web légitimes et d’autres services se faire pirater et héberger des logiciels malveillants qui aboutissent dans le système d’utilisateurs non avertis.

Les attaques sur le serveur DNS (qui configure le nom de l’endroit où vous souhaitez aller sur le site Internet qu’il dessert) comptent parmi les menaces les plus récentes et les plus dangereuses. Vous croyez être sur le site de votre banque à gérer votre compte? Pas du tout. Quelqu’un fait de l’écoute clandestine (attaques d’interception par le biais du travestissement de vos consultations de DNS) pendant votre conversation, et il videra votre compte peu après. Le cryptage (p. ex. https/SSL) peut être utile, mais pas toujours, car certaines attaques peuvent également corrompre cette défense ou confondre l’utilisateur.

L’ampleur même du problème est stupéfiante – et les choses ne cessent d’empirer. Les profanes ne s’en rendent pas compte, car pour l’essentiel ceux qui s’adonnent au crime organisé excellent dans la dissimulation (certains réussissent même parfois à tromper les experts), et les fournisseurs d’accès Internet s’efforcent de protéger leurs utilisateurs de ces malfaiteurs.

Pourtant, l’utilisation d’Internet est de plus en plus dangereuse pour votre compte bancaire et la protection de votre vie privée. Les criminels peaufinent leurs attaques avec de nouveaux outils et de nouvelles techniques, et les responsables de la sécurité du réseau doivent suivre le rythme.

En fait, les efforts des organismes d’application de la loi pour attraper et poursuivre en justice de tels criminels est au mieux irrégulière, au pire inefficace comme arme à moyen terme pour contrer ces méfaits. Nous faisons notre possible et nous remportons effectivement des victoires, mais les retombées globales, jusqu’ici, ont été faibles.

Il existe une autre réalité désagréable : les trousses anti virus et anti logiciels espions sont de moins en moins efficaces. Elles attrapent moins de 23 p. 100 de tous les nouveaux contaminants et réussissent rarement à empêcher les contaminants actuels de s’installer.

Au fond, les discussions entourant la protection de la vie privée, la neutralité du réseau et les autres dossiers abordés dans les autres essais ne voudront rien dire si les utilisateurs ne font plus confiance aux services auxquels ils ont recours, ni même à leur propre ordinateur. Le cryptage complet lui même n’est pas une panacée. Comme de plus en plus de gens se méfient d’Internet, ce dernier en souffrira, et pourrait même s’éteindre, ce qui engendrerait des conséquences économiques catastrophiques.

Il est vrai que bon nombre de fournisseurs d’accès Internet se tournent vers l’inspection approfondie des paquets (IAP) d’une manière qui pourrait ne pas nous plaire (décisions concernant la forme de largeur de bande non compatibles avec la neutralité du réseau, collecte de renseignements en marketing du type « phorm », ou même de l’espionnage pur et simple, etc.). Ces choses étaient possibles sans IAP et la situation restera la même, peu importe l’existence ou non d’IAP.

Cela dit, l’incitatif le plus grand pour le recours à l’IAP au sein des fournisseurs d’accès Internet et des entreprises en ligne sera sans doute la détection et l’arrêt du trafic malveillant que ne souhaite aucun utilisateur, et la recherche d’utilisateurs dont le système est aux prises avec ces contaminations de façon à les aider à les éliminer.

En d’autres mots, les fournisseurs tentent de protéger leurs clients des attaques du crime organisé.

L’IAP peut savoir si le populaire site de réseautage social que vous venez de visiter a été piraté et tente de télécharger un virus sur votre ordinateur, ou lorsqu’un courriel à votre intention contient quelque chose de malveillant et y fait obstacle. Il peut savoir à quel moment le virus s’active et tente d’entrer en action, d’où proviennent les attaques, et ainsi de suite.

L’IAP peut faire l’objet d’une utilisation malveillante. Tout comme un marteau. Nous ne bannissons pas les marteaux. Par contre, nous bannissons les choses répréhensibles que vous pouvez faire avec un marteau.

Il nous faut simplement voir l’IAP comme un autre outil. L’IAP est un outil très puissant dont on peut faire mauvais usage, mais ça demeure un outil.

Plutôt que de parler de l’IAP en fonction des choses que nous ne voulons pas qu’elle fasse, nous devons comme société décider des choses que nous voulons voir se réaliser ou pas, quelle que soit la technologie utilisée pour y parvenir. Si nous désirons un réseau neutre, c’est ce que nous devrions réglementer, et non un outil pouvant être utile ou non à cette fin.

Date de modification :