La Fibre
Télécom => Télécom => 
ADSL / VDSL => Discussion démarrée par: Marin le 07 juin 2016 à 09:50:45
-
De nouvelles informations ont été publiées hier par les sites Reflets (https://reflets.info/qosmos-et-le-gouvernement-francais-tres-a-lecoute-du-net-des-2009/) et Mediapart (https://www.mediapart.fr/journal/france/060616/comment-les-services-de-renseignement-ont-mis-en-place-une-surveillance-generale-du-net-des-2009), concernant le système d'écoute individuelle du trafic en place chez les opérateurs ADSL majeurs. Voici ce qu'il en est dit de technique :
- ses sondes avaient été déployées chez les principaux fournisseurs d’accès à Internet, « soit près de 99 % du trafic résidentiel », nous indique une source interne.
- Ce projet a été imaginé en 2005. Le cahier des charges terminé en 2006 et le pilote lancé en 2007. La généralisation à tous les grands opérateurs s’est déroulée en 2009.
- des « boites noires » avant l’heure étaient installées sur les réseaux des opérateurs, mais ceux-ci n’y avaient pas accès. Il s’agissait d’écoutes administratives commandées par le Premier ministre et dont le résultat atterrissait au GIC (https://fr.wikipedia.org/wiki/Groupement_interminist%C3%A9riel_de_contr%C3%B4le).
- Dimensionné pour permettre de l’interception sur 6000 DSLAM, IOL, pour « Interceptions Obligatoires Légales », pouvait analyser jusqu’à 80 000 paquets IP par seconde. Un DSLAM pouvant accueillir à l’époque entre 384 et 1008 lignes d’abonnés
- L’outil décrit permettrait d’intercepter les communications électroniques d’un quartier, d’une ville, d’une région ou un protocole spécifique.
- À l’usage, cette infrastructure était inopérante pour du massif. Pour plusieurs raisons. L’une étant l’évolution des infrastructures, une autre étant le volume important du trafic chiffré
- Un ancien haut cadre d’un fournisseur d’accès nous confirme pourtant que les métadonnées étaient bien collectées « en temps réel, à distance ». C’était d’ailleurs « tout l’intérêt de cet outil par rapport aux dispositifs historiques pour l'interception de données qui reposaient sur des sondes avec stockage temporaire »
En terme d'avis juridique :
- Au moment de l’installation du dispositif IOL, la collecte en temps réel de ces données de connexion était strictement interdite. Le régime alors en vigueur avait été fixé par la loi antiterroriste du 23 janvier 2006. Celle-ci permettait la consultation des métadonnées mais a posteriori, chez les opérateurs qui avaient l’obligation de les conserver durant une année. L’analyse « en temps réel » des métadonnées et sur « sollicitation du réseau » n’a officiellement été autorisée que par l’article 20 de la loi de programmation militaire votée en décembre 2013 et dont le décret d’application n’a été publié qu’un an plus tard, le 26 décembre 2014.
- Ces programmes n’ont jamais été évoqués, ne serait-ce que dans leurs grandes lignes, lors des débats parlementaires.
Schéma du système :
(http://web.archive.org/web/20160924075343if_/https://reflets.info/wp-content/uploads/2016/06/descriptif-schema-capture.png)
« L’interception est fondée sur une liste contenant les identifiants des cibles. L’application détermine l’adresse IP d’une cible, dont l’un au moins des identifiants a été reconnu dans le trafic analysé par la sonde », explique Qosmos. Une fois la cible repérée dans le flux de communication, « les sondes IOL remontent le trafic intercepté (…) vers un Mediation Device qui le convertit (…) avant l’envoi au Monitoring Center ».
Un extrait du shell utilisé.
(http://web.archive.org/web/20160924075342if_/https://reflets.info/wp-content/uploads/2016/06/qosmos-classes-ip.png)
-
Attention,
Il y a des inexactitudes, cette architecture n'a pas été déployée chez tous les FAI.
J'ai la certitude que la généralisation de 2009 n'a pas été réalisée chez tous les FAI.
Ces sondes IOL, c'est tout sauf invisible dans un NRA et il y a peu d'équipements dans une salle de dégroupage pour qu'il soit facile de tous les identifier.
Les baies des opérateurs dans une salle de dégroupage sont soit ouvertes (pas fermées à clef), soient les trou permettent de voir les équipements.
Je passe sur les baies Huawei qui ont les même clefs quel que soit l'opérateur.
Bref, difficile de garder cette info confidentielle pour les opérateurs tiers.
Est-ce que les 6000 DSLAM ne correspondraient pas à 6000 DSLAM grand public Orange ?
-
6000 DSLAM ça reste le dimensionnement du dispositif, rien n'indique qu'il a été déployé à une telle capacité.
Et il est vrai que je n'ai pas de souvenir d'avoir vu d'équipements suspects dans les nombreuses photos de NRA qu'on peut trouver sur le net.
-
Yop,
Quelques infos en plus vis-à-vis de ce sujet :
- Qosmos, la boite à l'origine de IOL à également 3 autres projets classés secret-défense,dont voici les noms de code : KAIROS, CHARLIE et DELTA.
- En 2012, Qosmos à crée un correctif pour IOL : Version 2.1.3, déployée sur le réseau. On peut donc en déduire que le projet existe bel et bien et à été mis en route.
- La même année, Qosmos s'est retiré du marché. Hors, ces derniers affirment que les sondes doivent être maintenues à jour pour continuer à fonctionner, compte-tenu du fonctionnement qu'elles ont (envoie des métadonnées sur des sites de traitement en temps réel notamment). Cependant, personne ne peut dire si le système est toujours entretenu par une autre boite ou le gouvernement lui même, ou si le projet est simplement mort, et les sondes inutiles donc.
- Rien n'indique que le projet ait été déployé dans 6000 DSLAM. Il était seulement taillé pour.
- La liste des protocoles potentiellement surveillés par IOL sont les protocoles du "Protobook" de Qosmos, trouvable en partie à cette adresse : http://protobook.qosmos.com/all_protocols.html . Pour le protobook complet, il faut signer un accord de confidentialité avec Qosmos...
(Toujours sur reflets.info, même source&article que le premier post ;))
-
De mon coté, j'ai vraiment l'impression qu'il y a une volonté de faire du sensationnalisme avec « soit près de 99 % du trafic résidentiel » pour un déploiement qui ne concerne que l'ADSL grand public chez Orange.
Avec le trafic qui est de plus en plus chiffré, on récupère de moins en moins de choses.
Le plus intéressant semble être :
- La liste exhaustive des sites web consultés (cela se récupère via les requêtes DNS qui ne sont jamais chiffrées)
- La liste des périphériques connectés à Internet avec les versions utilisées et donc les failles de sécurité qu'il est possible d'utiliser pour aller récupérer des données sur les ordinateurs en question. (cela se récupère via le user-agent dans les requêtes en clair qui continuent toujours d'exister)
- Le volume échangé par pays (cela se récupère via les IP)
- Le trafic échangé avec des IP repérées suspectes
-
De mon coté, j'ai vraiment l'impression que il y a une volonté de faire du sensationnalisme
Toujours quand ce genre de sujet arrive dans l'essentiel de la presse,
avec « soit près de 99 % du trafic résidentiel » pour un déploiement qui ne concerne que l'ADSL grand public chez Orange.
On peut aussi interpréter la phrase comme le fait que le programme peut être potentiellement enclenché pour un des utilisateurs se trouvant dans la base d'utilisateurs d'un des cinq principaux FAI. Ce qui est cohérent et logique avec le fait que le programme est indiqué comme servant à application individuelle. Aussi, Reflets le dit différemment de Mediapart.
-
Quelques photos montrant l'absence de sondes IOL dans les baies des opérateurs :
Chez SFR :
(https://lafibre.info/images/altice/201606_dslam_sfr_1.jpg)
(https://lafibre.info/images/altice/201606_dslam_sfr_2.jpg)
Chez Free : Cliquez sur l'image pour zoomer
(https://lafibre.info/images/free/201606_dslam_free_mini.jpg) (https://lafibre.info/images/free/201606_dslam_free.jpg)
Les sondes pourraient être plus en amont, mais cela ne correspond pas au schéma et si il y a des équipement, ce ne pourrais être que des TAP fibre, un équipement qui recopie ce qui passe sur une fibre, pour cacher ces sondes aux opérateurs.