y'a t'il un moyen légal de saisir l'ARCEP ou l'autorité de la concurrence ou le parlement pour contester la mise en œuvre cette API ?

Contester quoi exactement ?

plein de choses. déjà c'est anti-concurrentiel, l'utilisateur lui-même ne peut créer son propre outil de mesure et avoir les infos de sa box. Plus plein d'autres points notamment sur le tracking et le fait que les FAI savent qui et quand et avec qui un utilisateur fait un test de débit et peuvent donc influer sur le résultat.

Bref je peux rédiger un doc détaillé mais je ne veux pas perdre mon temp si c'est pour que ce ne serve a rien, parce que le petit comité de complices qui a pondu cette horreur est bien trop doué pour manipuler l'ARCEP ou les autorités en général... 

c'est pour des raisons de sécurité

ou de confidentialité ou respect de la vie privée etc

C'est l'argument toujours utilisé pour dissimuler l'intention véritable.
C'est malheureux mais ca fonctionne super bien quand on a en face des politiques ou des décideurs/managers techniquement incompétents. J'avoue que j'ai moi-même par le passé abusé de cela quand je voulais placer un produit ou un service...

Pourtant depuis des années les bbox de Bouygues ont une API simple et qui fait le job mais curieusement cela n'a jamais posé de problème de sécurité / confidentialité / respect de la vie privée

C'est juste exaspérant cette exploitation de l'administration française par des intérêts privés.

Arcep -> THD = 30Mbits

C'est l'Europe qui définit le THD ≥ 30 Mb/s.

Il y a eu une époque où le THD était défini en France comme ≥ 50 Mb/s, mais l'Arcep s'est ensuite aligné sur la définition européenne.

y'a t'il un moyen légal de saisir l'ARCEP ou l'autorité de la concurrence ou le parlement pour contester la mise en œuvre cette API ?

Bien sûr que tu peux attaquer l'Arcep, les opérateurs ou des associations le font régulièrement.

L'API est sécurisée pour plusieurs raisons :
- Des raisons de sécurité, tu fais un appel au SI des opérateurs qui sont probablement des OIV, donc il y a de nombreuses précautions prises
- Éviter l'utilisation de l'API par des tiers (je pense que beaucoup de sociétés qui collectent des données aimeraient récupérer dans le navigateur web ton offre internet pour mieux cibler tes publicités ou savoir si tu es connecté en Ethernet ou en Wi-Fi).

Je vais être constructif : Si tu souhaites utiliser l'API pour ton outil de test de débit, je propose de voir avec toi comment faire.

Deux pré-requis :
- être conforme au code de conduite, cf https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/la-mesure-de-la-qualite-de-service-dinternet.html#c29507
- être en mesure d'avoir une volumétrie prévisionnelle

Voici un code open source proposé par nPerf pour l'accès à l'API côté client : https://github.com/renaudk/arcep-api-box-tester
(merci à nPerf pour tout le travail fait sur l'API au passage).

L'API pourrait être accessible sans authentification (le client étant identifié par son IP) à condition de mettre un entête qui ne puisse pas être positionné par un site web.
Par exemple, "Sec-LocalAPIUsage: true" (ou sinon une valeur particulière de "Origin" ou "Referer").
Ce serait le signe d'un usage local (par un programme), car ce sont des entêtes qui ne peuvent pas être positionnés par une page web (https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name).

On pensait au départ que cela serait suffisant comme sécurité, mais non. Là, tu sécurises par rapport à un site web, mais n'importe quel application sur le PC ou téléphone pourrait faire un appel à l'API (ou même le système d'exploitation).
Vraiment la sécurité en place n'a pas été mise en place pour le plaisir. C'est le fruit de longs échanges avec l'écosystème.

- Des raisons de sécurité, tu fais un appel au SI des opérateurs qui sont probablement des OIV, donc il y a de nombreuses précautions prises

L'appel est uniquement réellement nécessaire pour récupérer le débit souscrit, les autres valeurs viennent de la box (et donc même si elles sont relayées par l'opérateur, ça peut être sur un système séparé donc l'attaque ne nuirait pas à d'autres services).

Deux pré-requis :
- être conforme au code de conduite, cf https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/la-mesure-de-la-qualite-de-service-dinternet.html#c29507
- être en mesure d'avoir une volumétrie prévisionnelle

Je ne vois pas trop comment ça pourrait être compatible avec une appli locale, qui plus est si elle passe opensource.
N'importe qui pourrait utiliser les mêmes identifiants.

On pensait au départ que cela serait suffisant comme sécurité, mais non. Là, tu sécurises par rapport à un site web, mais n'importe quel application sur le PC ou téléphone pourrait faire un appel à l'API (ou même le système d'exploitation).
Vraiment la sécurité en place n'a pas été mise en place pour le plaisir. C'est le fruit de longs échanges avec l'écosystème.

Si on part du principe que l'utilisateur peut installer des applis douteuses, alors effectivement c'est un problème.
Mais celles-ci ont déjà accès à une partie des informations ; type de connexion locale, volume des échanges de la machine (au moins sur PC).

Pour le système d'exploitation, ça pourrait servir à détecter des problèmes et les signaler à l'utilisateur.
La question est de savoir si les vendeurs iraient se mettre hors la loi (si l'utilisation de l'API en local est conditionnée à l'absence de remontée d'informations).

L'API est sécurisée pour plusieurs raisons :
- Des raisons de sécurité, tu fais un appel au SI des opérateurs qui sont probablement des OIV, donc il y a de nombreuses précautions prises
- Éviter l'utilisation de l'API par des tiers (je pense que beaucoup de sociétés qui collectent des données aimeraient récupérer dans le navigateur web ton offre internet pour mieux cibler tes publicités ou savoir si tu es connecté en Ethernet ou en Wi-Fi).

l'API n'avait pas besoin de passer par le SI des opérateurs. Un simple endpoint web sur la box comme y'a deja l'interface web suffisait largement. ca prend 1 journée a dev, ca n'impacte en rien le SI des FAI, ca reste local aux box (cf ce que fait Bytel).

Pour ce qui est de la collecte de données c'est de la parano pure et simple des opérateurs. Ils ne veulent pas que leur concurrents proposent des pubs fibre sur les clients adsl ? ridicule. Ile ne veulent pas qu'un site sans dépendance économique avec eux fasse un rapport taux fibre/adsl/débit moyen par zone ? ridicule.

Le navigateur informe déja n'importe qui de la résolution de l'écran, de l'OS, de sa version , etc. Rendre dispo le type de connexion Internet, son débit max up/max down et le crosstalk ne pose aucun problème aux utilisateurs eux-mêmes. On demande meme pas le modele de box ou sa version. Et juste une option pour désactiver cela dans l'interface de la box (donc opt-in par défaut avec opt-out possible).

Mais non, sous des prétextes fallacieux , ce "comité" en arrive a devoir passer par le SI des FAI donc OVI ,machin truc, sortie de parapluie a tous les étages de la hiérarchie des FAI.
Des dévelopements complexes s'en suit (combien de mois/années ? qui a payé pour ca ? qui s'en est mis dans les poches pour ca ? )

Tout ca pour une usine a gaz qui sera peu utilisée et sans doute fermée dans quelques années après le bilan d'évaluation. ce qui était le but sans doute du "comité".