Auteur Sujet: Accès wifi TGV - neutralité (Lu 23410 fois)

Flo_77 · « **le:** 29 novembre 2020 à 16:13:31 »

Dans la continuité du post de Vivien, j'ai voulu faire quelques essais en utilisant "le Wifi" fourni à bord d'un TGV sur la relation Lille-Paris et y tester l'accès à une ressource de Windows Update, connue pour être bloquée.
Ceci date du 28/11/2020, dans le cadre d'un déplacement pro.

J'ai ainsi essayé de joindre en http l'adresse fournie dans son topic.
ctldl.windowsupdate.com

Le résultat renvoyé est une erreur 503 avec le contenu suivant :

Citer

En accord avec les Conditions Générales d’Utilisation du portail Le Wifi, vous ne pouvez pas accéder à ce site. Si vous pensez qu'il s'agit d'une erreur, vous pouvez nous l'indiquer dans la rubrique Votre avis.

You don't have permission to access this website. In case you think it's an error, please fill in the form in the internet portal.

URL : 40.70.224.146
Catégorie :

Extrait avec Fiddler.

Ci-dessous, on peut voir sur les trames Wireshark un autre essai où j'ai encadré des passages intéressants. D'abord, ma requête DNS, une requête GET lancée par Firefox et sa réponse (fragmentée en plusieurs paquets). Cette réponse émane de la même IP que le serveur mais vraisemblablement émise par les équipements du TGV qui m'empêchent d'y accéder.
Je fais confiance à Vivien, pas tenté des sites pour adultes, le résultat doit être sensiblement le même

Flo_77 · « **Réponse #1 le:** 29 novembre 2020 à 16:17:19 »

Windows 10 tente par la même occasion de contacter slscr.update.microsoft.com pour Windows Update.

On remarque, comme sur le post de Vivien, que chaque paquet TLS "Client Hello", portant un champ SNI au domaine ci-dessus, est immédiatement suivie par un paquet TCP portant les flags ACK-RST, mettant fin à la connexion.

Ce mécanisme fait figure d'utilisation de DPI afin d'effectuer un blocage en règle.

Flo_77 · « **Réponse #2 le:** 29 novembre 2020 à 16:35:03 »

Par ailleurs, chose intéressante : on peut voir que les conditions d'utilisation ont changées. Ici l'extrait du .pdf datant de 2018

Citation de: CGU 13/03/2018

Afin de tenir compte des contraintes techniques inhérentes aux moyens de communication associés à la mise à disposition du Service, et pour assurer au mieux des possibilités existantes une mise à disposition du Service desContenus et des Prestationsoptimale et homogène pour l’ensemble des Utilisateurs, le Réseau ne prendra pas en charge les requêtes (a)de mise à jour des applications installées sur les ordinateurs portables et assistants personnels des Utilisateursou (b) à destination de sites proposant des contenus de natureviolente, pornographique ou manifestement illicites, ou des contenus présentant des caractéristiques n’offrant pas des garanties de sécurité optimales.

Le même paragraphe présenté hier avant d'en accepter les conditions :

Citer

Afin de tenir compte des contraintes techniques inhérentes aux moyens de communication associés à la mise à disposition du Service, et pour assurer au mieux des possibilités existantes une mise à disposition du Service des Contenus et des Prestations optimale et homogène pour l’ensemble des Utilisateurs, le Réseau ne prendra pas en charge les requêtes ou des contenus présentant des caractéristiques n’offrant pas des garanties de sécurité optimales.

Il n'est donc à priori plus mentionné l'impossibilité d'effectuer une mise à jour.

Voici le copier-coller des conditions telles que présentées hier, sur le portail wifi du TGV n°7516 : (cliquez sur la miniature ci-dessous - le document est au format PDF)

vivien · « **Réponse #3 le:** 29 novembre 2020 à 17:01:32 »

Merci,

Mes tests dataient de janvier 2019 sur un TGV Paris - Marseille.

Dans les conditions générales d'utilisation, la différence de mise en page est liée au fait que j'ai trouvé le PDF fait par la SNCF, vs le PDF qui a été fait par toi, via un copier / coller des CGV du portail.

(cliquez sur la miniature ci-dessous - le document est au format PDF)

Le terme "le Réseau ne prendra pas en charge les requêtes de mise à jour des applications installées sur les ordinateurs portables et assistants personnels des Utilisateurs" a été supprimé dans celles récupérées par Flo_77, mais il semble qu'en pratique le DPI n'ai pas été modifié.

J'en profite pour indiquer que le DPI est interdit, cf rapport Arcep :
- Analyser le contenu générique => ok
- Analyser le contenu particulier => non ok

Citation de: vivien le 25 juin 2020 à 22:45:09

Le rapport explique que le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :

Extrait de la page 66 : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique, le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.

Flo_77 · « **Réponse #4 le:** 29 novembre 2020 à 17:36:35 »

Citation de: vivien le 29 novembre 2020 à 17:01:32

Dans les conditions générales d'utilisation, la différence de mise en page est liée au fait que j'ai trouvé le PDF fait par la SNCF, vs le PDF qui a été fait par toi, via un copier / coller des CGV du portail.

Effectivement, j'ai récupéré la page HTML et recopié son contenu dans un fichier pdf afin que ce soit plus pratique à lire. Ayant vu trop tard, sur mes captures, qu'il était possible de le télécharger en format pdf avant connexion au portail. Quand j'en aurais l'occasion, je vais tenter de récupérer ce document en passant à proximité d'un TGV en gare.

Pour les curieux, voici une requête POST transmise lorsqu'on valide le portail captif, comme paramètres la référence dossier (les 6 lettres du billet) et le nom de famille. La réponse du serveur contient le token grantID et quelques données personnelles utilisées par l'interface (affichage du trajet, prénom, n° de voiture, numéro de siège, profil voyageur...)

Flo_77 · « **Réponse #5 le:** 29 novembre 2020 à 17:49:49 »

A noter que le cookie x-vsc-correlation-id est indiqué dans chaque requête et provient d'une requête antérieure, par exemple en consultant l'api https://wifi.sncf/router/api/train/details
(la valeur de ce cookie utilisé pour les autres requêtes d'API, est fourni en header dans la réponse du serveur, Set-Cookie: x-vsc-correlation-id= xxx; ). -> A tester si sa présence est nécessaire ou non.

Cette API https://wifi.sncf/router/api/train/details renvoie des infos sur la desserte, un tableau avec la liste des arrêts, dont la structure est présentée ci-dessous. ~~A noter que le champ code reprend les trigrammes des gares (champ "TVS") noté ici après un préfixe "FR".~~ Edit : Certains trigrammes, dont celui en exemple ne sont pas corrects

Une autre API m'a intéressé, https://wifi.sncf/router/api/train/gps, affichant la position gps et la vitesse du train, dans un tableau json.

mattmatt73 · « **Réponse #6 le:** 29 novembre 2020 à 20:20:28 »

Pour passer beaucoup de temps dans les tgv entre Lyon et Paris, j'ai vu des choses "bizarre"

Les services Google marchent bien plus lentement que le reste.
Un passage par un vpn et on récupère le débit normal.

La plupart des sites pour adultes fonctionnent, par contre les sites genre yggtorrent sont bloqués.

vivien · « **Réponse #7 le:** 29 novembre 2020 à 20:36:56 »

mattmatt73, je serais intéressé par savoir quels sont ces services et le navigateur web utilisé (en fonction de cela je pourrais savoir si c'est du trafic http/2 (donc des paquets TCP sur le port 443) ou du trafic http/3 (donc des paquets UDP sur le port 443).

Ne pas hésiter à réaliser une capture Wireshark (cf Réaliser une capture Wireshark pas à pas). Il arrive que des lenteurs ne soient pas liées au sites principale, mais à des scripts chargé par la page qui seraient bloqués.

J'ai déjà investigué sur des problèmes de lenteur de page web et en regardant en détail, c'était des appels secondaires de la page qui ralentissait, car il n'y avait pas de réponse sur les serveurs en question.

Citation de: Flo_77 le 29 novembre 2020 à 17:36:35

Pour les curieux, voici une requête POST transmise lorsqu'on valide le portail captif, comme paramètres la référence dossier (les 6 lettres du billet) et le nom de famille. La réponse du serveur contient le token grantID et quelques données personnelles utilisées par l'interface (affichage du trajet, prénom, n° de voiture, numéro de siège, profil voyageur...)

Il est possible de s’authentifier sans billet, en indiquant avoir un billet étranger (ce n'est pas mis en avant sur l'interface)

Le quotas de Go n'est pas affecté à un billet, mais à une adresse mac, cela se voit facilement en connectant son PC et son Smartphone: ils ont chacun leur propre quotas (en tout cas début 2019, cela a peut-être changé)

mattmatt73 · « **Réponse #8 le:** 29 novembre 2020 à 20:53:42 »

Citation de: vivien le 29 novembre 2020 à 20:36:56

mattmatt73, je serais intéressé par savoir quels sont ces services et le navigateur web utilisé (en fonction de cela je pourrais savoir si c'est du trafic http/2 (donc des paquets TCP sur le port 443) ou du trafic http/3 (donc des paquets UDP sur le port 443).

Ne pas hésiter à réaliser une capture Wireshark (cf Réaliser une capture Wireshark pas à pas). Il arrive que des lenteurs ne soient pas liées au sites principale, mais à des scripts chargé par la page qui seraient bloqués.

J'ai déjà investigué sur des problèmes de lenteur de page web et en regardant en détail, c'était des appels secondaires de la page qui ralentissait, car il n'y avait pas de réponse sur les serveurs en question.
Il est possible de s’authentifier sans billet, en indiquant avoir un billet étranger (ce n'est pas mis en avant sur l'interface)

Le quotas de Go n'est pas affecté à un billet, mais à une adresse mac, cela se voit facilement en connectant son PC et son Smartphone: ils ont chacun leur propre quotas (en tout cas début 2019, cela a peut-être changé)

Tu as des demandes faciles à répondre : j'utilise beaucoup Gmail et Google Drive sous firefox.

Un simple upload de pièces jointes sous Gmail est lent, voir en echec
Passage par un vpn, ça upload beaucoup plus vite, pas d'echec.

Pour les captures wireshark, je t'en ferais la prochaine fois.

vivien · « **Réponse #9 le:** 29 novembre 2020 à 21:46:36 »

Avec Firefox, ce sera du http/2, donc des flux TCP. Pas d'IPv6 dans le TGV (sauf si cela a changé) donc c'est de l'IPv4 chiffré en TLS 1.3

Pour savoir ce qui est lent, c'est uniquement l'upload ou le download est également touché ?

Merci pour l'info sur le blocage de YggTorrent. Je n'avais pas testé ce type de sites lors de mon dernier voyage en TGV débit 2019.
Si tu vois d'autres nom de domaines bloqués, je suis intéressé.

Un fournisseur d’accès à Internet doit se limiter au blocage ordonné par la justice, or comme ce site est accessible depuis mon accès SFR, soit SFR fait mal son travail (très peu probable) soit la SNCF bloque plus que demandé.

mattmatt73 · « **Réponse #10 le:** 29 novembre 2020 à 21:51:16 »

Citation de: vivien le 29 novembre 2020 à 21:46:36

Avec Firefox, ce sera du http/2, donc des flux TCP. Pas d'IPv6 dans le TGV (sauf si cela a changé) donc c'est de l'IPv4 chiffré en TLS 1.3

Pour savoir ce qui est lent, c'est uniquement l'upload ou le download est également touché ?

Merci pour l'info sur le blocage de YggTorrent. Je n'avais pas testé ce type de sites lors de mon dernier voyage en TGV débit 2019.
Si tu vois d'autres nom de domaines bloqués, je suis intéressé.

Un fournisseur d’accès à Internet doit se limiter au blocage ordonné par la justice, or comme ce site est accessible depuis mon accès SFR, soit SFR fait mal son travail (très peu probable) soit la SNCF bloque plus que demandé.

L'upload est vraiment lent
Le download, je dirais aussi mais c'est moins flagrant.

Tu aurais une liste de sites à tester ?

vivien · « **Réponse #11 le:** 29 novembre 2020 à 21:58:42 »

Non, je n'ai pas de liste et je ne connaissais même pas YggTorrent.

Si j'ai testé le Windows store, c'est que c'était indiqué dans les CGV.

Après ça les sites porno populaire, c'est un grand classique pour voir si il y a du blocage, car cela fait parti des premiers trucs à être bloqués quand il y a du blocage par DPI.

PDF du fichier des nouvelles CGV : (cliquez sur la miniature ci-dessous - le document est au format PDF)