Menu Fermer

Que savent les FAI de nous ? les risques sur la vie privée

Les fournisseurs d’accès internet (FAI) sont des sociétés privées qui vous permettent de vous connecter à internet.
Pour cela, ils fournissent une box internet puis puis lorsque vous vous connectez à un service internet comme Facebook, Netflix, Twitter ou un site internet, la connexion passe par le réseau du FAI pour ensuite sortir vers le service internet.

Que peut savoir un FAI de votre activité sur internet ? Quels sont les risques pour votre vie privée ?
Cet article répond à cette question en vous expliquant d’un point de vue technique, ce qu’un FAI peut savoir sur vous et vos échanges sur internet.

Que savent les FAI de nous ? les risques sur la vie privée

Que savent les FAI de nous ?

Les données de navigation WEB

Un FAI peut connaître les données de navigation :

  • Les sites et les pages visitées dans le cas d’un site non HTTP
  • Les domaines mais PAS les pages visitées dans le cas d’un site HTTPS

Cela inclut aussi les services internet qui utilisent le protocole HTTP (Hypertext Transfer Protocol).

Avec l’historique de navigation, on peut connaître des informations sensibles, comme les préférences politiques, l’orientation sexuelle, l’appartenance religieuse, l’emplacement géographique ou l’état de santé.

Le protocole HTTP (Hypertext Transfer Protocol) : versions et fonctionnement

DNS (Domain Name Server)

Par défaut, les routeurs et box internet utilise les serveurs DNS du fournisseur d’accès internet.
Pour rappel ces derniers permettent de faire la correspondance entre un nom d’hôte et adresse IP.
Cela permet donc de potentiellement connaître les adresses contactées par leur client.

Cela peut donc permettre de déterminer :

Peut déterminer:

  • Les sites visités par un utilisateur
  • Les appareils utilisés à la maison
  • Activités et interactions entre les appareils connectés
DNS et serveurs de noms : Comment cela fonctionne ?

IPFIX, Netflow et habitudes internautes

Le protocole IPFIX (IP Flow Information Export), dérivé de Netflow, est un protocole de supervision de réseau permettant de collecter les informations sur les flux IP ou Netflow.
Par exemple, le volume de trafic vers un hôte, service internet spécifique.
Cela peut être utilisé pour améliorer le service mais aussi détecter les attaques.

Cette cartographie du flux réseau peut aussi permettre d’identifier les habitudes et préférences utilisateurs qui peuvent être revendue.
Enfin il est noter que les données de Netflow sont revendues à des tiers.

Le pistage des internautes par NetFlow

DPI (Deed Packet Inspection)

Le Deep Packet Inspection (DPI) est une méthode avancée pour examiner, filtrer et gérer le trafic réseau.
Ce mécanisme évalue l’en-tête et la charge utile d’un paquet transmis par un point d’inspection.
Un FAI peut ainsi collecter des métadonnées comme l’adresse IP contactée, la date de connexion, etc.
Cela peut aussi indiquer les services internet utilisés (Netflix, Facebook, P2P, …).

Étant donné que DPI permet d’identifier l’initiateur ou le destinataire du contenu contenant des paquets spécifiques, il a suscité des inquiétudes parmi les défenseurs de la vie privée et les opposants à la neutralité du Net.

Qu'est-ce que le DPI (Deep Packet Inspection)

Les FAI sont aussi des fournisseurs mobiles et TV

Les fournisseurs d’accès diversifient leurs activités.
Ainsi certains proposent les services suivants :

  • Services de streaming de télévision et de vidéo
  • Services de courrier électronique
  • Produits domestiques et de sécurité (contrôle parental, etc)
  • Contenu de la télévision, de la vidéo et du film
  • Services mobiles
  • Service de cartographie
  • Moteurs de recherche
  • Services de conférence

Ainsi, les données collectées peuvent être les requêtes de recherche, les détails d’appel, les communications par e-mail, les informations d’achat et emplacement.
Avec votre smartphone, le FAI est capable de géolocaliser les utilisateurs mais aussi les interactions avec vos contacts déjà existant par le passé avec le service de messagerie.
Autre exemple, l’offre de services de streaming de télévision et de vidéos collecte des informations telles que le titre du programme ou du film consulté, type de contenu en streaming, durée de visualisation et de visualisation des heures de début et d’arrêt.

Dans les prochaines années, on peut imaginer dans l’ajout de services tels que :

  • Véhicules autonomes et la sécurité en voiture
  • Domotique ou IoT dans la maison avec les appareils connectés
  • Produits de réalité virtuelle, services cloud et assistants vocaux

Par exemple avec des véhicules autonomes, il peut aussi suivre les trajets du quotidien mais aussi le comportement du conducteur, ce qui peut intéresser les assurances.

Quels sont les risques pour la vie privée ?

Les FAI ont la capacité de combiner les informations personnelles tirées de leur statut de FAI
avec les informations personnelles obtenues de leur statut ou de leurs parents ou affiliés en tant que fournisseurs de courriels, Moteurs de recherche, marchés de commerce électronique et distributeurs de produits connectés.

En France, la commercialisation de ces données est interdite par la loi Française (Article L.34-1 VI) mais aussi au niveau Européen avec l’ePrivacy Regulation (ePR).
L’autre aspect a prendre en compte est l’utilisation de service tiers.
Par exemple le service ARBOR (américain) peut être utilisé pour sécuriser un réseau informatique et peut donc capter une partie des données.
Théoriquement, la société est soumise au Droit européen.

D’où d’ailleurs le bannissement d’équipement Chinois sur le sol français et européen.

Côté américain, la loi protège moins les internautes.
En 2014, la FTC a ouvert une enquête sur l’opérateur américain Verizon, qui utilisait des « supercookies » impossibles à supprimer. L’enquête s’était conclue en mars 2016 par un accord prévoyant une amende de 1,35 M$ et une modification des pratiques de Verizon, qui doit désormais obtenir le consentement de l’internaute et lui permettre de le retirer.
Cette affaire avait pesé dans l’adoption en octobre 2016, par le Congrès américain, de mesures de régulation proposées par la FCC, parmi lesquelles figurait l’obligation de consentement de l’internaute à la revente de ses
données par les opérateurs télécoms. Mais e n mars 2017, Donald Trump a signé le retrait de ces mesures.
Le dossier est désormais transféré à la Federal Trade Commission (FTC)

Et cela peut aller loin – Exemple d’un article du canard enchaîné :

Police des utérus avec les données numériques recceuillies

Le VPN une solution pour résoudre le problème de vie privée ?

Si vous ne savez pas ce qu’est un VPN, lire ce guide :

Avec un VPN, le FAI verra toujours 100% des données. Cependant, à part la connexion au fournisseur VPN, le FAI ne verra que des données chiffrées. Ils sauront que vous avez téléchargé 800 Go à partir du VPN, mais ne sauront rien des données à l’intérieur.
Mais le VPN lui aura ces données.

Ainsi, le VPN n’est pas une solution puisque vous reportez toutes la problématique de vie privée vers la solution VPN.
Ce dernier peut donc aussi obtenir les informations de navigation internet (site visités à minima) ou service internet consultés.
Avez vous plus confiance dans une société Française qu’une société au Panama risque ne pas respecter le RGPD ?
Enfin pensez que les VPN utilisent s’appuient sur des réseaux gérés par des tiers qui peuvent aussi ne pas respecter le RGPD.

Même si la plupart indiquent ne garder aucun log et journaux, il semble que beaucoup revendent les données de trafic (Netflow) à des tiers.

Qu'est-ce-qu'un VPN et comment ça marche ?

Tor peut éventuellement aider mais là aussi, il ne garantit pas du tout l’anonymat et la protection de la vie privée à 100%.