Qu’est-ce que le DPI (Deep Packet Inspection)

Lorsque l’on s’intéresse à l’analyse réseau ou à la surveillance des internautes, on peut avoir entendu parlé du le DPI (Deep Packet Inspection) ?
Mais qu’est-ce que le DPI (Deep Packet Inspection) et à quoi sent-il ?

Dans ce tutoriel, je vous explique tout ce qu’il faut savoir sur cette technologie.

Qu’est-ce que le DPI (Deep Packet Inspection)

Le Deep Packet Inspection (DPI) est une méthode avancée pour examiner, filtrer et gérer le trafic réseau.
Ce mécanisme évalue l’en-tête et la charge utile d’un paquet transmis par un point d’inspection.
L’administrateur peut ensuite éliminer tout ce qui ne correspond pas à son ensemble de règles, comme la non-conformité à un protocole, un spam, des virus ou des intrusions.
Cela se fait à travers de règles définies.

Étant donné que DPI permet d’identifier l’initiateur ou le destinataire du contenu contenant des paquets spécifiques, il a suscité des inquiétudes parmi les défenseurs de la vie privée et les opposants à la neutralité du Net.

Quelles données peut-on collecter grace au DPI ?

De manière générale les systèmes DPI peuvent collecter toutes les données non chiffrées.

Voici les données qui peuvent être collectées et analysés par un système DPI :

• Résolutions DNS : L’en-tête DNS n’est pas chiffrée sauf dans le cas de DNSSEC, DNS Over TLS ou HTTPS (DoT et DoH) et DNSCrypt
• Le protocole réseau utilisé, ils savent que vous utilisez un VPN ou faites du P2P
• Connectivité d’adresse IP. Ainsi, même vous, vous https à ce site avec des vidéos de chat, ils peuvent voir que vous vous êtes connecté à ce site vidéo CAT et téléchargé 500 Go de données. Ils ne savent pas quelles données, mais ils connaissent le nom DNS, et l’adresse IP et la quantité de données sur ce site et sur chaque site.
• D’autres trafic non-HTTPS comme UDP, Mail, SNMP, FTP, Telnet, les mises à jour de certains logiciels peuvent ne pas utiliser HTTPS, etc.

Quelles sont les utilisations du DPI

Sécuriser le réseau et détecter les attaques

DPI est principalement utilisé par les pare-feu qui incluent une fonctionnalité de système de détection d’intrusion et par des IDS autonomes qui sont destinés à la fois à détecter les attaques et à protéger le réseau.
Par exemple, le DPI peut être utilisé pour détecter les attaques par saturation mémoire tampon (Buffer Overflow).
Ainsi, il peut être utilisé comme outil de sécurité réseau pour détecter et intercepter les virus, les vers, les logiciels espions et d’autres formes de trafic malveillant et de tentatives d’intrusion.

Lorsqu’il est déployé sous forme de pare-feu d’application Web (WAF), le moteur DPI permet de détecter les attaques de couche d’application hautement sophistiquées. Il s’agit notamment du code exécutable tel que des attaques d’injection SQL (SQLi) et des menaces persistantes avancées (APT), qui sont généralement obscurcies dans les demandes HTTP pour échapper aux méthodes de détection traditionnelles.

Gestion du réseau, flux de trafic et routage

L’inspection profonde des paquets est également utilisée par les gestionnaires de réseau pour aider à faciliter le flux du trafic réseau. C’est notamment le cas des fournisseurs d’accès internet (FAI).
Par exemple, si vous avez un message de grande priorité, vous pouvez utiliser une inspection profonde des paquets pour permettre aux informations de grande priorité de passer immédiatement, avant d’autres messages de priorité inférieure. Vous pouvez également hiérarchiser les paquets critiques, avant les paquets de navigation ordinaires. Si vous avez des problèmes avec les téléchargements P2P, vous pouvez utiliser l’inspection profonde des paquets pour limiter ou ralentir le taux de transfert de données.
Ainsi le FAI peut limiter certaines pratiques en bande passante comme le P2P, streaming pour ne pas ralentir complètement son réseau.

DPI peut également être utilisé pour améliorer les capacités des FAI afin d’éviter l’exploitation des dispositifs IoT dans les attaques DDOS en bloquant les demandes malveillantes des appareils.

Surveillance de masse sur internet (boite noires)

La technologie DPI permet la collecte massive de données, ce qui peut faciliter la surveillance de masse.
C’est une des solutions technologiques utilisées par le renseignements pour surveiller le média internet.

Par exemple, en France, depuis 2015, la loi prévoit qu’un algorithme examine des métadonnées (horaire, origine, destination d’un message, mais pas son contenu), puisées sur les réseaux de communication pour les trier
Il était aussi question de collecter les URL de connexion.

En plaçant des boîtes noires sur les FAI et services internet, on peut mettre en place une surveillance automatisée d’internet.
L’utilisation du DPI est alors impératif pour obtenir des informations sur les paquets qui transitent sur le réseau.

Pister les internautes (publicités)

De la même manière, un FAI peut l’utiliser pour pister les internautes et connaître ses habitudes à des fins publicitaires et marketing.
En faisant correspondre le comportement en ligne d’un utilisateur sur son réseau domestique (DSL ou autre) avec son comportement d’utilisation de l’Internet 4G, les opérateurs de la technologie DPI pourront identifier les habitudes d’un utilisateur, des emplacements fréquemment visités et d’autres modèles sensibles.
Ces données soulèvent des préoccupations, car le FAI pourrait vendre les données à des tiers ou simplement les donner aux agences gouvernementales. Les gens ont une attente raisonnable que leurs communications sont privées et que la collecte de ces données viole que cette attente.

Censures sur internet

Les solutions de censures du média d’internet peut s’appuyer sur le DPI.
L’Etat est alors capable de surveiller et contrôler le trafic réseau du pays. Cela les aide à bloquer les sites Web indésirables tels que la pornographie, les plateformes de médias sociaux et l’opposition religieuse ou politique.

On peut aussi l’utiliser à des fins d’écoute des opposants, par exemple, pour savoir que des personnes utilisent une messageries chiffrées tel que Telegram ou Signal.