web-dev-qa-db-fra.com

Mon FAI utilise une inspection approfondie des paquets; que peuvent-ils observer?

J'ai découvert que mon FAI inspection approfondie des paquets . Peuvent-ils voir le contenu des connexions HTTPS? Le fait que HTTPS ne garantisse pas qu'ils ne peuvent pas voir le contenu transféré?

Et le fait d'avoir un VPN peut-il me protéger contre une inspection approfondie des paquets par les FAI?

117
cppanonhelp666

L'inspection approfondie des paquets, également connue sous le nom d'inspection complète des paquets, signifie simplement qu'ils analysent tout votre trafic au lieu de simplement récupérer des informations de connexion telles que les IP auxquelles vous vous connectez, quel numéro de port, quel protocole et éventuellement quelques autres détails sur la connexion réseau.

Ceci est normalement discuté contrairement à la collecte d'informations NetFlow qui recueille principalement les informations répertoriées ci-dessus.

L'inspection approfondie des paquets fournit à votre fournisseur de nombreuses informations sur vos connexions et vos habitudes d'utilisation d'Internet. Dans certains cas, le contenu complet d'éléments comme les e-mails SMTP sera capturé.

HTTPS crypte les connexions, mais votre navigateur doit effectuer des demandes DNS qui sont envoyées principalement via UDP afin que les données soient collectées, tout comme les liens non cryptés ou les cookies non cryptés envoyés incorrectement sans https. Ces bits supplémentaires qui seront collectés peuvent être très révélateurs du type de contenu que vous regardez.

La plus grande préoccupation de la plupart des gens concerne l'agrégation de données, en collectant ces informations, un data scientist pourrait créer une empreinte digitale pour votre utilisation d'Internet et l'associer plus tard à des activités passées ou à d'autres activités (lorsque vous êtes au travail ou sont en vacances). De même, votre fournisseur de services peut choisir de le vendre à un certain nombre d'organisations (y compris éventuellement des organisations criminelles) où il pourrait ensuite être utilisé contre vous de diverses manières. Dans de nombreux pays, les gens s'attendent à ce que leurs communications soient considérées comme privées et la collecte de ces données va beaucoup à l'encontre de cette attente en matière de confidentialité.

Un autre aspect intéressant de cela est dans les cas comme aux États-Unis où ces données peuvent bientôt être vendues, il permet également de vendre des communications internationales envoyées à des personnes ou à des serveurs aux États-Unis. De même, cela pourrait potentiellement permettre à chaque agence des forces de l'ordre locales, militaires, fiscales, d'immigration, politiques, etc. un moyen de contourner les lois de longue date qui les ont empêchés d'accéder à ce type d'informations, ou à d'importants sous-ensembles d'informations au sein de sinon ces données.

Une préoccupation légèrement différente lorsque ces données peuvent être vendues est l'intelligence économique/l'espionnage d'entreprise. Dans le scénario où une entreprise effectue beaucoup de travaux de recherche intensifs à son siège social situé dans une petite zone géographique (pensez à des produits pharmaceutiques ou à un entrepreneur de défense) vendant ces données, il est possible pour quiconque d'acheter tout le trafic du FAI local où la plupart de ces chercheurs vivent et analysent ce qu'ils recherchent chez eux, peut-être même directement du FAI hébergeant le trafic pour leur siège social. Si d'autres pays ne vendent pas de données similaires, cela donne aux entreprises étrangères et aux entreprises suffisamment sages pour essayer d'acheter ces données un énorme avantage technique. De même, cela permettrait également aux gouvernements étrangers d'acheter du trafic FAI qui comprend les données des foyers officiels américains (ou d'un autre gouvernement).

Imaginez des entreprises qui surveillent le comportement de leurs employés à la maison ou sur leurs appareils mobiles.

Cela aura probablement un effet dissuasif sur les militants et les dénonciateurs également.

De même, si les cartes de crédit ou les PII sont envoyées en clair vers un site distant mal sécurisé, l'ensemble de données de votre FAI a maintenant un problème réglementaire PCI ou PII à résoudre. Cela amplifie donc les problèmes de fuite de données de tous types en faisant des copies supplémentaires des données divulguées.

Avec les exemples que je viens de mentionner ci-dessus, et il y en a des centaines d'autres, il devrait être facile de comprendre pourquoi ce type de collecte de données a un niveau d'importance différent de celui des métadonnées ou des informations de connexion de base. Même si votre FAI ne vend jamais ces données, il recueille un ensemble de données assez intéressant.

C'est un problème de sécurité qui a certainement beaucoup d'implications de sécurité potentielles à long terme.

133
Trey Blalock

réponse de Trey Blalock décrit avec précision ce qu'est l'inspection approfondie des paquets (DPI). Mais j'aimerais ajouter trois choses pour, espérons-le, répondre à vos questions spécifiques:

  1. Il existe une technique de DPI qui le fait déchiffre vos données, appelée interception SSL, bien qu'elle soit plus courante dans les situations d'entreprise et uniquement possible si le FAI (ou tout autre intercepteur) a la capacité d'installer un certificat sur votre machine. Donc, à moins que le FAI n'ait un moyen de le faire (technicien, etc.), cela est probablement hors de propos.
  2. HTTPS empêcherait le FAI de pouvoir lire les données. Bien sûr, cela n'est vrai que pour les services qui utilisent HTTPS (qui malheureusement n'est pas tous). Vous devez également tenir compte du fait que le FAI peut lire les métadonnées, que la connexion soit chiffrée ou non.
  3. Un VPN vous protégerait contre les DPI effectués par le FAI (et non par le fournisseur VPN). Cela est dû au fait que les VPN utilisent un tunnel crypté pour vous connecter au "nœud de sortie". Cela crypte tout votre trafic et toutes les métadonnées montreront les paquets quittant votre ordinateur et allant vers le serveur VPN (ne révélant ainsi pas le serveur réel auquel vous accédez).
61
MiaoHatola

Comme indiqué par Trey, DPI peut voir l'intégralité du contenu de votre trafic réseau. Tout. Si c'est du texte brut, ils voient tout ce que vous faites.

Pour ajouter à la réponse de Miao:

Ce que DPI peut voir, même lorsque vous utilisez HTTPS:

  • Informations DNS, par exemple https://catvideos.com/tigers - ils verront https://catvideos.com
  • Connectivité d'adresse IP. Donc, même si vous vous HTTPS vers ce site avec des vidéos de chats, ils peuvent voir que vous vous êtes connecté à ce site de vidéos de chats et avez téléchargé 500 Go de données. Ils ne savent pas quelles données, mais ils connaissent le nom DNS, l'adresse IP et la quantité de données vers ce site et vers chaque site.
  • Les publicités. Beaucoup/la plupart des réseaux publicitaires n'utilisent pas HTTPS, de sorte que les données ne sont pas toujours cryptées. Cela peut entraîner un "chiffrement mixte" ou un avertissement similaire provenant d'un navigateur.
  • autres données: de nombreux sites utilisant HTTPS pour la connexion suppriment ensuite le cryptage pour tout le reste.
  • graphiques: de nombreux sites ne chiffrent pas des éléments comme leur logo ou divers fichiers graphiques ou vidéo. Ils peuvent crypter votre connexion et votre recherche, mais pas les résultats.
  • d'autres trafics non HTTPS comme UDP, mail, SNMP, ftp, telnet, les mises à jour de certains logiciels peuvent ne pas utiliser HTTPS, etc.

Avec un VPN, ils verront toujours 100% des données. Cependant, à part la connexion au fournisseur VPN, ils ne verront que les données cryptées. Ils sauront que vous avez téléchargé 800 Go sur VPNco.com, mais ne sauront rien des données à l'intérieur. Même les choses qui ne sont pas chiffrées via le protocole seront chiffrées puisqu'un niveau inférieur est en train de chiffrer. Maintenant, VPNco.com verra alors vos données.

Avec le changement (potentiel) de la loi américaine sur les FAI et la confidentialité des données, combiné avec la perte (potentielle) de neutralité du net, les FAI pourraient non seulement voir 100% de vos données, mais ils pourraient modifier ces données, ralentir ou bloquer des sites ils veulent, et pourraient être en mesure de vendre tout ou partie de vos données à un tiers (comme le dit Trey).

Je ne couvre pas le MITM (comme le déclare Miao au n ° 1 ci-dessus), puisque vous avez déclaré FAI, je suppose que vous parlez d'un système domestique et d'un modem DSL ou câble.

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

38
MikeP

Avec une inspection approfondie des paquets, le FAI peut détecter la plupart des protocoles VPN (pas les données chiffrées dans les paquets VPN, juste qu'il y a du trafic VPN) et les bloquer. Certaines entreprises le font pour s'assurer qu'elles peuvent décrypter tout le trafic (avec l'attaque MITM et les certificats falsifiés pour avoir également DPI sur SSL). L'idée est de vous forcer à utiliser des canaux de communication "non sécurisés" en empêchant tout le reste. Notez que ces canaux "non sécurisés" peuvent être plus sûrs, du point de vue de l'entreprise, car ils peuvent y faire de la prévention des fuites de données.

Dans un tel cas, des techniques VPN non standard, comme le tunneling HTTP, peuvent être une option.

Notez que les conditions d'utilisation peuvent interdire les mesures de contournement du DPI.

Edit: certains FAI utilisent DPI pour la mise en forme du trafic. Ils n'enregistrent pas toutes les données transmises, ils vérifient simplement (par exemple) le trafic BitTorrent et lui attribuent une priorité inférieure ou une bande passante limitée. Maintenant, ils ne volent pas votre mot de passe, juste la bande passante pour laquelle vous payez ....

1
Klaws

Si vous ne faites pas confiance à votre FAI, votre première priorité ne devrait pas être du tout l'inspection des paquets, mais plutôt d'établir un deuxième canal de communication de confiance pour lequel vous pouvez échanger des informations sur le contournement de ces choses.

Tant que vous comptez uniquement sur votre FAI comme seul canal pour tous les échanges d'informations, ils peuvent techniquement vous envoyer des informations de connexion erronées à votre VPN, même s'ils ne le font pas, ils pourraient toujours prendre en charge toutes les poignées de main de chiffrement tentées, car ils seront toujours en le milieu.

Ils pourraient avoir des personnes à leur emploi qui sont soudoyées pour le faire ou être tenues par la loi pour une raison quelconque.

0
mathreadler