There is always a man in the middle …

Ahhh, ce WE, c’est un vieux et long serpent de mer qui a fait pousser des cris d’orfraie, (la bestiole à gauche, à ne pas confondre avec un faucon) au bloggeur @bluetouff, comme Pierre Col l’appelle et le résume dans son billet.

Je pensais le sujet suffisamment connu, surtout en 2013, mais à lecture de ces interrogation, d’ailleurs légitimes, je pense utile de revenir sur quelques fondamentaux. Fondamentaux qui seront peut être utiles aux chantres des VPN venant de nulle part, à ceux qui pensent qu’il suffit de dire P2P pour être en « sécurité«  et aux apprentis sorciers qui à force de penser qu’ils sont les plus malins grâce au chiffrement, vont bien un jour, par la grâce d’une nouvelle loi en « i » nous projeter 20 ans en arrière, à l’époque où l’on pouvait casser une clé juste en la regardant.

Quel est le problème ?

@bluetouff l’a suffisament bien expliqué pour que je n’y revienne pas. Et oui, plus on place d’équipements dits « intelligents » dans un réseau, plus cela peut faire des choses stupides, voire dangereuses. On pensait pourtant avoir montré la voie, avec l’Internet : un réseau relativement simple au bénéfice des utilisateurs. Mais non. Il faut toujours qu’il y en ait pour revenir, comme un balancier, d’une philosopie « user centric » à une réalisation « network centric ».
Si l’on ne nous a pas entendu et compris, je pensais que l’on aurait admis que la puissance d’un Netflix, d’un Apple ou d’un Facebook tenait plus au logiciel et à la maitrise des extrémités que dans le contrôle du milieu.

En fait le problème est surtout que l’on a toujours de bonnes raisons d’écouter les marchands du temple, venu nous vendre LA solution ultime aux problèmes que nous pensons avoir ou qui nous sont fabriqués.
Avant la bande passante internationale coutait très cher. On nous proposait des systèmes de compression, qui avec l’augmentation des débits ont fini, comme les serveurs proxy, à poser plus de problème qu’ils n’étaient sensés en résoudre. Evidemment, ces vendeurs ont maintenant dû recycler leurs discours marketing quant il a fallu trouver d’autres terrains d’expérimentation, comme le mobile ou la collecte ADSL. Des environnements où l’on a réussi à si bien tout bouchonner, qu’il ne reste plus qu’à payer plus pour avoir le service souscrit dans des conditions d’expérience correctes.

Et là, les choses se compliquent. On pense qu’on a pas le choix, qu’il faut utiliser des solutions « miracles ». Un peu comme les mesures politiques concernant le numérique, on n’a ni évalué suffisamment les solutions alternatives, ni travaillé à de véritables tests en condition réelle, pour contrôler la promesse du vendeur AVANT L’ACHAT, puis AVANT LA MISE EN SERVICE et surtout ensuite : PENDANT TOUT LE TEMPS D’EXPLOITATION de ces solutions complexes. Ceci est l’un des moyens, avec le multi-sourcing, pour éviter une dépendance dommageable, aussi bien pour son compte de résultat, que pour son innovation. Ces technologies ne sont pas forcement mauvaises, une fois bien « controlées » et mieux connues. Mais généralement, elles présentent deux types de risques :

Risques endogènes

On n’installe généralement pas ce genre de solutions pour s’amuser. Il s’agit généralement de gagner en PERFORMANCE. La performance peut être une réduction du volume transmis (moyen), que l’on va plutôt exprimer sous la forme d’une utilité, d’un but : une amélioration des temps de réponse, de la SATISFACTION DE L’UTILISATEUR FINAL. Oui, j’ose : un opérateur travaille aussi pour assurer les meilleures performances possibles pour ces utilisateurs finaux. Ces équipements sont généralement outilés pour remonter tout un ensemble d’indicateurs, que je qualifierais d’obligation de moyen, d’indicateurs de QoS. (Quality of Service)
Ce sont des données de qualité intrinsèque. Il s’agit de l’équipement qui se regarde lui même et vous dit qu’il traite X paquets par secondes, que son taux de compression effectif est de X% par rapport aux objectifs fixés sur tel type de contenu ou de trafic, qu’il fait 43°C en son sein, que ses ventilateurs tournent à la vitesse de 1045 tours / minute … Bref, tout ceci c’est très bien, mais comme je l’explique souvent :

les sommes de qualité des équipements ne font pas LA qualité de la somme des équipements

En clair, le bon fonctionnement « intrinsèque » de ces plateformes « in the middle » ne garantit pas le bon fonctionnement de l’ensemble, c’est à dire du service rendu. Plus on rajoute ce genre de technologies, plus il est difficile d’appréhender un fonctionnement correct et plus il devient nécessaire d’établir des limites de responsabilités, « from edge to core », pour contrôler son risque opérationnel. Il est totalement inconscient de mettre en service ce type d’équipements, sans en surveiller, non pas seulement la qualité intrinsèque, mais aussi le but : leur fonctionnement et leur bon fonctionnement. C’est à dire,  trois choses essentielles :

1. Disponibilité : qu’ils fonctionnent et ne sont pas en panne. Il est toujours dommageable de l’apprendre par ses clients, qui sont parfois, par la faute de systèmes de supervision pas assez évolués, les seuls à vraiment se rendre compte d’un dysfonctionnement.
2. Performance : qu’ils accélèrent vraiment les flux, qu’ils n’introduisent pas une latence pire que ce qu’ils sont censés corriger et le mieux et de savoir si la réalité atteint la promesse du vendeur et le jeu en vaut la chandelle de l’investissement,
3. Intégrité : qu’ils ne dénaturent pas « de trop », voir pas du tout le service. Ici, vous me direz que pour un service de compression, le point est complexe. Mais il est possible à mesurer. Une chose est à vérifier déjà, c’est que ces systèmes ne commencent pas à faire et à raconter n’importe quoi … parce qu’ils auraient été piratés ou par la magie d’un effet de bord mal venu ou même d’un simple « bug », plus courant qu’on ne le pense.

Risques exogènes

D’un coté, il y a soit une volonté de se conformer … aux lois Françaises, en particulier celles concernant les durées de conservations de données, d’interception d’appels …
Mais dans l’affaire qui nous occupe, je pense plus assurément à de l’optimisation de traffic par de la compression plus ou moins bien contrôlée. Je peux même, sans trop me tromper préciser et rassurer les paranos. (Fabrice, si tu me lis. ;-)) Il ne doit pas s’agir d’un système d’écoute à la Ben Ali/Bashar, mais plus assurément d’un système de type Bytemobile. (racheté par Citrix)
Cela ne me semble pas être avec ces systèmes que je ferais ce que vous craignez … et quand bien même, on en a déjà parlé les amis. Avec les obligations qui pèsent de plus en plus sur les FAI d’un coté et les opérateurs de l’autre, que l’on force à devenir de plus en plus des « diffuseurs », il y a fort à parier qu’il y a déjà beaucoup de choses surprenantes en place un peu partout.

Et oui, quant on découvre ces équipements, dont on nous cache bien volontiers l’existence, il est logique que certains s’en inquiètent et crient « au loup ». C’est à dire qu’entre ceux qui ont fait n’importe quoi pour des raisons commerciales, jusqu’à ceux qui ont espionné leurs concitoyens, il y a de quoi faire.

Le plus grave problème dans tous ces sujets de « privacy« , c’est bel et bien l’image de marque de l’opérateur qui est atteinte, encore une fois et toujours plus profondéméent. On peut ne pas être d’accord, penser que les « clients » (potentiels ou réels) sont moutonniers, oublient vite. Il n’en reste pas moins que je pense qu’il demeure toujours des traces dans l’inconscient collectif. Traces qui peuvent se révéler redoutables au moment de la décision d’achat ou de renouvellement.

 

Maintenant la vraie question est : pour quel intérêt en fait ?

Et à bien y réfléchir, ces solutions de compressions sont-elles vraiment de bonnes idées ? Depuis qu’il a été répondu à cette question, le marché n’a t’il pas évolué ? les écrans de nos mobiles, de nos tablettes n’ont ils pas progressés à grand pas ? Si on veut vraiment gagner quelque chose, ne risque t’on pas de trop altérer la qualité de ce qui sera transmis à des portables dont le rendu visuel est sans commune mesure avec des appareils audio visuels d’il y a quelques années. Appareils que l’on traitait avec beaucoup plus d’égard et d’attention ?

Et oui, je pense que l’on se retrouve là typiquement dans l’idée Canada Dry. D’un coté une optimisation d’un rapport qualité / prix discutable. De l’autre, l’évolution des technologies, 3G, 3G+, 4G … et l’on en revient encore à la discussion de savoir s’il vaut mieux investir dans le contrôle ou la maitrise. En ce qui me concerne, le choix est fait depuis longtemps. Celui de Bill Saint Arnaud aussi, lorsqu’il a expliqué il y a plus de 15 ans qu’il avait supprimé toutes les techniques de contention et de « gestion de la QoS » sur le réseau académique Canadien CA*Net et réinvesti les économies dans un over provisionning qui a assuré une évolution sereine durant de nombreuses années. Il est vrai qu’il s’agissait de technologies fibres et non hertzienne me direz vous … certes. Mais le point n’en demeure pour le moins toujours d’actualité et il me semble que l’on devrait toujours se le poser. 

Et surtout …

Entre le moteur de recherche ou le moteur de comparaison de prix qui nous retournent les résultats qu’ils souhaitent, entre les resolvers que nous utilisons sans nous assurer qu’ils ne nous racontent pas n’importe quoi, entre des relais de messageries qui peuvent faire ce qu’ils veulent de nos courriers électroniques, entre des VPN offerts par ceux dont nous sommes censés nous protéger, plus que jamais l’heure et à l’EDUCATION aux risques, à la CONFIANCE, à la QUALITE et A LA MAITRISE des services que l’on assure. Tout cela nécessite un investissement, c’est certains. En le comprenant mieux, on n’en appréciera que plus les efforts que font nos fournisseurs et on pourra mieux en limiter parfois les risques.