J’entend dire en ce moment et depuis quelques temps déjà beaucoup de choses, pas toutes vrais sur ce que l’on appel le DPI, ou deep packet inspection. J’aimerais donc par ce modeste billet rétablir un peu les choses , afin d’aborder l’avenir avec lucidité et sérénité.
Le DPI, qu’est ce que c’est ?
Le DPI, acronyme de Deep Packets Inspection ( Pour « inspection des paquets en profondeur » ) , est un principe technique qui consiste à analyser le contenu entier d’un paquet réseau afin de le discriminer par rapport aux autres . Pour résumer simplement, on prend chaque paquet qui transite sur le réseau, et on va l’ouvrir pour regarder ce qu’il y a dedans. Si ce qu’il y a dedans nous plait, on va le laisser continuer sa route jusqu’a sa destination. Sinon, le paquet termine sa course. Concretement c’est comme si la poste ouvrait votre courrier et decidait de vous le delivrer uniquement si son contenu repond à certains critères ( le caractere légale ou illegale du contenu serait probablement le premier critère )
Le DPI est une chose démoniaque qu’il faut absoluement combattre.
Le DPI n’est en soi ni bon ni mauvais: Ce n’est qu’une solution technologique apres tout . Tout va dépendre, comme dans de nombreux cas,de la facon dont on va s’en servir. De la meme maniere que l’on peut utiliser un cutter pour découper des carrés de moquette , ou pour égorger des gens…Si il parait tout à fait légitime et meme necessaire de se battre pour que ce genre de systèmes ne servent pas à baffouer la vie privée des gens ni à les censurer, on peut néanmoins estimer que dans certains cas cette technologie peut s’averer utile, par exemple lorsqu’il s’agit de controle parental, pour proteger les enfants du contenu choquant qu’ils pourraient trouver sur le net. La difference est qu’ici nous ne nous trouvons pas dans une logique de censure ni d’infraction au droit à la vie privée, mais plus dans une logique de creer un service d’utilité publique, sous l’impulsion des parents ( qui decident ou non de l’utilisation du filtre, celui-ci n’etant jamais imposé au client )
Une solution applicable tout de suite ou dans un futur très proche.
Parmis toutes les anneries qui m’aient été donné de lire sur le DPI, c’est probalement la plus grosse. Les tenants d’une généralisation de la solution de DPI à tout le trafic internet, ainsi que certains alarmistes voudraient bien nous faire croire que c’est le cas …mais en fait il n’en n’est rien.
Admettons une première solution ou le filtrage serait centralisé en un unique point. Une sorte de plateforme ( sous l’autorite de l’Hadopi ?? 
) vers laquelle tout le trafic internet « francais » devrait cheminer pour être « passé aux rayons x », pour ensuite soit être directement rerouté vers sa destination finale, soit retourner dans le cœur de réseau du FAI d’ou provient le trafic.
Alors là permettez moi de vous le dire, on nage en plein delire !! Non content d’introduire une énorme singularité de panne ( autrement appelée « Single Point Of Failure »), cette plateforme devrait pouvoir analyser en temps réel plusieurs térabit de trafic par seconde ( pour l’audience non technique, 1 terabit = 1000 gigabit ). A titre de comparaison, AMS-IX ( Amsterdam) , qui est l’un des plus gros points d’échange mondiaux , gère environ 1 térabit de trafic par seconde en pointe et avec des équipement déjà très performants. Et là on ne parle même pas de filtrage..juste d’acheminer du trafic d’un bout à l’autre du point d’échange…le réseau bête et méchant que l’on connait ( et que l’on souhaiterait conserver aussi du coup ) . Mais c’est la que ça devient intéressant: Le traitement d’un paquet réseau suivant son contenu plutôt qu’uniquement sur ses entêtes , est 10 à 100 fois plus couteux en temps , suivant la profondeur d’analyse ( facteur 10 à 20 pour L4, facteur 100 pour L7 ). Donc, pour conserver un débit suffisant et ne pas provoquer de goulet d’étranglement sur cette plateforme, il faudrait deployer un réseau plusieures centaines de fois plus puissant que celui d’AMS-IX , et donc empiriquement, plusieures centaines de fois plus couteux !! Aussi je doute que quiconque, gouvernements comme FAIs, ne soit prêt à injecter une quantité si herculéenne de pognon pour une solution qui, ne serait peut-être même pas efficace ( IE chiffrement SSL )
Maintenant si on envisage une solution un peu plus raisonable ou chaque opérateur dispose de son propre dispositif de filtrage en coeur de réseau, on s’apercoit que ca ne tient guerre mieux la route. On se retrouve face à la meme problematique que précedement: la quantité demesurée d’equipements necessaires (et donc d’hommes pour la maintenance, de frais de locaux, d’électricité….) pour pouvoir filtrer sans provoquer de bottlenecks sur le réseau. Pour arriver a faire ce genre de chose il faudrait que chaque Opérateur augmente la puissance de traitement de son backbone d’un facteur d’environ 10 ( et les équiepents de traitement des couches 4-7 coutent extremement cher …à acheter seulement si l’on a pas peur d’y laisser ses couilles 
).
l’analyse de contenu est deja en production chez les FAI pour certains flux, on peut donc la generaliser.
Voici encore une belle betise répetée à tort et à travers. Meme si effectivement l’analyse de contenu est déjà en place pour certains services et dans des cas bien particuliers, nous ne sommes pas ici sur la meme échelle volumetrique, lorsque l’on parle de filtrer l’integralité du trafic !!
Pour moi il est donc clair que si l’inspection des paquets en profondeur est bel et bien le fantasme absolu de petits dictateurs et autres rapaces de l’industrie culturelle, nous ne sommes pas pret de le voir etre généralisé à l’ensemble du trafic Internet. Aussi m’est avis que si il est necessaire d’alerter l’opinion publique sur les dangers que representent le DPI, il est tout aussi contre-productif de faire paniquer les gens outre mesure, que de leur cacher la verité.
