le DPI, c’est quoi exactement ?

Ah

On entend et on  lit plein de chose en ce moment sur le Deep Packet Inspection (DPI).

Je voudrais apporter mon petit éclairage sur la question sans ajouter à l’imprécision ambiante.

C’est quoi ?

« le Deep packet inspection (DPI) est l’activité pour un équipement d’infrastructure de réseau d’analyser le contenu (au-delà de l’en-tête) d’un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. » (Wikipedia)

C’est quoi la différence entre DPI ET SPI ?

Dans le DPI, Il s’agit bien d’ouvrir le contenu des trames et paquets TCP/IP pour en regarder le contenu. Cette méthode est hautement intrusive.
Il ne s’agit pas de simplement regarder l’en-tête des paquets comme dans le cas du Stateful Packet Inspection.

Dans le cas du DPI, on peut voir le contenu exact de ce qui est pratiqué par un internaute. Dans le cas du SPI, on ne regarde que les « protocoles » utilisés par une application.

Aujourd’hui, qu’en est-il du DPI ?

Pour le moment, aucun FAI n’a déployé de DPI (en entreprise c’est une pratique plus courante mais si lourde qu’elle est peu employée).

Mais tout le monde dit que tel ou tel FAI fait du DPI sur son réseau pour bloquer certaine pratique ?

Bah oui mais non. Ce n’est pas du DPI.
Dans la plupart des cas, le FAI va faire de la priorisation de paquet (FREE avec son abo TV par exemple) et dans ce cas il s’agit de simple QOS.
Dans d’autre cas, le FAI pratique un filtrage de port ou de protocole. Dans le cas du filtrage de port,  le FAI va vérifier par quel port l’internaute va communiquer. Pour passer outre ces protections, il suffit de changer de port si l’application l’autorise. Dans le cas du filtrage de protocole, le changement de port n’aura aucun effet. Seul un encapsulage du protocole dans un autre pour changer la nature des trames permet de passer outre cette protection (par exemple un VPN).

Ca pourrait donner quoi le DPI ?

Si le DPI était déployé, il deviendrait beaucoup plus difficile d’échapper au filtrage du FAI. Soit celui-ci pratique le DPI white list, dans ce cas seules les trames autorisées peuvent circuler (et on peut toujours se glisser dans un VPN SSL). Soit celui-ci pratique le DPI Black List, dans ce cas seules les trames interdites sont filtrées.

Dans la plupart des cas de figure, l’emploi d’un VPN SSL permet de contourner le problème :
– port filtré … on pratique le SSL ou le VPN sur un autre port ou le VPN
– trame filtrée … le VPN SSL est normalement crypté … il suffit d’élever le chiffrement  à des     niveaux ou les machines des FAI ne pourront, à l’échelle d’un pays, plus scruter les trames.

DPI … pareil, un VPN SSL ne permet plus ou très difficilement le DPI à l’échelle d’un pays.

Dans les deux derniers cas, il n’y a pas d’impossibilité technique à casser le VPN SSL (tout dépend de son niveau) mais l’impossibilité deviendrait « pécuniaire ». Déployer autant de puissance de calcul pour « choper du leacher » ne serait pas viable économiquement.

Et puis le VPN n’existe pas que sous le format SSL. Le jeu du chat et de la souris en la matière tourne à l’avantage … de la souris !