Pourquoi l’Internet mobile n’est PAS Internet ?
Par Benjamin Sonntag le lundi 22 mars 2010, 11:30 - NEUTRALITE DU NET - Lien permanent
Lorsque vous êtes connecté à Internet, l’équipement informatique que vous utilisez (ordinateur, téléphone) se voit attribuer par l’opérateur une adresse unique, l’adresse IP. Que vous soyez sur un vieux modem à 56K, une fibre optique grand public ou au sein d’un des grands centre de données mondiaux (les fameux datacenter), le rôle de cette adresse est le même : elle permet de vous joindre, et vous permet de joindre tout le reste d’Internet. Sur Internet, vous pouvez tout aussi bien être un serveur (sur lequel se connecte les autres) qu’un client (qui se connecte à d’autres), cela ne fait aucune différence. Les ordinateurs sont bien souvent à la fois client pour un usage, et serveur sur un autre, tout cela en même temps.
Le schéma ci-dessous fut longtemps la norme lorsque nous accédions à Internet : un serveur ou un ordinateur personnel, relié au réseau, dispose d’une adresse IP unique au monde, qui lui permet de dialoguer dans tous les sens avec tout autre périphérique connecté.
Internet s’est fondé sur un ensemble de normes, écrites collaborativement et regroupées sous forme de documents techniques, les RFC (Request For Comment). Ces normes sont librement utilisables par tous. Elles décrivent la majorité des protocoles utilisés sur Internet et leur respect est important pour la stabilité, la sécurité et la pérennité du réseau. Lorsqu’un logiciel ne respecte pas les RFC, les autres logiciels, éditeurs et opérateurs peuvent difficilement dialoguer avec lui. Leur utilisation n’est ni conseillée, ni garantie d’être pérenne ...
Depuis quelques années, nous avons la possibilité d’accéder à Internet via les réseaux téléphoniques mobiles. Utilisant la norme GSM, puis le GPRS, EDGE et maintenant la 3G, ces réseaux disposent désormais de débits, de couverture et de périphériques nous permettant d’en exploiter pleinement les possibilités. Toutefois, les choix techniques des opérateurs de téléphonies mobiles, plus habitués à restreindre les libertés de leurs clients qu’à leur ouvrir grand les portes, méritent d’être épluchés et, si besoin, dénoncés.
En effet. de nombreuses limitations, qu’elles soient contractuelles ou techniques, font que cet accès à Internet est tout sauf de l’Internet. On pourrait plutôt le rapprocher de la télévision ou du minitel, et voici pourquoi ...
Des restrictions contractuelles étonnantes ...
Tout d’abord, quelques restrictions purement contractuelles : lorsque vous prenez un forfait comprenant de l’"internet mobile", vous signez des clauses vous interdisant un bon nombre d’usages courant de l’Internet, décrit laconiquement par les contrats comme "Peer-to-peer, voip, streaming". Ces 3 termes, parfois accompagnés d’autres, représentent des concepts très vagues, et vous interdisent de nombreux logiciels, protocoles et usages courants aujourd’hui. Même si ces usages sont déjà actuellement de véritables moyens de communications, ils vous sont interdits !
Ainsi, la VOIP (Voice Over IP, le nom de la téléphonie utilisant Internet comme canal de communication) est interdite sur les téléphones mobiles. C’est une façon officielle d’interdire la concurrence sur les réseaux et faire garder aux opérateurs leur poule aux œufs d’or ! Si demain, la VOIP apporte de nouveaux services (comme le chat texte, la visioconférence ou d’autres services utiles), ne deviendrait-il pas totalement abusif de l’interdire sur les réseaux mobiles ?
Enfin, les termes "peer-to-peer" et "streaming" n’ont pas vraiment de sens, ne désignant pas un protocole en particulier, mais des usages au sens large. Ces termes n’apparaissent pas dans les normes de l’Internet, seul des usages les désignent. En d’autres termes, Orange vise à vous interdire de faire du partage de fichier ou du téléchargement afin d’économiser de sa bande passante. Cela signifie-t-il que, si demain de nouveaux système de partage de fichiers ou de téléchargement apparaissent, qui ne soient pas basés sur le "streaming" ou le "peer-to-peer", on pourra les utiliser sur les réseaux mobiles ? Je pense que cette idée déplairait fort aux opérateurs mobiles ...
Derrière un NAT et déjà plus vraiment sur Internet ...
Comme nous l’avons montré plus haut, lorsque l’on est connecté à Internet, nous disposons d’une adresse IP unique. Or, depuis quelques années, nous avons la possibilité de mettre plusieurs ordinateurs chez soi reliés au même accès à Internet à travers un routeur. Plus tard, les box des opérateurs sont devenues capables d’être routeur et vous permettent ainsi de brancher plusieurs périphériques sur votre accès unique à Internet. Les opérateurs auraient pu choisir de vous fournir, dans ce cas, plusieurs adresses IPs publiques, par périphérique par exemple, mais il était plus simple pour eux d’utiliser un truc technique, appelé NAT (pour Network Address Translation), qui fait que vous ne disposez pas vraiment d’une adresse IP sur Internet.
En fait, comme le montre le schéma ci-dessous, c’est votre routeur qui dispose d’une adresse IP publique, les machines situées à l’intérieur de votre réseau se verront attribuer des adresses IP dites "privées" ou "RFC1918", du nom de la norme réservant quelques blocs d’adresse IP aux usages privés.
L’utilisation de ce NAT ne change pas grand chose, en apparence, à votre accès à Internet : vous pouvez toujours accéder à tout contenu ou site habituel. Mais cela change profondément, en réalité, la nature même de votre accès : votre ordinateur, lui, ne peut plus être joint depuis le reste du réseau Internet, puisqu’il n’a plus d’adresse IP unique au monde ! Et en cela, on a franchi un premier pas vers une transformation d’Internet en ce désormais fameux Minitel 2.0, ou, plus simplement, une nouvelle télévision destinée aux "eyeballs" (de l’anglais "globes oculaires"), surnom donné aux internautes par les fournisseurs d’accès et de contenus (dont les internautes sont, rappelons-le, les clients ...)
Cette absence d’adresse IP joignable a pour première conséquence qu’un bon nombre de protocoles utilisés sur Internet ont dû s’adapter pour fonctionner derrière un NAT puisqu’ils ne sont pas prévus pour marcher dans ce cas ... On pense en premier lieu à FTP, couramment utilisé pour transférer des fichiers vers des sites web, ou, plus simplement, à la plupart des protocoles de partages de fichiers comme emule, bittorrent etc.
Pour tout de même répondre aux attentes de leurs clients, les FAI ont permis de rediriger des petits bouts de l’adresse IP (la vraie) vers votre PC. Il s’agit d’usage détournés des protocoles (uPNP, Port Forwarding), qui seraient inutiles si nous avions une véritable IP publique par périphérique ...
Du NAT généralisé en téléphonie mobile ...
Aujourd’hui, tous les opérateurs de téléphonie mobile sans exception ont fait le choix de ne pas donner d’adresse IP publique joignable par Internet aux téléphones de leurs clients : lorsque vous êtes connecté à Internet via votre téléphone, vous n’êtes pas joignable directement, vous êtes derrière un NAT. Vous pouvez uniquement "consommer des contenus", bref, faire l’"eyeball" ...
Les conséquences d’un tel choix sont nombreuses :
Tout d’abord, bon nombre de protocoles utilisés sur Internet sont très difficilement utilisables. Le FTP ou d’autres protocoles d’échanges de fichiers, ainsi que certains protocoles de notification d’évènements sont inutilisables sur les téléphones mobiles. Ainsi, du fait des ces limitations, certaines applications très utiles ne verront jamais le jour sur la téléphonie mobile !
Plus grave, comme plusieurs milliers de clients partagent la même adresse IP publique, celle-ci a donc pu subir les outrages de quelques clients malveillants et a, dès lors, une mauvaise réputation, tant et si bien qu’il est impossible d’envoyer du courrier électronique via cette adresse ! Ce qui est, pour le coup, extrêmement préjudiciable au service !
La preuve : Barracuda Networks, société bien connue qui gère entre autre une liste de réputations d’adresses IP, classe mon IP mobile comme "poor" (pauvre) donc susceptible de voir les mails envoyés via cette IP refusés à l’entrée un peu partout ! Et pour l’avoir déjà constaté plusieurs fois, c’est bel et bien le cas !
Rien de tel ne serait arrivé si vous aviez une adresse IP à vous pour votre périphérique mobile ...
Des routeurs qui n’en sont pas ...
Enfin, et pour ne citer que ce dernier argument, j’ai découvert récemment un comportement extrêmement suspect des équipements d’Orange. Sur Internet, un outil bien connu des administrateurs de réseau, nommé traceroute, permet de voir par quels équipements passe un paquet à destination d’un réseau donné. Un exemple de résultat d’un traceroute depuis un accès ADSL vers un autre ordinateur sur Internet ressemble habituellement à cela :
On voit qu’à chaque saut, on arrive sur un équipement de routage ayant une adresse IP publique différente, et si l’on fouille un peu, ces IPs appartiennent à différents opérateurs que l’on traverse sur le chemin menant d’une machine à une autre.
Dans "l’Internet par Orange", qui n’est, comme on l’a déjà vu, pas vraiment de l’Internet, le traceroute a une tête tout à fait suspecte :
Les adresses IPs en 10.x.y.z sont de ces fameuses IPs "RFC1918" utilisables dans les réseaux privés. Sachant que j’ai tracé la route vers le même serveur, je devrais, sur les derniers sauts, obtenir le même résultat. Or il n’en est rien.
On constate donc une chose, c’est que Orange a sauvagement bidouillé le protocole de l’Internet (dit protocole "IP") pour y rendre la cartographie du réseau impossible. L’absence totale d’intérêt de telles mesures et les problèmes importants que cela peut poser à certains de leurs utilisateurs (comme moi qui souhaite pouvoir surveiller mon réseau d’opérateur depuis un mobile) rendent ces choix techniques à la fois suspects et inquiétants... Par ce constat, je confirme donc qu’il y a Internet et Internet par Orange : plus vraiment Internet, et même plus du tout Internet...
Prospective ...
Après toutes ces constatations, on peut se demander comment réussir à revenir à un accès à Internet digne de ce nom avec une véritable IP publique ? Tout d’abord, espérons qu’avec l’arrivée d’IPv6 dans les prochaines années, les opérateurs nous proposeront une (ou plusieurs) IPv6 publique et accessible depuis Internet. Leur nombre est nettement suffisant pour le permettre (mais on peut rêver ...). Autre possibilité, plus contemporaine : utiliser un VPN, un réseau privé virtuel. Ces protocoles permettent habituellement d’accéder au réseau d’une entreprise depuis l’extérieur, mais il permet aussi, (à condition de trouver un prestataire pour cela) de faire l’inverse : accéder à une adresse IP publique, donc au véritable Internet, depuis un réseau privé et partiellement bridé. Cependant, ces retours à un Internet autonome sont malgré tout des bidouilles bien tristes.
Conclusion
Que conclure de tout cela : nous avons constaté qu’Internet par Orange (mais aussi par Bouygues ou SFR) n’est pas Internet, que les protocoles d’Internet s’adaptent à ce milieu hostile mais que les choix déficients des gros opérateurs déforment l’usage et freinent ou bloquent l’innovation dans les réseaux de communication.
Enfin, dans les débats actuels sur la neutralité d’Internet, doit-on espérer un jour voir venir une "appellation d’origine contrôlée" pour le terme "Internet", qui imposerait aux opérateurs de respecter les bases de ce qui a fait l’innovation dans le réseau : une adresse IP pour chaque client, une absence de filtrage par protocole (ou a minima la possibilité de désactiver un filtrage en place) ?
PS : pour ceux qui se demandent comment reconnaître une adresse IP privée, dite RFC1918, je vous invite à lire ladite RFC, qui est très courte : RFC1918. Plus simplement, toute adresse IP d’un de ces motifs est dite privée : 10.x.y.z, 172.16-31.x.y, 192.168.x.y.
Commentaires
J'aime bien l'idée d'appellation d'origine contrôlée ! J'irais même jusque proposer que le terme "Internet" ne puisse être utilisé que pour vendre un accès à un internet neutre avec un vrai adresse IP.
Et cette vérification pourrait être organisée tout comme les personnes qui vérifient les notions de publicité mensongère ...
A creuser !
Pour ce qui est de l'utilisation des NAT, je vois mal les opérateurs mobiles faire différemment. Si je comprends bien ce qu'ils font, c'est qu'ils mettent un NAT par antenne, sur lesquelles les mobiles se connectent, comme dans un réseau privé. Admettons.
Le NAT ne donne pas une IP dispo sur le net, mais en soit, créé un réseau privé connecté à l'Internet (après tout, n'est-ce pas ça, le net ? un réseau de réseaux privés connectés entre eux ?).
En réponse (de Benjamin B., je laisse le soin à Benjamin S. de répondre également si nécessaire): Internet, c'est un réseau de réseaux publics. Pas privés. C'est là une erreur de lecture très grave de ce qu'est le réseau...
Pour le reste, le coup de la modif des specs "officielles", je ne vois pas en quoi ça les avance, à part brider le réseau et empêcher par tous les moyens l'utilisateur d'avoir un peu mieux. Je comprend ça comme un refus d'assumer l'augmentation de trafic dûe à l'internet mobile (ça impliquerait d'augmenter les flux pour les antennes, ce qui couterait très cher, même si pas si cher que ça en rapport avec ce qu'ils gagnent, mais pour eux, j'imagine qu'il est hors de question de faire de tels investissement tant qu'ils peuvent prendre les clients pour des cons, avec la bénédiction des autorités officielles).
Bref : la clarification de cette situation n'interviendra (à mon avis) que quand les opérateurs mobiles seront obligé de faire les investissements correspondant à leur augmentation de trafic.
Merci pour ce billet. Il rejoint pleinement mon billet "Internet mobile by OpenVPN" qui se veut être moins technique mais expliquer la même chose.
http://souvenirfromlife.fr/blog/pos...
Très intéressant comme article mais je ne comprend pas bien pourquoi le fait d'être derrière un NAT nous oblige à n'être que consommateur? On peut à priori installer un serveur derrière une freebox?
PS : puis-je me permettre de suggérer l'emploi d'Inkscape ou de tout autre outil de dessin vectoriel pour les schémas qui sont un peu flous?
Mlle Ellute: Parce qu'a l'adresse IP publique d'une *box est attribué 65536 ports distribuables à un réseau domestique d'au plus quelques dizaines de postes.
Et tu "contrôle" le routeur NAT, qui est la box, chez toi.
@Mlle Ellute : en effet, comme je l'écris dans ce billet, le NAT peut être "bidouillé" pour faire entrer certains ports vers certaines machines, ce qui nous permet d'héberger des services. Donc derrière une freebox, tu peux contrôler tes ports entrant et être un serveur.
L'énorme différence d'avec l'internet mobile est que là on ne contrôle plus rien du NAT : on ne peut pas demander à avoir une IP à soi et un ou plusieurs ports entrants ...
@Louis : "C'est qu'ils mettent un NAT par antenne" : cela n'est pas possible : tu peux changer assez rapidement d'une antenne à l'autre, et garder pour autant ta connexion. Le GSM/EDGE/3G est nativement conçu pour le "roaming" à savoir le passage d'un relai à l'autre sans pour autant perdre la connexion. Orange centralise donc tout sur Paris ...
S'ils donnent cela comme raison, c'est non seulement de mauvaise foi, mais tout simplement un mensonge ;)
Pour faire court : par exemple mon PC relié au modem de mon téléphone portable permet de récupérer mes emails, surfer sur le web mais pas de faire de transfert FTP. :-(
C'est de l'arnaque...
Bonjour,
un article complet et bien écrit cependant je me pose une question dans ton chapitre "Des routeurs qui n'en sont pas" :
Tu fais un traceroute depuis ton bureau vers un serveur, en dehors la premiere ligne qui est une adresse privée "normale" actuellement, je ne comprend pas pourquoi la 3em ligne est aussi une adresse privée ?
Peux on m'expliquer l'architecture de chez orange dans le cadre d'un ADSL classique ?
Bonne journée.
@Gamoth : oui, le traceroute est extrêmement étrange. En gros j'ai l'impression que cela fonctionne ainsi, visiblement sur la seconde machine (celle en 10.66.3.18) :
Lorsqu'elle reçoit de l'extérieur une réponse ICMP "Time to live exceeded", elle substitue l'ip de l'émetteur par une IP RFC1918 plus ou moins au hasard (probablement dépendant de l'ip de l'expéditeur) ... Je ne vois aucun intérêt technique ni de sécurité à cela, si ce n'est de brouiller les cartes ou de faire de la "sécurité par l'obscurité" ce qui, je le rappelle, n'apporte en général aucune sécurité :)
Sans vouloir me faire l'avocat du diable ; j'ai été amené à pas mal utiliser du 3G Orange ces derniers temps (version abonnement "pro"), il me semble bien que dans ce cas le NAT n'est pas systématique... : je réussissais à pinger / et atteindre mon serveur web depuis l'extérieur... et mon ip était du type 90.x.y.z, laquelle, corrigez moi si je me trompe, n'est pas privée.
m'enfin j'ai peut-être rêvé.
chouette article en tout cas. j'en redemande :).
Je ne sais pas s'il faut en rire, mais cet accès à internet depuis mon téléphone mobile qui me permet de lire mes emails et surfer sur le web et accéder au portail des publicités et autres, finalement ne me permet même pas de faire du FTP quand je l'utilise en modem : les opérateurs appellent ça l' "Internet illimité" dans leurs publicités. Non seulement c'est limité par le débit mais en plus c'est limité dans les accès que je fais habituellement quand j'utilise mon PC. Quelle déception !
C'est de l'arnaque, c'est sûr.
"Sur Internet, vous pouvez tout aussi bien être un serveur (sur lequel se connecte les autres) qu’un client (qui se connecte à d’autres), cela ne fait aucune différence."
On pourrais prendre l'exemple des jeux vidéos où le programme serveur est généralement inclus dans le jeux de telle sorte que n'importe qui peut facilement contrôler son serveur avec ses propre règles - son propre univers, et c'est ce qui fait tout mon attrait pour. Pour moi un jeux vidéos limité en multijoueur est un mauvais jeux.
C'est trahir le présent et le futur.
On nous fait payer des abonnements internet a un prix de dingue qu'ob justifie par le cotât de téléchargement. Mais si on n'a le droit de ne télécharger que du texte a qui sont destinés les abonnements 70go si l'upload est bridé?
On veut des oreilles mais pas de langue, et que ce soit celui que ce soit ceux qui font le plus de bruit qui aient toujours raison.
Je me posait une question en fait en rapport avec les réseaux et le business mais pas franchement avec ce billet, mais je suis curieux et ça me plait bien d'espérer avoir des réponses directes de Mr Bayard ou de personnes aussi compétentes partageant ses reflexions... ^^
Est-ce que le déploiement de IPv6 serait pas retardé parce que des industriels ont trouvé un intérêt dans la rareté des adresses IPv4 ?
Merci pour ce billet très instructif aussi bien pour les technos que pour les béotiens...
C'est comme les yaourts, y'a les yaourts au coco et les yaourts saveur coco...
Ici c'est de la connexion saveur internet, si tu t'y connais, tu trouves ça pas bon, si t'y connais rien, tu fais pas la différence...
Reste a savoir combien de temps il a fallu pour réglementer les yaourts...
bonjour, instructif et je me demandais si quelqu'un aurait fait des recherches au sujet de certains opérateurs pour zones blanches, je pense spécialement à Alsatis.
Ayant utilisé une de ces connexions (c'est du wiimax depuis les châteaux d'eau), j'ai constaté que beaucoup de sites me connaissaient déjà. J'ai fouillé un peu, et trouvé que mon IP était de type 192.xxx, et qu'un ping sur une machine restée à la maison ne fonctionnait pas. Avec un ptit coup de whois et un relevé sur un forum, je me suis aperçu que c'est un cas identique : tous les terminaux reliés à un point d'accès wiimax ont des adresses Ip locales ! Et une seule adresse IP type Ipv4 ...
Et à propos d'ipv, j'espère également que le passage en IPV6 amènera un peu d'air dans ce brol' pas possible :)
une dernière chose : utilisateur de Nokia reconnu sous ubuntu par exemple pour un modem 3G, je peux l'utiliser avec des VPN privés (perso je suis sous Ipredator le VPN de thepiratebay). A ce moment, j'ai un vrai internet :)
bonne continuation.