Comment les FAI suivent votre activité en ligne

Ce que votre FAI peut voir

Trafic non chiffré (HTTP)

Lorsque vous visitez des sites Web via HTTP (et non HTTPS), votre FAI peut tout voir :

• URL complètes : Adresses Web complètes, y compris les paramètres de requête
• Page contenu : Tous les textes, images et données de la page
• Envois de formulaires : Identifiants de connexion, requêtes de recherche, informations personnelles
• Cookies : Jetons de session et données de suivi
• En-têtes : Navigateur type, système d'exploitation, informations de référence

Heureusement, plus de 95 % du trafic Web utilise désormais le cryptage HTTPS, ce qui limite considérablement la visibilité.

Trafic crypté (HTTPS)

Même avec le cryptage HTTPS, votre FAI voit toujours des informations substantielles :

• Noms de domaine (via DNS) : Quels sites Web vous visitez
• adresses IP : Serveurs spécifiques que vous se connecter à
• Métadonnées de connexion : Heure, durée, volume de données
• TModèles de trafic : Lorsque vous êtes en ligne, niveaux d'activité
• SNI (indication du nom du serveur) : Nom d'hôte dans la négociation TLS (sauf si vous utilisez ESNI/ECH)

Ce qu'ils ne peuvent pas voir avec HTTPS :

• URL de page spécifiques (uniquement le domaine)
• Contenu de la page ou données de formulaire
• Requêtes ou messages de recherche
• Cookies ou données de session

Requêtes DNS : l'angle mort de la confidentialité

Le DNS (Domain Name System) est historiquement non crypté, et c'est là que les FAI tirent l'essentiel de leur pouvoir de suivi :

• Chaque site Web visité : Navigation complète historique
• Tinformations de synchronisation : Lorsque vous avez accédé à chaque site
• Données de fréquence : À quelle fréquence visitez-vous des sites spécifiques
• Sous-domaines : Services spécifiques au sein des sites (mail.google.com, drive.google.com)

Par défaut, vos appareils utilisent les serveurs DNS de votre FAI et leur envoient un journal de chaque domaine que vous recherchez. Cela crée une carte complète de votre activité Internet.

Métadonnées de connexion

Au-delà du contenu, les FAI collectent de nombreuses métadonnées :

Metadata Type	Ce que voit le FAI	Confidentialité Impact
Temporel	Temps de connexion, durée, fréquence	Révèle les routines quotidiennes, l'horaire de sommeil
Volumétrique	Données téléchargées/téléchargées par connexion	Identifie le streaming et les transferts de fichiers volumineux
Géographique	Your adresse IP, emplacement	Suivi de localisation physique
Appareil	MAdresse MAC, signatures d'appareil	Empreinte digitale d'appareil, identification
Réseau	Protocoles utilisés, numéros de port	Identifie le P2P, l'utilisation du VPN et les services

TTechnologies de suivi utilisées par les FAI

Deep Packet Inspection (DPI)

La technologie DPI examine la partie données des paquets réseau en temps réel :

Capacités :

• Analyser le contenu des paquets au-delà des informations d'en-tête
• Identifier les protocoles et applications
• Détecter les types de fichiers en cours de transfert
• Classifier le trafic pour la gestion du réseau
• Filtrer le contenu en fonction de règles

Utilisations officielles :

• Optimisation du réseau et QoS (qualité de service)
• Malware et détection des menaces
• Application des droits d'auteur (avis DMCA)
• Gestion et limitation de la bande passante

Confidentialité préoccupations : 

• Crée des profils utilisateur détaillés
• Permet la censure basée sur le contenu
• Potentiel de surveillance de masse
• Peut être utilisé pour un avantage concurrentiel (limitation des concurrents)

HTTP Header Injection

Certains FAI modifient le trafic HTTP en injectant des en-têtes de suivi :

• En-têtes d'identification uniques (UIDH) : « Supercookies » qui ne peuvent pas être supprimés
• X-UIDH ou X-ACRAID : Suivi persistant des utilisateurs sur plusieurs sites Web
• Scandale UIDH de Verizon : Utilisateurs suivis pendant des années sans consentement

Ces en-têtes injectés permettent aux FAI et à leurs partenaires de suivre les utilisateurs même lorsque les cookies sont bloqués ou effacés.

Surveillance et journalisation DNS

Les FAI exécutent généralement des résolveurs DNS qui enregistrent toutes les requêtes :

• Thorodatage de chaque requête
• Adresse IP source (vous)
• Domaine demandé
• Type de requête (A, AAAA, MX, etc.)
• Résultat de la résolution

Cela crée une base de données consultable de chaque domaine auquel chaque client a accédé.

Collecte de données Flow (NetFlow/IPFIX)

Les protocoles de flux réseau regroupent les métadonnées de connexion :

• Adresses IP source et de destination
• Ports source et de destination
• Type de protocole (TCP, UDP, etc.)
• Nombre de paquets et d'octets
• Durée et synchronisation du flux

Bien que moins détaillées que le DPI, les données de flux révèlent néanmoins des informations importantes sur le comportement de l'utilisateur et peuvent identifier des modèles.

Pourquoi les FAI vous suivent

1. Génération de revenus

Publicité et ventes de données :

• Vendre des données de navigation anonymisées (ou anonymisées) aux annonceurs
• Créer des segments d'utilisateurs détaillés pour une publicité ciblée
• Partenaire des réseaux publicitaires pour le partage des revenus
• Offrir des services « gratuits » subventionnés par la collecte de données

Après l'abrogation de la règle américaine de confidentialité en 2017, les FAI ont obtenu l'autorisation explicite de monétiser les données des clients sans consentement volontaire.

2. Gestion du réseau

Le besoin opérationnel légitime :

• Allocation de bande passante et qualité de service (QoS)
• Identification et prévention des abus du réseau
• Planification de la capacité et investissement dans l'infrastructure
• Tdépannage problèmes de connexion

3. Conformité juridique

Mandats gouvernementaux :

• Lois sur la conservation des données (varie selon la juridiction)
• Lemandes et assignations à comparaître des forces de l'ordre
• Application du droit d'auteur (DMCA, etc.)
• Sécurité nationale lettres (NSL) dans l'US

4. Sécurité et prévention des abus

Mesures de protection :

• Métection des logiciels malveillants et des botnets
• Atténuation des attaques DDoS
• Filtrage anti-spam
• Site de phishing blocage

Lois mondiales sur la conservation des données

États-Unis

Aucune loi fédérale n'impose la conservation des données des FAI à des fins commerciales, mais :

• 18 USC § 2703(f) :  Nécessite la préservation des données à la demande des forces de l'ordre.
• Lois des États : Varient, certains États ont des protections de confidentialité plus strictes

Les FAI conservent généralement les données pendant 6 à 18 mois à des fins commerciales, même sans obligation légale.

Union européenne

Paysage complexe avec de solides protections de la vie privée :

• GDPR : Exigences strictes en matière de protection des données, consentement de l'utilisateur
• ePrivacy Directive : Règles spécifiques pour les fournisseurs de télécommunications
• Directive sur la conservation des données : Invalidée par la Cour de l'UE mais certains États membres appliquent encore des variantes
• Mois des États membres : Délais de conservation généralement de 6 à 24 mois

Autres juridictions

• Australie : Conservation obligatoire des métadonnées pendant 2 ans (Loi sur les télécommunications de 2015)
• Canada : Aucune conservation obligatoire, mais les forces de l'ordre peuvent demander la conservation
• UK : La loi sur les pouvoirs d'enquête (2016) exige une conservation de 12 mois
• Russie : Exigences étendues en matière de conservation des données et de surveillance en temps réel
• Chine : Conservation complète des données et Exigences d'accès gouvernementales

Cas de suivi des FAI dans le monde réel

Verizon UIDH "Supercookie" Scandale (2014-2016)

Verizon a injecté des en-têtes de suivi uniques dans le trafic client pendant deux ans avant d'être attrapé :

• Plus de 100 millions de clients concernés
• Ten-tête de suivi persistait même lorsque les utilisateurs effaçaient les cookies
• TDes sociétés tierces utilisaient des en-têtes pour le suivi intersites
• La FCC a infligé une amende à Verizon de 1,35 million de dollars (minimum par rapport aux revenus)
• Mécanisme de désinscription requis (non opt-in)

AT&T Programme de préférences Internet

AT&T a offert un accès Internet à prix réduit en échange du suivi :

• 29 $ de réduction par mois pour le consentement au suivi
• Historique de navigation collecté pour la publicité
• Fabriqué sans suivi option nettement plus chère
• Questions soulevées sur le consentement « volontaire » sous la pression économique

Scandale Phorm du FAI britannique (2006-2008)

• BT, Virgin Media, Talk Talk ont secrètement testé la publicité comportementale
• Communications clients interceptées sans consentement
• Profils détaillés créés pour la publicité ciblée
• Led à des enquêtes criminelles et à des procédures d'infraction de l'UE

Comment protéger votre vie privée contre le suivi des FAI

1. Utilisez un VPN (réseau privé virtuel)

Protection la plus efficace : crypte tout le trafic de votre appareil vers le serveur VPN :

Ce que les VPN cachent à votre FAI :

• Requêtes DNS (si le VPN utilise son propre DNS)
• Sites Web et services que vous accès
• Contenu de vos communications
• Vos modèles d'activité et votre timing

Ce que les VPN ne cachent pas :

• Que vous utilisez un VPN (évident des modèles de trafic)
• Quantité de données transférées
• Horaires et durée de connexion

Choisissez un VPN réputé avec une politique stricte de non-journalisation. VPN Master Pro offre une protection vérifiée sans journaux avec prévention des fuites DNS.

2. DNS crypté (DoH/DoT)

Empêcher le FAI de voir les requêtes DNS :

DNS sur HTTPS (DoH) :

• Crypte le DNS dans HTTPS
• Intégré dans Firefox, Chrome, Edge, Safari
• Fournisseurs : Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)

DNS sur TLS (DoT) :

• Chiffrement TLS dédié pour DNS
• Supporté nativement sur Android 9+
• Plus transparent pour la surveillance du réseau

Exemple de configuration (Firefox DoH) :

Paramètres → Confidentialité et sécurité → DNS sur HTTPS → Activer avec Cloudflare

3. HTTPS Everywhere

• Utilisez des extensions de navigateur qui appliquent HTTPS
• Les navigateurs modernes avertissent désormais des sites non HTTPS
• Empêche le FAI de voir le contenu des pages et les URL
• Seuls les noms de domaine restent visibles (via DNS et SNI)

4. Navigateur Tor

Anonymat maximal mais avec des compromis :

Avantages :

• Cryptage multicouche via un réseau bénévole
• Cache la destination d'ISP
• Anonymise votre identité

Inconvénients :

• Vitesse considérablement plus lente
• Certains sites bloquent les nœuds de sortie Tor
• Nécessite une utilisation prudente pour préserver l'anonymat

5. FAI axés sur la confidentialité

Certains FAI donnent la priorité à la confidentialité des clients :

• Sonic.net : FAI américain avec une forte position en matière de confidentialité
• Njalla : VPN axé sur la confidentialité et hébergement
• LFournisseurs locaux : Certains FAI régionaux ont de meilleures politiques de confidentialité que les principaux opérateurs

Lisez attentivement les politiques de confidentialité et choisissez les FAI qui s'engagent à collecter un minimum de données.

6. Protection au niveau du routeur

• Configurer le VPN au niveau du routeur (protège tous les appareils)
• Utiliser un DNS respectueux de la confidentialité au niveau du routeur (Cloudflare, Quad9)
• Implémenter des règles de pare-feu bloquant la télémétrie
• Utiliser un micrologiciel de routeur open source (DD-WRT, OpenWRT)

Foire aux questions

Conclusion

Le suivi des FAI représente l'une des formes de surveillance les plus répandues dans la vie numérique moderne. Contrairement aux cookies qui peuvent être bloqués ou aux historiques de recherche qui peuvent être effacés, le suivi au niveau du FAI s'effectue au niveau de l'infrastructure réseau, hors du contrôle des utilisateurs individuels sans mesures de confidentialité proactives.

L'étendue du suivi des FAI varie considérablement en fonction de :

• Juridiction : Lois et réglementations locales
• Politiques FAI : Engagement de l'entreprise en matière de confidentialité
• Adoption du cryptage : Quantité de trafic est HTTPS vs HTTP
• Mesures de protection des utilisateurs : VPN, DNS crypté, etc.

Bien que vous ne puissiez pas éliminer complètement la visibilité des FAI (ils verront toujours que les données circulent via leur réseau), vous pouvez réduire considérablement ce qu'ils peuvent apprendre sur vos activités grâce au cryptage, aux VPN et aux outils axés sur la confidentialité.

Les étapes les plus importantes :

1. Utilisez un VPN réputé pour toutes les activités sensibles
2. Activez le DNS crypté (DoH/DoT) sur tous les appareils
3. Vérifiez HTTPS sur tous les sites Web que vous visitez
4. Lisez la politique de confidentialité de votre FAI pour comprendre ce qu'il collecte
5. Restez informé de vos lois locales sur la confidentialité et des pratiques de votre FAI

La confidentialité ne consiste pas à avoir quelque chose à cacher, mais à contrôler qui a accès à des informations sur votre vie, vos pensées et vos activités. Votre FAI n'a pas besoin de savoir ce que vous faites en ligne.