Le régulateur des télécoms précise son plan de bataille pour fiabiliser les speed tests dans l'Internet fixe. Ce chantier pour améliorer la mesure des débits et l'identification technique de la connexion passe par la mise en place d’une API dans les box Internet.

Le projet du régulateur des télécoms d’ouvrir les box Internet des opérateurs pour mieux mesurer la qualité de chaque accès avance bien. Le 25 octobre, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) a annoncé l’adoption d’une décision qui permettra à l’internaute de connaître avec plus de précision les caractéristiques de sa ligne.

Ce projet remonte à 2018, lorsque l’ARCEP a lancé un chantier visant à régler les soucis liés à la mesure de la qualité de service des réseaux fixes. Une consultation publique a suivi en avril, pour collecter les remarques du secteur.

Les principaux FAI (Orange, SFR, Bouygues Telecom, Free) ont répondu, tout comme les opérateurs alternatifs, ainsi que les différents lobbies les représentant (FFDN, AOTA, FFT, DigitalEurope). L’Association française des utilisateurs de télécommunications a aussi contribué, tout comme le CNES (pour la partie Internet par satellite) et EDF (dans le cadre de la gestion de réseaux d’énergie).

opérateurs orange free mobile sfr bouygues telecom
Les quatre principaux FAI sont en première ligne. // Source : FrAndroid

Fort de ces retours, le gendarme des télécoms a donc pris une décision qui précise les spécifications techniques d’implémentation de l’interface de programmation (API). C’est elle qui se trouvera au cœur du matériel pour proposer une évaluation fiable de la qualité de service. Celle-ci proposera une « carte d’identité de l’accès », incluant le type de ligne, la qualité du Wi-Fi ou bien le débit souscrit.

La décision fixe également le calendrier de mise en place de cette API, les box et les FAI concernés par ce dispositif, ainsi que les paramètres techniques qui seront transmis aux outils de mesure (les fameux « speed tests », qui mesurent généralement votre débit effectif). Seuls ceux qui se soumettent au code de conduite de l’ARCEP pourront accéder à l’API et aux informations qu’elle délivre.

Pourquoi un tel projet ?

La mise en place de ce projet doit répondre à une problématique : celle d’une mesure correcte et précise des liaisons filaires : « Sur les réseaux fixes, la mesure de la qualité de service est particulièrement complexe : il est à ce jour quasi-impossible techniquement pour un outil de mesure de connaître avec certitude la technologie d’accès sur laquelle a été réalisé un test », regrette le régulateur.

internet Ethernet câble
Bien caractériser sa ligne fixe est un exercice moins évident qu’il n’y paraît. // Source : Slon Pics

Pour caractériser l’environnement de la mesure, c’est-à-dire dans quel contexte se fait le speed test, l’ARCEP souhaite établir une « carte d’identité » de chaque accès, avec le type de technologie utilisé (fibre optique, câble, cuivre), la qualité du Wi-Fi ou encore le débit souscrit. De cette façon, l’évaluation s’en trouve fiabilisée. Ce plan entre dans le cadre de la régulation par la « data », chère au régulateur.

L’intérêt est direct pour l’internaute, car « ce manque de caractérisation de la mesure rend les données [des speed tests] difficilement exploitables, voire, dans certains cas, induit en erreur le consommateur », puisqu’il n’est pas possible « d’isoler des facteurs susceptibles de modifier fortement les résultats ». Mal éclairé, l’internaute est alors susceptible de faire de mauvais arbitrages.

Comment ça fonctionne ?

Le fonctionnement général du mécanisme imaginé par l’ARCEP est le suivant. Une fois l’API installée dans la box de l’internaute, via une mise à jour poussée à distance, le test peut avoir lieu. Lorsque la mesure est lancée par l’internaute, l’outil de son choix (à condition qu’il respecte le code conduite établi par le gendarme des télécoms) envoie alors une requête à l’API qui se trouve dans sa box.

Le fonctionnement schématisé de l’API. // Source : ARCEP

L’API collecte alors les spécifications techniques « qui caractérisent l’environnement de l’utilisateur lors du test de mesure de la qualité de service Internet », c’est à dire le type de la liaison (fibre optique, ADSL, VDSL, câble, satellite, 4G, 5G, etc.) et divers autres indicateurs. Ce travail se fait localement, puisque la plupart de ces informations se trouve déjà dans la box.

Pour d’autres informations en revanche, l’API doit contacter le système d’information de l’opérateur. C’est notamment le cas pour le débit souscrit. Une fois tous les éléments en possession de l’API, tout est transmis ensuite à l’outil de mesure — qui peut être un logiciel à installer sur le terminal, un testeur web, une sonde matérielle ou un agent dans la box.

Quelle sécurité ?

Il est à noter que ces transmissions se déroulent de manière chiffrée. L’API écoute en HTTPS uniquement : elle ne répond pas sur une connexion HTTP sans couche de chiffrement TLS (dont la version minimale devra être la 1.2). En outre, le certificat TLS devra être constamment valide. Les requêtes provenant d’Internet ne sont pas écoutées ; seules celles provenant du réseau local le sont.

Pour circuler à l’extérieur, les informations sont chiffrées afin d’éviter toute interception. // Source : Claire Braikeh pour Numerama

Parmi les autres mesures de sécurité qui sont attendues figure la capacité de l’opérateur à restreindre momentanément l’accès à l’API, en cas de révélation d’une faille de sécurité ou d’un bug majeur sur la box. Dans ce cas de figure, le fournisseur d’accès à Internet est tenu d’informer immédiatement l’Arcep de la situation et de sa progression dans la correction des éventuels problèmes.

Par ailleurs, toujours dans un souci de limiter l’exposition à une attaque, l’ARCEP a prévu un dispositif de restriction d’accès qui implique un jeton d’authentification dont la validité ne dure qu’un quart d’heure et un « partage de ressources entre origines multiples » (CORS). Chaque outil de mesure autorisé dispose d’un jeton OAuth 2.0 dédié et peut en demander un second pour effectuer des vérifications avant une mise en production.

Quelles box ?

L’API sera obligatoire pour les opérateurs et les box dans les cas de figure suivants :

  • Les opérateurs qui ont plus d’un million de clients ;
  • Les box qui sont commercialisées après le 1er juillet 2008 ;
  • Les box qui ont été construites à plus de 30 000 exemplaires ;
  • Les box pour les technologies xDSL, câble, FTTH (fibre optique jusqu’au domicile) et 5G en accès fixe. Il s’agit donc des box haut et très haut débit.
La SFR Box 8 sera par exemple concernée. // Source : FrAndroid

L’ARCEP « encourage » néanmoins tout le monde à implémenter ladite API, même si tel ou tel matériel n’entre pas dans le périmètre de la décision. Idem pour les opérateurs, ce qui concernera avant tout les fournisseurs d’accès à Internet alternatifs, dont la base clientèle est bien plus modeste que les quatre ténors du marché. L’ARCEP rappelle à ce sujet que l’API dispose de spécifications techniques ouvertes.

La décision précise également les cas de figure où les box ne sont plus concernés par l’API. Cela concerne les modèles qui ne sont plus commercialisés depuis cinq ans. Il s’agit « de ne pas obliger l’opérateur à maintenir des mises à jour de la box uniquement pour l’API », ce qui aurait un coût. L’ARCEP autorise la désactivation de l’API au bout de ces cinq ans, mais demande simplement à en être informée au moins trois mois avant.

Quel calendrier ?

Concernant le déploiement de l’API, le régulateur des télécoms propose un calendrier qui se base sur la date de publication de la décision au Journal officiel — ce qui n’est pas encore le cas, dans la mesure où il lui faut encore l’homologation du secrétariat d’État chargé du numérique. Une fois cette étape juridique franchie, le rythme de déploiement est le suivant :

La Freebox Delta sera aussi concerné. // Source : Ulrich Rozier pour Numerama
  • 22 mois après la publication au Journal officiel, l’API devra être présente dans 5 % des box concernées par la décision.
  • 4 mois plus tard, il faudra qu’elle soit présente dans 40 % des box.
  • Encore 4 mois après, elle devra se trouver dans 95 % du parc. En outre, 100 % des box pour les nouveaux clients devront l’avoir.

L’ARCEP précise que la présence dans ces box inclut aussi l’activation de ladite API. Elle tolère par ailleurs une marge de 5 % de box sans API pour, explique-t-elle, « ne pas imposer aux opérateurs de remplacer le cas échéant la totalité des box qui ne pourraient plus être mises à jour à distance ». L’implémentation de l’API se fera en effet à travers une mise à jour de la box, un rappel physique étant inenvisageable.

Quels outils de mesure ont accès à l’API ?

En date du 25 octobre, le régulateur des télécoms note que cinq outils de test se sont déclarés conformes à son code de conduite. Celui-ci exige des speed tests la protection des données personnelles, dans le cadre du RGPD, mais aussi de respecter des critères de transparence et de robustesse dans les domaines portant sur la mesure elle-même (latence, débits, navigation, streaming, etc.).

Un exemple de speed test, qui évalue le débit d’une connexion à un instant T.

Les cinq outils sont les suivants :

L’ARCEP indique que l’API « ne répond pas aux requêtes provenant d’Internet ». Elle n’est « accessible [que] depuis le réseau local de l’utilisateur ». Sa conception prévoit par ailleurs un système de restriction d’accès « afin que seuls les outils autorisés puissent accéder à l’API ». D’autres speed tests pourront accéder à la carte d’identité de la ligne, mais à  condition de se conformer au code de conduite.

Quid des données personnelles ?

Sollicitée par l’ARCEP, la Commission nationale de l’informatique et des libertés (CNIL) « a pu s’assurer que le dispositif répondait dans son principe aux exigences en matière de protection des données personnelles ». D’abord à travers un cadre juridique, puisque le code de conduite impose un strict respect du RGPD. Ensuite en prenant des dispositions techniques pour éviter la transmission de données.

RGPD
Le RGPD doit notamment être respecté. // Source : Claire Braikeh pour Numerama

Selon l’ARCEP, aucune donnée portant sur l’identification de l’utilisateur (identifiant, nom, localisation etc.) ne sera transmise par l’API aux outils de mesure. Elles ne seront pas non plus transmises à l’ARCEP. Les mesures de l’API ne seront pas non plus déclenchables en principe depuis Internet : c’est l’internaute qui aura la main, en activant lui-même le test de son choix.

Si aucune donnée personnelle n’est impliquée dans ce processus, d’autres informations, de nature technique, circuleront bien sûr jusqu’au speed test. La liste est détaillée dans la décision, mais on retrouve par exemple des informations sur la connexion LAN et WAN (débits montants et descendants, minimums et maximums, type de technologie, normes, bandes radio, etc.).

Partager sur les réseaux sociaux