Le régulateur des télécoms entend fiabiliser les tests de débit, ou speed tests. Pour cela, il est prévu d'ouvrir les box Internet des FAI, via la mise en place d'une sorte de sonde. Avec elle, la mesure des débits et la caractérisation technique de la connexion seront plus précises.

D’ici un peu plus de deux ans, l’ouverture des box Internet pour mieux mesurer la qualité des connexions aura été menée à son terme. C’est en effet lors de ces deux prochaines années que sera généralisée la « carte d’identité de l’accès » pour chaque internaute, grâce à la mise à jour des box des fournisseurs d’accès à Internet, comme Orange, SFR, Free Mobile et Bouygues Telecom.

Le régulateur des télécoms est parti notamment du constat que des internautes étaient sensibles à la possibilité de mesurer la qualité de service dont ils disposent à domicile, et à l’extérieur en utilisant leur smartphone ou leur tablette avec la 4G. Or, il est très difficile d’avoir une photographie pertinente de son accès à Internet, du fait de très nombreux biais et facteurs pouvant entrer en ligne de compte.

D’où l’idée de proposer un cadre commun, avec une interface logicielle qui collectera les informations adéquates pour ensuite les faire remonter aux outils de mesure (qu’on appelle plus communément « speed tests »). Tout le monde sera donc concerné, mais pour éviter tout désagrément, des restrictions sont prévues pour éviter d’exposer des données.

Pourquoi établir une carte d’identité de l’accès à Internet ?

La mise en place de ce projet doit répondre à une problématique : celle d’une mesure correcte et précise des liaisons filaires : « Sur les réseaux fixes, la mesure de la qualité de service est particulièrement complexe : il est à ce jour quasi-impossible techniquement pour un outil de mesure de connaître avec certitude la technologie d’accès sur laquelle a été réalisé un test », regrette le régulateur.

Pour caractériser l’environnement de la mesure, c’est-à-dire dans quel contexte se fait le speed test, l’ARCEP souhaite établir une « carte d’identité » de chaque accès, avec le type de technologie utilisé (fibre optique, câble, cuivre), la qualité du Wi-Fi ou encore le débit souscrit. De cette façon, l’évaluation s’en trouve fiabilisée. Ce plan entre dans le cadre de la régulation par la « data », chère au régulateur.

Caractiver environnement internaute
Bien mesurer un accès à Internet, c’est aussi caractériser avec justesse son environnement, qui peut avoir une incidence sur la connexion. // Source : Arcep

L’intérêt est direct pour l’internaute, car « ce manque de caractérisation de la mesure rend les données [des speed tests] difficilement exploitables, voire, dans certains cas, induit en erreur le consommateur », puisqu’il n’est pas possible « d’isoler des facteurs susceptibles de modifier fortement les résultats ». Mal éclairé, l’internaute est alors susceptible de faire de mauvais arbitrages.

Le gendarme des télécoms a pris une décision qui précise les spécifications techniques d’implémentation de l’interface de programmation (API). C’est elle qui se trouvera au cœur du matériel pour proposer une évaluation fiable de la qualité de service. Celle-ci proposera une « carte d’identité de l’accès », incluant le type de ligne, la qualité du Wi-Fi ou bien le débit souscrit.

Comment ça fonctionne ?

Le fonctionnement général du mécanisme imaginé par l’ARCEP est le suivant. Une fois l’API installée dans la box de l’internaute, via une mise à jour poussée à distance, le test peut avoir lieu. Lorsque la mesure est lancée par l’internaute, l’outil de son choix (à condition qu’il respecte le code conduite établi par le gendarme des télécoms) envoie alors une requête à l’API qui se trouve dans sa box.

API carte identité internet
Le principe schématisé du fonctionnement de l’API pour dresser une carte d’identité de l’accès à Internet. // Source : Arcep

L’API collecte alors les spécifications techniques « qui caractérisent l’environnement de l’utilisateur lors du test de mesure de la qualité de service Internet », c’est à dire le type de la liaison (fibre optique, ADSL, VDSL, câble, satellite, 4G, 5G, etc.) et divers autres indicateurs. Ce travail se fait localement, puisque la plupart de ces informations se trouve déjà dans la box.

Pour d’autres informations en revanche, l’API doit contacter le système d’information de l’opérateur. C’est notamment le cas pour le débit souscrit. Une fois tous les éléments en possession de l’API, tout est transmis ensuite à l’outil de mesure — qui peut être un logiciel à installer sur le terminal, un testeur web, une sonde matérielle ou un agent dans la box.

Quelle sécurité ?

Il est à noter que ces transmissions se déroulent de manière chiffrée. L’API écoute en HTTPS uniquement : elle ne répond pas sur une connexion HTTP sans couche de chiffrement TLS (dont la version minimale devra être la 1.2). En outre, le certificat TLS devra être constamment valide. Les requêtes provenant d’Internet ne sont pas écoutées ; seules celles provenant du réseau local le sont.

Parmi les autres mesures de sécurité qui sont attendues figure la capacité de l’opérateur à restreindre momentanément l’accès à l’API, en cas de révélation d’une faille de sécurité ou d’un bug majeur sur la box. Dans ce cas de figure, le fournisseur d’accès à Internet est tenu d’informer immédiatement l’Arcep de la situation et de sa progression dans la correction des éventuels problèmes.

Par ailleurs, toujours dans un souci de limiter l’exposition à une attaque, l’ARCEP a prévu un dispositif de restriction d’accès qui implique un jeton d’authentification dont la validité ne dure qu’un quart d’heure et un « partage de ressources entre origines multiples » (CORS). Chaque outil de mesure autorisé dispose d’un jeton OAuth 2.0 dédié et peut en demander un second pour effectuer des vérifications avant une mise en production.

Quelles box ?

L’API sera obligatoire pour les opérateurs et les box dans les cas de figure suivants :

  • Les opérateurs qui ont plus d’un million de clients ;
  • Les box qui sont commercialisées après le 1er juillet 2008 ;
  • Les box qui ont été construites à plus de 30 000 exemplaires ;
  • Les box pour les technologies xDSL, câble, FTTH (fibre optique jusqu’au domicile) et 5G en accès fixe. Il s’agit donc des box haut et très haut débit.
La SFR Box 8 sera par exemple concernée. // Source : FrAndroid

L’ARCEP « encourage » néanmoins tout le monde à implémenter ladite API, même si tel ou tel matériel n’entre pas dans le périmètre de la décision. Idem pour les opérateurs, ce qui concernera avant tout les fournisseurs d’accès à Internet alternatifs, dont la base clientèle est bien plus modeste que les quatre ténors du marché. L’ARCEP rappelle à ce sujet que l’API dispose de spécifications techniques ouvertes.

La décision précise également les cas de figure où les box ne sont plus concernés par l’API. Cela concerne les modèles qui ne sont plus commercialisés depuis cinq ans. Il s’agit « de ne pas obliger l’opérateur à maintenir des mises à jour de la box uniquement pour l’API », ce qui aurait un coût. L’ARCEP autorise la désactivation de l’API au bout de ces cinq ans, mais demande simplement à en être informée au moins trois mois avant.

Quel calendrier ?

Le chantier a démarré en 2018, dans une démarche dite de coconstruction, afin de profiter des retours d’expérience et des remarques de toutes les parties prenantes dans la secteur de la mesure de la qualité de service des réseaux fixes. Une consultation publique a été menée au printemps 2019 et, en octobre, le régulateur des télécoms a adopté la décision correspondante.

Les principaux FAI (Orange, SFR, Bouygues Telecom, Free) ont répondu, tout comme les opérateurs alternatifs, ainsi que les différents lobbies les représentant (FFDN, AOTA, FFT, DigitalEurope). L’Association française des utilisateurs de télécommunications a aussi contribué, tout comme le CNES (pour la partie Internet par satellite) et EDF (dans le cadre de la gestion de réseaux d’énergie).

Celle-ci a été homologuée par le gouvernement le 16 janvier 2020.

Désormais, les prochaines échéances sont les suivantes :

  • 17 janvier 2021 : démonstration auprès de l’Arcep d’une box de développement avec l’API implémentée ;
  • 17 novembre 2021 : l’API doit être implémentée et activée dans 5 % des box du parc concerné ;
  • 17 mars 2022 : l’API doit désormais concerner 40 % du parc :
  • 17 juillet 2022 : 95 % du parc doit l’inclure et 100 % des box pour les nouveaux clients.

Le rythme de déploiement tient compte d’une marge de l’ordre de 5 % pour les opérateurs, de façon à «  ne pas imposer aux opérateurs de remplacer le cas échéant la totalité des box qui ne pourraient plus être mises à jour à distance ». L’implémentation et l’activation de l’API se fera via une mise à jour de la box, un rappel physique étant inconcevable au regard de l’ampleur du parc français.

Quels outils de mesure ont accès à l’API ?

En date du 25 octobre, le régulateur des télécoms note que cinq outils de test se sont déclarés conformes à son code de conduite. Celui-ci exige des speed tests la protection des données personnelles, dans le cadre du RGPD, mais aussi de respecter des critères de transparence et de robustesse dans les domaines portant sur la mesure elle-même (latence, débits, navigation, streaming, etc.).

Un exemple de speed test, qui évalue le débit d’une connexion à un instant T.

Les cinq outils sont les suivants :

L’ARCEP indique que l’API « ne répond pas aux requêtes provenant d’Internet ». Elle n’est « accessible [que] depuis le réseau local de l’utilisateur ». Sa conception prévoit par ailleurs un système de restriction d’accès « afin que seuls les outils autorisés puissent accéder à l’API ». D’autres speed tests pourront accéder à la carte d’identité de la ligne, mais à  condition de se conformer au code de conduite.

Quid des données personnelles ?

Sollicitée par l’ARCEP, la Commission nationale de l’informatique et des libertés (CNIL) « a pu s’assurer que le dispositif répondait dans son principe aux exigences en matière de protection des données personnelles ». D’abord à travers un cadre juridique, puisque le code de conduite impose un strict respect du RGPD. Ensuite en prenant des dispositions techniques pour éviter la transmission de données.

Selon l’ARCEP, aucune donnée portant sur l’identification de l’utilisateur (identifiant, nom, localisation etc.) ne sera transmise par l’API aux outils de mesure. Elles ne seront pas non plus transmises à l’ARCEP. Les mesures de l’API ne seront pas non plus déclenchables en principe depuis Internet : c’est l’internaute qui aura la main, en activant lui-même le test de son choix.

Si aucune donnée personnelle n’est impliquée dans ce processus, d’autres informations, de nature technique, circuleront bien sûr jusqu’au speed test. La liste est détaillée dans la décision, mais on retrouve par exemple des informations sur la connexion LAN et WAN (débits montants et descendants, minimums et maximums, type de technologie, normes, bandes radio, etc.).

Article publié initialement le 29 octobre 2019

Partager sur les réseaux sociaux