Le vaste projet consistant à ouvrir les box Internet pour mieux mesurer la qualité des connexions sera bientôt mené à son terme. L’objectif ? Généraliser la « carte d’identité de l’accès » pour chaque internaute, pour mieux qualifier les spécificités de la ligne Internet, en mettant à jour les box des fournisseurs d’accès à Internet, c’est-à-dire Orange, SFR, Free Mobile et Bouygues Telecom.
Le régulateur des télécoms est parti du constat que des internautes sont sensibles à la possibilité de mesurer la qualité de service dont ils disposent à domicile et à l’extérieur quand ils utilisent leur smartphone ou leur tablette en 4G ou 5G. Or, il est difficile d’avoir une photographie pertinente de son accès à Internet, du fait des biais et facteurs externes pouvant entrer en ligne de compte.
D’où l’idée de proposer un cadre commun, avec une interface logicielle qui collectera les informations adéquates pour ensuite les faire remonter aux outils de mesure (qu’on appelle plus communément « speed tests »). Tout le monde sera concerné, mais pour éviter tout désagrément, des restrictions sont prévues pour éviter d’exposer des données.
Pourquoi établir une carte d’identité de l’accès à Internet ?
La mise en place de ce projet doit répondre à un enjeu : celui d’une mesure correcte et précise des liaisons filaires : « sur les réseaux fixes, la mesure de la qualité de service est particulièrement complexe : il est à ce jour quasi-impossible techniquement pour un outil de mesure de connaître avec certitude la technologie d’accès sur laquelle a été réalisé un test », regrette le régulateur.
Pour caractériser l’environnement de la mesure, c’est-à-dire dans quel contexte se fait le speed test, l’Arcep souhaite établir une « carte d’identité » de chaque accès, avec le type de technologie utilisé (fibre optique, câble, cuivre), la qualité du Wi-Fi ou encore le débit souscrit. De cette façon, l’évaluation s’en trouve fiabilisée. Ce plan entre dans le cadre de la régulation par la « data », chère au régulateur.
L’intérêt est direct pour l’internaute, car « ce manque de caractérisation de la mesure rend les données [des speed tests] difficilement exploitables, voire, dans certains cas, induit en erreur le consommateur », puisqu’il n’est pas possible « d’isoler des facteurs susceptibles de modifier fortement les résultats ». Mal éclairé, l’internaute est alors susceptible de faire de mauvais arbitrages.
Le gendarme des télécoms a fixé les spécifications techniques d’implémentation de l’interface de programmation (API). C’est elle qui se trouve au cœur du matériel pour proposer une évaluation fiable de la qualité de service. Elle propose une « carte d’identité de l’accès », incluant le type de ligne, la qualité du Wi-Fi ou bien le débit souscrit.
Comment fonctionne la carte d’identité de l’accès ?
Le fonctionnement général du mécanisme s’appuie sur une API installée dans la box de l’internaute, via une mise à jour poussée à distance. Lorsque la mesure est lancée par l’internaute, l’outil de speed test de son choix (à condition qu’il respecte le code de conduite établi par le gendarme des télécoms) envoie alors une requête à l’API qui se trouve dans sa box.
L’API collecte les spécifications techniques « qui caractérisent l’environnement de l’utilisateur lors du test de mesure de la qualité de service Internet », c’est-à-dire le type de la liaison (fibre optique, ADSL, VDSL, câble, satellite, 4G, 5G, etc.) et divers indicateurs. Ce travail se fait localement, puisque la plupart de ces informations se trouvent déjà dans la box.
Pour d’autres éléments, l’API doit contacter le système d’information de l’opérateur. C’est le cas pour le débit souscrit. Une fois tous les éléments en possession de l’API, tout est transmis ensuite à l’outil de mesure — qui peut être un logiciel à installer sur le PC ou le smartphone, un testeur web, une sonde matérielle ou un agent logiciel dans la box.
Quelle sécurité pour les échanges de données ?
Ces transmissions se déroulent avec du chiffrement. L’API écoute avec une liaison sécurisée HTTPS uniquement : elle ne répond pas sur une connexion HTTP sans couche de chiffrement TLS (dont la version minimale doit être la 1.2). En outre, le certificat TLS doit être constamment valide. Les requêtes provenant d’Internet ne sont pas écoutées ; seules celles provenant du réseau local le sont.
Parmi les autres mesures de sécurité qui sont attendues figure la capacité de l’opérateur à restreindre momentanément l’accès à l’API, en cas de révélation d’une faille de sécurité ou d’un bug majeur sur la box. Dans ce cas de figure, le fournisseur d’accès à Internet est tenu d’informer immédiatement l’Arcep de la situation et de sa progression dans la correction des éventuels problèmes.
Toujours dans un souci de limiter l’exposition à une attaque, l’Arcep a prévu un dispositif de restriction d’accès qui implique un jeton d’authentification dont la validité ne dure qu’un quart d’heure et un « partage de ressources entre origines multiples » (CORS). Chaque outil de mesure autorisé dispose d’un jeton OAuth 2.0 dédié et peut en demander un second pour effectuer des vérifications avant une mise en production.
Quelles box sont concernées par ce nouveau speed test ?
L’API sera obligatoire pour les opérateurs et les box dans les cas de figure suivants :
- Les opérateurs qui ont plus d’un million de clients ;
- Les box qui sont commercialisées après le 1er juillet 2008 ;
- Les box qui ont été construites à plus de 30 000 exemplaires ;
- Les box pour les technologies xDSL, câble, FTTH (fibre optique jusqu’au domicile) et 5G en accès fixe. Il s’agit donc des box haut et très haut débit.
L’Arcep « encourage » néanmoins tout le monde à implémenter ladite API, même si tel ou tel matériel n’entre pas dans le périmètre de la décision. L’invitation est aussi lancée aux fournisseurs d’accès à Internet alternatifs, dont la base clientèle est bien plus modeste que les quatre ténors du marché. L’Arcep rappelle à ce sujet que l’API dispose de spécifications techniques ouvertes.
La décision précise quand les box ne sont plus concernés par l’API. Cela couvre les modèles qui ne sont plus commercialisés depuis cinq ans. Il s’agit « de ne pas obliger l’opérateur à maintenir des mises à jour de la box uniquement pour l’API », ce qui aurait un coût. L’Arcep autorise la désactivation de l’API au bout de ces cinq ans, mais demande à en être informée trois mois avant.
Les box qui incluent l’API sont :
Bouygues Telecom
- Bbox Wi-Fi 6E FttH (Bbox F@st 5688b-v2) à partir de septembre 2022
- Bbox Wi-Fi 6 FttH (Bbox F@st 5688b)
- Bbox Wi-Fi 5 FttH / xDSL (Bbox F@st 5330b-r1)
- Bbox Wi-Fi 4 FttH / xDSL (Bbox F@st 5330b)
Free
- Freebox Pop FttH / xDSL (Wi-Fi 5)
- Freebox Delta FttH / xDSL (Wi-Fi 6E)
- Freebox Delta FttH / xDSL (Wi-Fi 5)
- Freebox One FttH / xDSL (Wi-Fi 5)
- Freebox mini 4K FttH / xDSL (Wi-Fi 5)
- Freebox Révolution Wi-Fi 5 FttH / xDSL
- Freebox Révolution Wi-Fi 4 FttH / xDSL
Orange
- Livebox v6 FttH (Wi-Fi 6E)
- Livebox v5 FttH (Wi-Fi 5)
- Livebox v4 FttH / xDSL (Wi-Fi 5)
SFR
- SFR Box 8X Wi-Fi 6 FttH XGS-Pon (NB8 XGSPON)
- SFR Box 8 Wi-Fi 6 FttH Gpon (NB8 FTTH)
- SFR Box 8 Wi-Fi 6 Docsis (NB8 Docsis)
- SFR Box 8 Wi-Fi 6 xDSL (NB8 xDSL)
- Box Plus de SFR ou « SFR Box 7 » Wi-Fi 5 FttH / xDSL (NB6VAC)
- Modem THD AC Wi-Fi 5 Docsis (F@st 3686)
- La Box THD 4K ou « La Box Fibre Zive » Wi-Fi 5 Docsis (La Box V3)
- La Box THD V2 ou « La Box by Numericable V2 » Wi-Fi 5 Docsis (La Box V2)
- Box Évolution VDSL ou « Neufbox 6V » Wi-Fi 4 FttH / xDSL (NB6V et NB6V2)
- Box Évolution ou « Neufbox 6 » Wi-Fi 4 FttH / ADSL (NB6)
Quel calendrier ?
Le chantier a démarré en 2018, dans une démarche dite de coconstruction, afin de profiter des retours d’expérience et des remarques de toutes les parties prenantes dans le secteur de la mesure de la qualité de service des réseaux fixes. Une consultation publique a été menée au printemps 2019 et, en octobre, le régulateur des télécoms a adopté la décision correspondante.
Les principaux FAI (Orange, SFR, Bouygues Telecom, Free) ont répondu, tout comme les opérateurs alternatifs, ainsi que les différents lobbies les représentant (FFDN, AOTA, FFT, DigitalEurope). L’Association française des utilisateurs de télécommunications a aussi contribué, tout comme le Cnes (pour la partie Internet par satellite) et EDF (dans le cadre de la gestion de réseaux d’énergie).
Celle-ci a été homologuée par le gouvernement le 16 janvier 2020.
La prochaine grande échéance se déroule en juillet 2022, où l’outil de mesure sera déployé dans la quasi-totalité des box (95 % du parc doit l’inclure et 100 % des box pour les nouveaux clients). L’implémentation et l’activation de l’API se font via une mise à jour de la box, un rappel physique étant inconcevable au regard de l’ampleur du parc français.
Quels outils de mesure ont accès à l’API ?
En juillet 2022, le régulateur des télécoms liste plusieurs outils de speed test qui se sont déclarés conformes à son code de conduite. Celui-ci exige des speed tests la protection des données personnelles, dans le cadre du RGPD, mais aussi de respecter des critères de transparence et de robustesse dans les domaines portant sur la mesure elle-même (latence, débits, navigation, streaming, etc.).
Les outils de speed test valides dans le fixe
- 5GMark, développé par QoSi (groupe Mozark) ;
- DébiTest 60 : le testeur de connexion de 60 Millions de consommateurs, développé par QoSi (groupe Mozark) ;
- IPv6-test : le test de qualité de service IPv4 et IPv6, développé par IPv6-test ;
- nPerf, développé par nPerf ;
- Speedtest UFC-Que Choisir, développé par UFC-Que Choisir ;
- Speedtest, développé par Ookla ;
- TestADSL.net, développé par SpeedChecker ;
Les outils de speed test valides dans le mobile
- 5GMark, développé par QoSi (groupe Mozark) ;
- DébiTest 60 : le testeur de connexion de 60 Millions de consommateurs, développé par QoSi (groupe Mozark) ;
- Gigalis : le testeur de connexion de la région des Pays de la Loire, développé par QoSi (groupe Mozark) ;
- KiCapte : le testeur de connexion du département d’Ille-et-Vilaine, développé par QoSi (groupe Mozark) ;
- nPerf, développé par nPerf ;
- QuelDébit : le testeur de connexion de l’association UFC-Que Choisir, développé par QoSi (groupe Mozark) ;
- Speedtest, développé par Ookla ;
- Tadurezo : le testeur de connexion de la région Bourgogne-Franche-Comté, développé par QoSi (groupe Mozark) ;
- Tu Captes ? : le testeur de connexion de la région Hauts-de-France et les Départements de l’Aisne, du Nord, de l’Oise, du Pas-de-Calais et de la Somme, développé par QoSi (groupe Mozark) ;
- La solution de crowdsourcing Tutela, développé par Tutela.
L’Arcep indique que l’API « ne répond pas aux requêtes provenant d’Internet ». Elle n’est « accessible [que] depuis le réseau local de l’utilisateur ». Sa conception prévoit par ailleurs un système de restriction d’accès « afin que seuls les outils autorisés puissent accéder à l’API ». D’autres speed tests peuvent accéder à la carte d’identité de la ligne, mais à condition de se conformer au code de conduite.
Quid des données personnelles ?
Sollicitée par l’Arcep, la Commission nationale de l’informatique et des libertés (CNIL) « a pu s’assurer que le dispositif répondait dans son principe aux exigences en matière de protection des données personnelles ». D’abord à travers un cadre juridique, puisque le code de conduite impose un strict respect du RGPD. Ensuite en prenant des dispositions techniques pour éviter la transmission de données.
Selon l’Arcep, aucune donnée portant sur l’identification de l’utilisateur (identifiant, nom, localisation etc.) ne sera transmise par l’API aux outils de mesure. Elles ne seront pas non plus transmises à l’Arcep. Les mesures de l’API ne seront pas non plus déclenchables en principe depuis Internet : c’est l’internaute qui aura la main, en activant lui-même le test de son choix.
Si aucune donnée personnelle n’est impliquée dans ce processus, d’autres informations, de nature technique, circuleront bien sûr jusqu’au speed test. La liste est détaillée dans la décision, mais on retrouve par exemple des informations sur la connexion LAN et WAN (débits montants et descendants, minimums et maximums, type de technologie, normes, bandes radio, etc.).
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !