# Comment les opérateurs surveillent le trafic international : Aspects techniques des limites et du blocage des VPN
Les opérateurs mobiles russes se préparent à introduire des limites sur le trafic international et à renforcer le blocage des VPN. Nous décomposons la manière dont ces mesures sont mises en œuvre techniquement et les conséquences qu'elles pourraient avoir pour les utilisateurs et les entreprises.
Ce que le fournisseur voit dans le trafic chiffré
Les normes de chiffrement modernes comme TLS 1.3 et HTTPS rendent le contenu du trafic inaccessible aux opérateurs pour analyse. Lors de l'utilisation de HTTPS, le fournisseur ne journalise que l'adresse IP du serveur, le port de connexion, le volume de données transférées et la durée de la session. L'extension SNI (Server Name Indication) dans la poignée de main TLS révèle le nom de domaine du serveur cible, mais pas le contenu spécifique. Par exemple, l'opérateur verra une requête vers youtube.com, mais ne saura pas quelle vidéo précise l'utilisateur regarde. Avec Encrypted Client Hello (ECH), même cette information devient indisponible, compliquant fortement l'identification du trafic.
Les connexions VPN créent un tunnel chiffré entre le client et le serveur. Le fournisseur journalise l'adresse IP du serveur VPN, le volume de données transférées et les motifs de trafic, mais ne peut pas déchiffrer le contenu. La chaîne typique est : utilisateur → tunnel chiffré → serveur VPN → ressource cible. Le trafic vers des fournisseurs VPN connus (NordVPN, Mullvad) est facilement identifié par leurs pools d'IP, mais le contenu reste masqué.
Sources du trafic « étranger » dans le segment russe
Le concept de « trafic étranger » dans le contexte des réglementations russes ne correspond souvent pas à l'infrastructure réelle. Facteurs clés :
- CDN et serveurs de mise en cache : Jusqu'en 2022, Google Global Cache hébergeait des serveurs chez des fournisseurs russes, diffusant YouTube et d'autres services depuis des centres de données locaux. Le départ de Google d'ici fin 2025 redirige le trafic via Varsovie et Francfort, augmentant formellement le volume de trafic « international ».
- Infrastructure hybride : Les services russes (par exemple, Ozon) peuvent utiliser AWS aux Pays-Bas, tandis que Twitch et Samsung hébergent des nœuds dans des centres de données de Saint-Pétersbourg.
- Routage dynamique : Le choix du point de livraison dépend des paramètres DNS, de la disponibilité du cache local et des conditions des liaisons internationales.
Ces caractéristiques rendent la classification géographique du trafic techniquement imprécise. Les données de MSK-IX confirment : le départ des grands CDN a augmenté le volume de trafic international de 30–60 % sans changement dans les habitudes des utilisateurs.
Méthodes de détection du trafic VPN
Les régulateurs utilisent un système d'identification à plusieurs niveaux :
- Méthodes de base :
- Correspondance des IP avec les registres des fournisseurs VPN
- Analyse des ports standards (OpenVPN : UDP 1194, WireGuard : UDP 51820)
- Vérification des empreintes TLS (fingerprinting)
- Deep Packet Inspection (DPI) :
- Analyse statistique des tailles de paquets et des intervalles
- Détection des motifs de trafic (flux constant pour VPN vs asymétrique pour navigateurs web)
- Comparaison avec des profils de protocoles de référence
- Technologies adaptatives :
- Détection du camouflage en HTTPS (port 443)
- Identification de nouveaux protocoles (VLESS + XTLS)
Cependant, les systèmes DPI présentent des limitations critiques :
- Forte charge sur l'équipement lors du traitement de dizaines de milliers de règles
- Faux positifs sur du trafic légitime (App Store, clients torrent)
- Impossible d'atteindre 100 % de précision en raison de l'évolution des protocoles
Défis de mise en œuvre des limites de trafic international
CGNAT et plusieurs utilisateurs
La pénurie d'adresses IPv4 a conduit à un déploiement massif de CGNAT (Carrier-Grade NAT). Une IP publique peut servir des centaines d'utilisateurs via une chaîne : routeur (192.168.0.0/24) → NAT du fournisseur (100.64.0.0/10). Cela rend impossible l'allocation précise du trafic par abonné. Avec une limite de 15 Go, les opérateurs sont confrontés à un dilemme : comment facturer les « excédents » de gigaoctets quand le trafic provient d'une IP partagée ?
VPN d'entreprise et risques pour les affaires
Les restrictions n'affectent pas seulement les segments grand public. Les employés en télétravail utilisent des VPN d'entreprise pour accéder aux systèmes internes. Le ministère du Développement numérique propose des « listes blanches », mais :
- Aucune méthode technique pour distinguer les VPN d'entreprise des VPN publics
- Blocages erronés qui paralysent les processus métier
- Aucune garantie contre les erreurs dans les documents officiels
Impact réel sur les utilisateurs
Une limite mensuelle de 15 Go équivaut à :
- 2 heures de vidéo 4K sur YouTube
- 3–5 mises à jour de jeux Steam
- 50–70 heures de streaming audio
Pendant ce temps, le trafic vers le même service peut compter comme local (via CDN de Moscou) un instant et international (via Francfort) le suivant, créant une utilisation imprévisible pour les utilisateurs.
Points clés
- Défauts techniques : La classification géographique du trafic ignore les caractéristiques des CDN et l'infrastructure hybride.
- Erreurs systémiques : Les systèmes DPI bloquent inévitablement du trafic légitime en raison de faux positifs.
- Risques pour les affaires : Les VPN d'entreprise et le télétravail sont menacés par une identification imprécise.
- Motif économique : La facturation du trafic « international » transfère les coûts des opérateurs aux utilisateurs.
- Incertitude juridique : L'absence de cadre réglementaire crée des risques de changements soudains de règles.
Conséquences économiques et infrastructurelles
Les analyses de Piter-IX montrent que le trafic international représente environ 20 %, mais l'essor des VPN oblige les opérateurs à étendre leurs liaisons. Comme les lignes internationales sont payées en devises étrangères, cela ajoute une pression sur les coûts. Le déploiement de systèmes DPI nécessite des investissements matériels importants, que les opérateurs compensent par de nouveaux tarifs.
Cependant, le modèle économique omet un facteur clé : les limites poussent les utilisateurs vers des services locaux non par qualité, mais par des barrières artificielles. L'expérience de RuTube montre que la monopolisation forcée sans améliorations UX mène à une faible fidélité. Une approche plus efficace consisterait à développer une infrastructure CDN domestique et à améliorer les services locaux.
Recommandations techniques pour les développeurs
- Optimisation CDN : Utiliser le géotracking via les API des fournisseurs pour router le trafic via des nœuds locaux.
- Chiffrement SNI : Implémenter ECH pour protéger les noms de domaine de l'analyse.
- Tests CGNAT : Vérifier le fonctionnement du service sous conditions Carrier-Grade NAT.
- Surveillance du trafic : Analyser la distribution géographique des requêtes pour anticiper les changements de routage.
- Préparation DPI : Tester la compatibilité du trafic avec l'inspection en profondeur des paquets.
Conclusion
Les tentatives de régulation via des restrictions techniques ignorent les traits fondamentaux de l'infrastructure internet. Les frontières du trafic sont floues en raison des CDN, des architectures hybrides et du routage dynamique. Le blocage des VPN ne résout pas l'accès aux contenus prohibés mais met en risque les entreprises et les utilisateurs légitimes. Une voie plus prometteuse est le développement d'une infrastructure locale et l'amélioration des services domestiques, plutôt que de limiter artificiellement les interactions internationales.
— Editorial Team
Aucun commentaire pour le moment.