Journal Bouygues Télécom interdit l'accès aux fichiers volumineux sur son réseau mobile

Posté par .
Tags : aucun
30
11
fév.
2011
Bonjour monsieur Nal,

Il y a maintenant quelques mois, j'avais constaté sur le réseau internet mobile de Bouygues Télécom un comportement particulièrement étrange lors du téléchargement de fichiers volumineux sur le protocole HTTP.

Effectivement, lors d'une tentative de téléchargement d'un fichier de plus de 22 Mo, le navigateur affichait de façon constante que celui-ci ne faisait QUE 22 Mo, malgré une taille plus conséquente.

J'avais fais des mesures à l'époque avec Wireshark en utilisant l'accès modem de mon téléphone (c'est si simple sous Debian, c'est dingue), et j'avais effectivement constaté que le réseau modifiait les paquets, de façon à laisser croire au navigateur que le fichier à télécharger ne faisait que 22 Mo (à l'octet prêt).

Bien évidement, en passant par https ou avec un tunnel SSH, il n'y avait aucun problème pour télécharger les données.

J'avais croisé Benjamin Bayard il y a quelque mois lors de la venu de RMS à Paris et j'en avais profité pour lui poser la question de la légalité de cette pratique pendant qu'il enfilait sa veste, il m'avait indiqué que cela était probablement illégal. J'interprète ça comme étant une intention de dégrader volontairement les données qui transitent par le réseau, ce qui est interdit par le code des postes.

J'en ai parlé un peu sur le forum du site PCInpact à l'époque, mais ça n'avait pas vraiment prit, juste quelques personnes pour me dire qu'ils ne constataient pas le problème. Alors j'ai lâché l'affaire.


Mais un ami a constaté le même problème il y a quelque semaine, j'ai décidé alors de refaire quelques tests, mais maintenant je constate que l'accès à ces fichiers a purement et simplement été interdit, une page affichant erreur 403 s'affiche indubitablement lorsque l'on souhaite accéder à un fichier de plus de 22 Mo. Cette réponse ne vient pas des serveurs mais bien du réseau de Bouygues Télécom (testé sur un serveur personnel avec des fichiers créés avec dd).

Je sais que mon ami a écrit à Bouygues Télécom entre temps pour leur faire par de l'illégalité de la pratique, la lettre est-elle à l'origine de ce changement ? En tout cas, on peut continuer à considérer qu'il y a bien une altération des données avec cette pratique, car la réponse renvoyée par le réseau laisse penser que c'est le serveur qui réponds cette erreur et non pas le réseau Bouygues Télécom (on peut voir que l'ip de la réponse affichant l'erreur est le serveur que l'on consulte, on peut considérer qu'il y a bien alors encore une fois une dégradation volontaire des données).

Il est amusant de constater que cela ne concerne que les accès internet mobile hors Iphone, les utilisateurs d'Iphone ont le droit d'accéder à l’entièreté d'internet, mais pas les utilisateurs d'autres téléphones comme les divers modèles de smartphone Nokia (là où le problème a pu être constaté).

Voilà, si tout ceci vous inspire quelque chose... sentez-vous libre d'y laisser vos impressions.
  • # 5Mo

    Posté par . Évalué à 7.

    D'autres chez Bouygues ont remarqué une limite à 5Mo, cf. [http://www.google.fr/search?q=bouygues+5+mo]
    • [^] # Re: 5Mo

      Posté par . Évalué à -1.

      Chez SFR pareil (test sur un fichier de 245MO)
      java.net ConnectionException: /mon_ip:port - Connection refused.
      -> Cela viens de SFR (pas de java sur ce serveur "at home"), et pas besoin de tshark pour vérifier /o\ C'est récent, je n'avais pas eu ce pb lors des tests initiaux sur la 3G SFR il y a deux ans.

      Bon ben... dommage qu'ils aient décidés de ne pas augmenter les forfaits avec la nouvelle tva... sinon j'aurai résilié par principe.
      • [^] # Re: 5Mo

        Posté par . Évalué à 6.

        Ha non : erreur de ma part !!!

        SFR ne limite pas comme cela (ouffff)
        C'est le client ftp sur mon téléphone qui a merdé avec des espaces dans le nom du fichier testé, et non une limitation sur la connection 3G SFR.

        SFR limite de manière mensuelle : quelque soit le service, et quelque soit le poids des fichiers, la limite est globale (ce qui est fair-play). Cette règle est donc toujours en vigueur. Ouf.

        Et le débit est correct : suis en hdspa, entre 50 et 60 kB/s
      • [^] # Re: 5Mo

        Posté par . Évalué à -1.

        « dommage qu'ils aient décidés de ne pas augmenter les forfaits avec la nouvelle tva... sinon j'aurai résilié par principe. »

        Donc il suffit de te donner à peu près 300 € pour que tu renonces à tes principes ?
    • [^] # Re: 5Mo

      Posté par (page perso) . Évalué à 9.

      Effectivement, 5Mo chez bouygues pour moi.

      Je pouvais télécharger des fichiers plus grand en faisant du tethering avec mon PC et en utilisant wget:
      - wget pour télécharger 5Mo
      - wget -c qui essayait de télécharger la suite, le serveur proxy qui laisse ça passer, mais supprime Content-Length dans la réponse
      - le serveur proxy envoit les 5Mo suivants, et coupe brutalement la connection
      - wget voit que la connection a été coupée et se reconnecte pour télécharger la suite

      À chaque requète, le serveur proxy retélécharge le fichier en entier! wget bloque et ne reçoit rien pendant un certain temps qui varie en fonction notamment de la taille du fichier téléchargé. Et le pire c'est que le serveur proxy retélécharge le fichier pour chaque bout de 5Mo!
      Ça veut aussi dire que quand quelqu'un télécharge un pdf de 2Mo, il faut attendre que le proxy finisse de le télécharger avant qu'il ne veuille bien l'envoyer, du coup ça ralentit pas mal les transferts. C'est le cas aussi pour les pages web bien sûr.

      Perso j'avais un réseau privé (172.x.x.x peut-être bien), le seul moyen d'accéder à internet c'était de passer par le proxy http (aucun autre port ouvert donc, sauf peut-être imap peut-être, je sais plus trop).

      À rajouter à ça une connection lente en EDGE et 3G/HSDPA, qui échouait parfois. Et le proxy http en question qui renvoyait des erreurs 403 de manière aléatoire sur certaines pages.

      Du coup je suis juste parti chez SFR. J'utilise un smartphone pour accéder à internet, donc si l'accès à internet est aussi mauvais ben ça ne m'intéresse pas.
      • [^] # Re: 5Mo

        Posté par (page perso) . Évalué à 2.

        Juste pour compléter, pour transférer 5Mo, une fois que le proxy voulait bien lacher le fichier, ça allait vite, (dans les 160Ko/s vers 1H du matin par exemple).

        Mais la vitesse moyenne réelle n'était pas du tout de ce niveau, puisque le proxy bloquait pendant tout le temps de téléchargement du fichier, envoyait 5Mo, retéléchargeait tout le fichier, etc. Le transfert des 5Mo était la partie la plus rapide de l'opération en fait.
      • [^] # Re: 5Mo

        Posté par . Évalué à 5.

        je viens de tester ce matin : je ne sais pas exactement quelle est la limite, mais pour un fichier de presque 8 Mo, j'ai pu le télécharger. Ensuite, pour un fichier de 14 Mo, ça a bloqué : lorsque j'entre directement l'URL du fichier (c'était un pdf), je tombe sur une page blanche avec marqué "Erreur 403, non autorisé. Vérifiez vos droits d'accès au site."

        C'est mensonger car cela semble donne l'impression que c'est le site qui bloque, alors que c'est l'inverse, c'est bouygues qui interdit d'accéder à ces fichiers.

        Est-ce que cette pratique est légale ?

        Ce n'est pas indiqué non plus dans les CGV et les vendeurs ne savent pas non plus cela, ils ne parlent que de la limite des 500 Mo par mois. Si je veux consommer ces 500 Mo en téléchargeant 2 fichiers de 250 Mo, ça me regarde, mais je trouve abusif de bloquer ainsi l'accès a de gros fichiers (qui pourraient être nécessaire de télécharger), alors du streaming consommera autant leur bande passante.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: 5Mo

          Posté par (page perso) . Évalué à 5.

          Ils ont du mettre à jour leur proxy en bloquant tout simplement l'accès à des fichiers trop gros.

          Ils se sont sans doute aperçus que leur proxy téléchargeait des quantités astronomiques de données (forcément, télécharger 200Mo même si il en envoit seulement 5Mo au client, ça devient vite vorace).
          La solution n'a pas été de corriger leur proxy moisi, mais simplement de bloquer tous les fichiers trop gros.

          En même temps ils ont pas tort, quel intérêt d'envoyer seulement le début du fichier, souvent le début ne suffit pas pour pouvoir l'ouvrir correctement de toute façon.
  • # Bla

    Posté par . Évalué à -6.

    > En tout cas, on peut continuer à considérer qu'il y a bien une altération des données avec cette pratique, car la réponse renvoyée par le réseau laisse penser que c'est le serveur qui réponds cette erreur et non pas le réseau Bouygues Télécom (on peut voir que l'ip de la réponse affichant l'erreur est le serveur que l'on consulte, on peut considérer qu'il y a bien alors encore une fois une dégradation volontaire des données).

    Ca se discute, 403 c'est forbidden, si le reseau bt interdit les dl de plus de 22 mo, c'est bien interdit :)
    Blague a part, je doute que tu puisse faire quoi que ce soit, ca me parait pas etre une grosse offense au reseau tant que la limite s'applique a tous les fichiers, qq soit le fournisseur.

    Ca reste une pratique de merde, hein, je defend pas.

    > Il est amusant de constater que cela ne concerne que les accès internet mobile hors Iphone, les utilisateurs d'Iphone ont le droit d'accéder à l’entièreté d'internet, mais pas les utilisateurs d'autres téléphones comme les divers modèles de smartphone Nokia (là où le problème a pu être constaté).

    Comme quoi, les conditions drastiques d'apple et leur attachement a l'experience utilisateur n'ont pas que du mauvais...
    Le jour ou google arretera de faire des courbettes devant les operateurs et fabriquant de telephones, on aura gagne un belle bataille.

    If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

    • [^] # Re: Bla

      Posté par . Évalué à 3.

      Ouais super, les utilisateurs d'Heil-Phone se goinfrent au détriment des autres, c'est en effet une pratique commerciale à encourager !
      • [^] # Re: Bla

        Posté par . Évalué à 1.

        Clair, laisser les operateurs brider a tout va dans leurs forfaits illimites, c'est tellement mieux!

        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

      • [^] # Re: Bla

        Posté par . Évalué à 4.

        Ben ouais, mais les autres constructeurs, ils ont pas les couilles des opérateurs entre leur mains. Steve, si!
    • [^] # Re: Bla

      Posté par . Évalué à 6.

      Comme quoi, les conditions drastiques d'apple et leur attachement a l'experience utilisateur n'ont pas que du mauvais...
      Le jour ou google arretera de faire des courbettes devant les operateurs et fabriquant de telephones, on aura gagne un belle bataille.

      Selon toi, les éditeurs de systèmes d'exploitation pour les ordinateurs de poche passent des contrats avec les fournisseur d'accès au réseau et si les utilisateurs se font enfler si profondément, c'est que l'éditeur de leur logiciel a fait des courbettes ?

      J'imagine que si en France on a des accès ADSL qui tiennent la route indépendamment de ton ordinateur, c'est que les éditeurs de SE pour ordinateurs de bureau, Microsoft en tête, se battent pour l'Internet neutre, indispensable à une bonne "expérience utilisateur" ?
      • [^] # Re: Bla

        Posté par . Évalué à 2.

        euh, et y'a qui à part Microsoft, justement ? et Apple ?

        j'ai du mal à les prendre pour de grands défenseurs d'un Internet neutre, cai bizarre.
      • [^] # Re: Bla

        Posté par . Évalué à -1.

        Selon toi, les éditeurs de systèmes d'exploitation pour les ordinateurs de poche passent des contrats avec les fournisseur d'accès au réseau et si les utilisateurs se font enfler si profondément, c'est que l'éditeur de leur logiciel a fait des courbettes ?

        Non, pas du tout.
        Ce que je dit c'est qu'un fournisseur d'OS+materiel interdit aux operateurs de pratiquer leur "QoS" de cochon.
        Et que l'autre fournisseur d'OS+materiel (oui, oui, materiel), pretendant oeuvrer pour l'ouverture, donne aux operateurs tout ce qu'il faut aux operateurs pour qu'ils verouillent tout bien comme il faut (aussi bien la QoS que les simples mises a jour du telephone).

        J'imagine que si en France on a des accès ADSL qui tiennent la route indépendamment de ton ordinateur, c'est que les éditeurs de SE pour ordinateurs de bureau, Microsoft en tête, se battent pour l'Internet neutre, indispensable à une bonne "expérience utilisateur" ?
        Non.
        A => B ne veut pas dire B => C.

        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

        • [^] # Re: Bla

          Posté par . Évalué à 3.

          Ce que je dit c'est qu'un fournisseur d'OS+materiel interdit aux operateurs de pratiquer leur "QoS" de cochon.
          Disons que brider la bande-passante, c'est brider la consommation de logiciels, de services, de pubs... Éditeurs et opérateurs l'ont bien compris et c'est bien parce que tous les opérateurs voulaient absolument du Apple que la boîte a pu leur dire de s'asseoir sur leurs pratiques habituelles.

          Ceci étant, je reconnais que cette manoeuvre bénéficie dans l'immédiat à la plupart des consommateurs d'iPhone. À moyen terme (et même à très court terme, étant donné le rythme de consommation de ces appareils), ça dessert absolument tous les usagers du réseau, et c'est même un cas flagrant d'anti-concurrence. L'ancien utilisateur d'iPhone qui a envie d'un accès à l'Internet mobile mutilé mais pas trop limité sur la taille des fichiers échangés, il doit prendre un couple iPhone + abonnement et revendre l'appareil, parce qu'on lui a vendu de force.

          Il s'agit là d'une carence profonde en protection des usagers, qui pourrait être comblée par la Justice, voire par le législateur. Il faut empêcher ces saloperies de "subventions" sur les terminaux et bannir toute offre qui lie un terminal au réseau.

          Et que l'autre fournisseur d'OS+materiel (oui, oui, materiel), pretendant oeuvrer pour l'ouverture, donne aux operateurs tout ce qu'il faut aux operateurs pour qu'ils verouillent tout bien comme il faut (aussi bien la QoS que les simples mises a jour du telephone).
          Google qui fournirait des ordinateurs directement aux FAI mobile ?
          Pour ce qui est de la NQoS, je vois pas ce dont puisse avoir besoin un FAI qu'il n'ait déjà ? Pour les verrous logiciels, j'avoue ignorer totalement si les éditeurs donnent volontairement aux distributeurs les moyens pour pourrir leurs systèmes (code source, sdk...).

          A => B ne veut pas dire B => C.
          J'ai pas compris. Je voulais à travers l'exemple des accès à l'Internet fixes montrer que la qualité des accès ne relevait ni des éditeurs de logiciels, ni des fabricants de matériel. Et le contraire serait une mauvaise chose.
  • # Vidéo

    Posté par . Évalué à 3.

    Ce qui explique pourquoi la plupart des sites à la youtube ne fonctionnent pas pour des vidéos dépassant la minute... En dehors du texte et des images, point de salut. Grandiose.
    • [^] # Re: Vidéo

      Posté par (page perso) . Évalué à 10.

      Mais bientôt chez orange la vidéo de dailymotion saturera moins les réseaux mobiles que la vidéo de youtube.
  • # HTTPS

    Posté par . Évalué à 4.

    Et en HTTPS ça le fait? Tu peux faire des tests depuis ton serveur perso (sinon contacte moi, j'ai un serveur HTTPS où je peux te mettre un fichier > 22 Mo).

    Ça va booster le chiffrement ce genre de pratiques.. :)

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: HTTPS

      Posté par . Évalué à 6.

      "Bien évidement, en passant par https ou avec un tunnel SSH, il n'y avait aucun problème pour télécharger les données."
  • # Favoritisme ?

    Posté par . Évalué à 6.

    les utilisateurs d'Iphone ont le droit d'accéder à l’entièreté d'internet

    Et après on dit que Nokia est à la traine sur les smartphones et que c'est leur faute s'ils n'arrivent plus à se vendre, mais quand on voit comment l'iPhone est privilégié par les opérateurs…

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # Solution de contournement

    Posté par (page perso) . Évalué à 5.

    Utilise un proxy perso qui bouffe le Content-Length des fichiers de plus de 22Mo, de cette façon ils ont aucune façon de te bloquer, parce que *eux* ils connaitront pas la taille du fichier.

    Bien sur, il peuvent toujours couper la requette quand 22Mo ont été transferés, mais je doute que leur filtre passe comme ça.
  • # Incitation au HTTPS

    Posté par (page perso) . Évalué à 7.

    Tous au HTTPS (et tout sur HTTPS : mail, P2P...) avec certificat qui va bien, comme ça ils arrêteront de pouvoir faire quoi que ce soit
    • [^] # Re: Incitation au HTTPS

      Posté par . Évalué à 7.

      Attention ! Le certificat du site http://mabanque.fr n'est pas valide et a été signé par "Bouygues Télécom Corporation", continuer ?

      Ça se fait dans certaines boites (pour leurs employés) et bon, osez me dire qu'ils n'en sont pas capables.
    • [^] # Re: Incitation au HTTPS

      Posté par . Évalué à 1.

      Petite question en passant concernant le HTTPS. Qu'est ce que voit exactement l'observateur extérieur (ici le FAI) lors d'une connexion https entre A et B ?
      J'ai cru comprendre qu'il ne peut pas voir le contenu qui s'échangent avec les autres mais est ce tout. La façon la plus simple de répondre est peut-être de dire simplement ce que l'observateur extérieur voit de cette connexion.
      • [^] # Re: Incitation au HTTPS

        Posté par . Évalué à 4.

        Il peut voir la requête DNS (donc le nom de domaine) puis l'ouverture d'une connexion tcp avec le site, et ensuite il connait la quantité de données transférées.

        Pour la requête DNS, tu peux éventuellement l'avoir en cache, ou dans ton /etc/hosts, ou autre. Et il doit faire le lien avec la connexion TCP derrière, ce qui n'est pas nécessairement facile (mais dans la plupart des cas, si, les deux sont proches, puis l'ip était contenue dans la réponse DNS)

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Incitation au HTTPS

          Posté par (page perso) . Évalué à 2.

          Ca, c'est la théorie : tout échange est chiffré entre le serveur et le client.

          Mais n'y a-t-il pas une feinte avec "SSLStrictSNIVHostCheck" ?

          <a partir de là... je commence à être moins sûr de moi...>
          Dans ce cas, le client enverra EN PLUS de tout le brouzouf nécessaire à l'établissement de la connexion SSL, le domaine auquel il cherche à communiquer.

          et si je comprends bien, ça se passera en clair... (c'est là que je suis pas trop sûr à vérifier dans la RFC 4366, j'avoue avoir du mal à savoir ce qu'il se passe vraiment dans un handshake).

          </fin pas trop sûr>

          Ce que ça change : plus besoin de faire le lien entre la requête DNS et l'IP... on a directement le DNS en clair... (mais pas le chemin du fichier, ni rien d'autre de l'URL...)

          Anyway, j'enc* une mouche... mais peut être que si quelqu'un se demande un jour comment faire pour avoir 2 NameVirtualHost différents sur une même IP, en SSL il sera content d'avoir ce lien aussi :

          http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
          • [^] # Re: Incitation au HTTPS

            Posté par . Évalué à 2.

            Dans ce cas, le client enverra EN PLUS de tout le brouzouf nécessaire à l'établissement de la connexion SSL, le domaine auquel il cherche à communiquer.

            et si je comprends bien, ça se passera en clair...


            Forcément puisque le certificat dépend du domaine demandé (sinon, pas besoin de SNI, par exemple si tous tes hôtes virtuels sont des sous-domaines de foo.com et que tu as un certificat pour *.foo.com).
  • # Bonjour!

    Posté par . Évalué à 10.

    Bonjour monsieur Nal

    Bonjour Christophe.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.