Question sur la Brique Internet et les FAI associatifs

Bonjour,

Je me documente en ce moment sur la Brique Internet. Cependant, il y a des petites choses que je ne comprends toujours pas. Je préfère poster dans un premier temps sur ZdS plutôt que de discuter avec les FAI associatifs, pour éventuellement faire découvrir ce concept à des gens.

Si j’ai bien compris, voici ce que propose la brique :

• La brique est un boîtier VPN que l’on branche à sa box et qui émet son propre signal Wifi. On souscrit un abonnement VPN (par exemple chez un FAI associatif) et on se connecte à Internet grâce à un tunnel chiffré vers le VPN. L’Internet que nous utilisons est ainsi présenté comme sûr, car le chiffrement ne permet pas au FAI qui nous a fourni la box (SFR, Free…) de nous épier. Par ailleurs, la brique permet d’utiliser tous les services d’Internet, sans blocage de ports ni rien.

• La brique peut également faire office de petit serveur portatif. C’est d’ailleurs tout l’intérêt du boîtier car on n’a pas besoin de ça pour souscrire un VPN. On peut facilement y installer des programmes pour héberger ses mails, transférer des fichiers etc. Les programmes sont stockés sur une carte mémoire à acheter séparément (16Go suffisants selon le site de la brique).

Ça a l’air chouette mais je me pose une question. On se connecte à Internet grâce à un FAI associatif qui nous garantit quelque chose de propre. Mais les FAI associatifs ne posent pas des câbles ADSL. Comment se connectent-ils à Internet du coup ? Car s’ils utilisent un FAI classique comme SFR, ce dernier peut finalement brider des services et des ports pour le FAI associatif donc pour ses utilisateurs, non ?

Merci d’avance pour vos lumières.

Salut,

DISCLAIMER : Je ne suis pas expert.

En fait, un FAI n’a rien à voir avec un VPN. Un FAI c’est comme Orange, SFR ou autre : Il fournit juste un accès à internet (et peut éventuellement espionner).

Un VPN, c’est un réseau chiffré entre deux machines (dont l’une est généralement reliée à internet chez un hébergeur, dans un datacenter). Un VPN peut être utile pour contrer l’espionnage potentiel d’un FAI (mais en général, je dirais que c’est plus contre les réseaux Wifi ouverts tout en clair qu’on trouve partout ou d’autres menaces graves du genre).

Le concept de FAI associatif est intéressant je trouve. Mais quand on utilise un FAI non associatif qu’on craint, normalement on ne prend jamais de VPN chez son FAI, et normalement un FAI ne va pas spécialement fournir de VPNs. 

La brique peut également faire office de petit serveur portatif. C’est d’ailleurs tout l’intérêt du boîtier car on n’a pas besoin de ça pour souscrire un VPN. On peut facilement y installer des programmes pour héberger ses mails, transférer des fichiers etc. Les programmes sont stockés sur une carte mémoire à acheter séparément.

Il semblerait en effet que ce soit possible et c’est pas une mauvaise idée de se servir de ça comme serveur personnel chez soi (un peu comme ce que font certains NAS), mais c’est toujours compliqué de se servir de ça pour héberger des choses accessibles au reste d’internet. En gros, ça marche bien dans un sens mais pas trop dans l’autre.

Car s’ils utilisent un FAI classique comme SFR, ce dernier peut finalement brider des services et des ports pour le FAI associatif donc pour ses utilisateurs, non ?

J’ai encore jamais vu de port bridé par un FAI classique chez un particulier¹, et de toute façons, un VPN est là pour débrider

¹ En fait si, voir plus bas.

mais les FAI associatifs ne posent pas des câbles ADSL. Comment se connectent-ils à Internet du coup ?

Je ne sais pas comment fonctionne les autres FAI mes chez Tetaneutral ils ont acheté un bout de fibre qui fait Paris-Toulouse, installé de la fibre entre le noeud névralgique Toulousain et leur asso, ensuite ils redistribuent aux membres par ondes radio, qui eux-mêmes peuvent redistribuer à d’autres.

Niveau débit et latence ça donne quoi chez Tetaneutral ?

Salut  !

Étant membre d’un de ces FAI qui propose(ait…) la brique, je viens ajouter mon grain de sel  !

Les FAI associatifs en France, y’en a environ 30, chacun avec ses spécificités. Ces FAI te relie au reste d’Internet de différente façons. Les 3 accès les plus courant sont :

• via un VPN (Neutrinet, ARN, etc.),
• un accès radio (Tétaneutral, Rézine, etc.) avec des ponts WiFi,
• de l’aDSL/vDSL (FDN, FAImaison, etc.).

Quelque soit le mode de raccordement, le but est de te relié in fine au gros routeur du FAI, qui se charge d’envoyer ensuite ton trafic sur le reste d’Internet (et vice versa). Comme en France, c’est France Télécom qui a posé le réseau cuivré téléphonique, il a le monopole du réseau physique. Par conséquent, il a l’obligation d’ouvrir ce réseau à la concurrence : c’est pour ca que « n’importe quel » opérateur peut ouvrir des lignes aDSL/vDSL. Par conséquent, en effet, si Orange (=France Télécome) se prend l’envie d’espionner le trafic de tout les Français, il le pourrait en théorie en mettant un équipement actif dans toute les armoires de raccordement qu’il possède un peu partout en France. En pratique, ca lui demanderait un effort monstrueux (financier), et ca se verrait Des ingénieurs/techniciens auraient fait fuiter l’info. Donc oui, la meilleure façons de se prévenir de ce genre « d’espionnage », ca reste la communication chiffrée de bout en bout.

Par contre, quand tu as un abonnement « classique » chez un FAI commercial, il y a effectivement des limitations. Navré motet-a, mais :

J’ai encore jamais vu de port bridé par un FAI classique chez un particulier, et de toute façons, un VPN est là pour débrider

… c’est faux. Le port 25 chez Orange et Free (pour free tu peux décocher l’option maintenant), le DNS menteur d’orange (essaie de joindre thepiratebay.org depuis orange Ben… tu peux pas), etc. Mais en effet, le VPN, justement ca tombe bien ! C’est chiffré ! Ok pas de bout en bout, mais jusqu’au serveur du FAI. Du coup le FAI commerciale ne voit pas ce qu’il se passe sur le réseau et ne peut donc pas filtré/bridé la communication.

Pour en revenir à l’histoire de la brique internet, c’est Neutrinet qui a lancé ce projet pour facilité l’accès au VPN pour les personnes non techniciennes en informatique (cf la vidéo de Bram qui explique tout ca). Il se trouve que rajouter YunoHost sur la brique permet également un accès facilité à l’auto-hebergement. On peut y installer très facilement via une interface web toute une panoplie de logiciel en faisant clic-clic, sans avoir besoin de trifouiller des lignes de commandes (blog, serveur mail, client de torrent, pad, etc.).

Cependant, c’est petit une brique, ca a généralement entre 500 Mo et 1 Go de RAM, et en effet ca repose sur une carte SD, donc pas avec un espace de stockage monstrueux (mettre nextcloud pour n’avoir que 8 Go de stockage, c’est… dommage). Le mieux, c’est d’y brancher un disque dur externe en USB et d’y installer les app dessus plutôt que sur la carte SD, qui elle est dédié au système.

Pour résumer : la brique = une carte Olimex + un VPN + un hotspot WiFi + YunoHost. Pas de problème de bridage/filtrage car c’est un VPN fourni par un FAI « propre ». Mais attention ! Ca ne veut pas dire que tout ton trafic internet est sûr ! C’est uniquement la partie entre toi et le FAI qui est chiffré. Si tu rentre un mot de passe sur un site sans https, et ben il est quand même envoyé en clair sur le réseau

Un conseil : prend aussi un disque dur externe pour stocker les app’ de YunoHost

[EDIT]

Pour répondre aux questions sur le débit : le débit lors d’un accès radio dépend de plusieurs facteurs.

1. les antennes (orientation/distance). À Grenoble on arrive à avoir du 100 Mbits en symétrique
2. la puissance du routeur qui recoit les info. Faut un bon CPU quand même.
3. le lien entre le routeur et le serveur du FAI en datacenter. Sur de la fibre généralement. C’est jamais le problème, on est toujours large. Et au pire on prend une deuxième fibre…
4. le serveur du FAI en datacenter. Idem, faut un bon CPU…

Donc les débits, c’est surtout dépendant de la distance à l’antenne et leur orientations respectives. Typiquement à Grenoble, on a des débits qui vont de un aDSL moyen à 10 Mbits/s à du (très) bon vDSL >60 Mbits/s. Le tout en symétrique C’est à dire autant en upload qu’en download, ce qui n’est pas le cas pour de l’aDSL « classique ».

[EDIT 2]

Je me rend compte que j’ai pas vraiment répondu à la question en faite… Pour la question

Comment les FAI se relient-ils à internet ?

La réponse est : il faut mettre un serveur dans une baie d’un centre de donnée (i.e. datacenter) quelque part en France, et demander à d’autres opérateurs si on peut se relier à eux. Pour ca, deux possibilitées :

1. le peering : c’est cool ! L’opérateur 1 et l’opérateur 2 branchent un câble entre eux, donc les adresses IP de l’opérateur 1 sont accessibles à l’opérateur 2 (et vice versa) et on ne se fait pas payer la bande passante. C’est du gagnant gagnant.
2. le transit : c’est pas cool  ! L’opérateur 1 paie l’opérateur 2 et on branche un câble entre les deux. Idem, les IP de l’uns sont accessibles à l’autre, mais cette fois ci on paie le transit au Mbit… Et là, c’est la grosse foire avec marchandage du prix, etc.

… c’est faux. Le port 25 chez Orange et Free (pour free tu peux décocher l’option maintenant), le DNS menteur d’orange

Ah oui, j’avais complètement oublié ça Bon, en général, quand ils bloquent les ports au niveau de la box (et qu’on peut désactiver le blocage dans les options), je crois c’est plus dans l’idée de protéger les utilisateurs que de brider. Mais leurs DNS peuvent être un vrai problème, en effet.

Tout à fait C’est en grande partie pour lutter contre le spam envoyé par les machines windows vérolées.

Mais restreindre les libertés se fait toujours au nom de la sécurité et du bien-être du plus grand nombre. Reste à savoir ce qu’on préfère…

Je pensais qu’il y a un peu plus de FAI associatifs que ça, après certains sont un peu confidentiels (à l’échelle d’une école d’ingénieur par exemple).

Tu as entendu parler de IOL ? C’est quand même un peu ça non ?

Je ne suis pas client chez eux, je pense que c’est du haut débit et que ça dépend de ta localisation.

Merci à tous pour vos éclaircissements. Je me rends compte que mes interrogations étaient plus liées à une mauvaise compréhension des réseaux qu’à la Brique en elle-même. Pour commencer à résoudre le problème, je suis tombé sur un livre que l’on peut consulter en ligne mais également télécharger au format PDF : Guide d’autodéfense numérique. C’est loin d’être technique, ça explique avec les mains le fonctionnement des réseaux et d’Internet mais c’est, je pense, un bon point de départ pour avoir les idées claires à ce sujet.

Petite question 1/12eme HS : quel est l’intérêt d’un FAI associatif par rapport aux FAI "classiques" hors cas particulier (genre aucun gros FAI veut venir jusqu’à chez toi donc tu passe par une alternative) ?

La neutralité du net et la convivialité des AG.

Yop Très bonne question. Voici ce pourquoi je soutiens les FAI associatifs.

• La taille humaine et le fait de parler à des humains
• La neutralité du net et la non commercialisation de tes informations personnelles
• La non surveillance.
• La possibilité d’apprendre comment ca fonctionne si tu le veux
• Parfois prix. Par exemple un lien radio à Grenoble c’est actuellement 15€/mois, pour un débit souvent équivalent à du vDSL.
• Politiquement, ca fait exister un contre pouvoir et ca oblige les gros des télécoms à laisser le marché un tant soit peu ouvert. Par exemple, l’ARCEP (gendarme des télécom) écoute pas mal la fédération des FAI associatif car on a des choses intelligentes à raconter. C’est possible car on est un certains nombre (entre autres).
• La re-teritorialisation de l’Internet. On évite de tout faire passer par Paris ou Lyon… Bref on participe à un réseau acentré.
• Une IP publique (IPv4 et IPv6) : tu deviens une partie d’internet joignable depuis le reste d’internet.

Dans ce que je ne rajoute pas mais qui faudrait aussi tenir compte :

• Pouvoir boire des bières avec ton FAI
• La satisfaction de "faire grandir" internet
• Grimper sur des toits c’est rigolo
• Le bricolage c’est (parfois) très rigolo aussi
• On rencontre pleins de gens (si on veut)
• Certains font aussi de l’éducation populaire
• etc.

Grimper sur des toits c’est rigolo

Attention, ça peut être vraiment dangereux (on m’a déjà raconté des histoires pas très drôles sur ce sujet).

La taille humaine et le fait de parler à des humains

Chez les opérateurs télécoms tu parles à des humains aussi hein.

La neutralité du net et la non commercialisation de tes informations personnelles La non surveillance.

Attention, je ne dis pas que c’est vrai, mais il ne faut pas non plus exagérer. Le FAI associatif peut te surveiller et être non neutre, pas plus ni moins que celui de ton FAI national. Mais cela est plus visible (que ce soit dans l’infra ou les comptes rendus de réunion).

Dans tout ce qui est hébergement ou fournisseur d’accès à Internet, c’est une question de confiance. Ce n’est pas parce que c’est un petit groupe que tu connais qu’ils feront mieux que les autres, tu dois leur faire confiance sur ce point.

C’est pourquoi perso j’éviterais d’héberger mes courriels chez des connaissances, je ne suis pas certain que mes courriels soient non lus.

La re-teritorialisation de l’Internet. On évite de tout faire passer par Paris ou Lyon… Bref on participe à un réseau acentré.

Tu mélanges les débats je trouve. Que le FAI soit à Paris, Bordeaux ou Toulon ne change pas grand chose à la question. C’est où sont situés les hébergeurs qui compte vraiment. Et encore je dirais qu’on s’en fou, si mon hébergeur est à Brest alors que je suis à Strasbourg, cela ne fais pas de grandes différences à s’il était à Paris ou Strasbourg même. La question est plutôt de savoir si je passe par une plateforme personnalisée ou centralisée (ton blog perso ou un compte Facebook), et qui possède et gère mes données physiquement.

Le FAI et la localisation physique n’est finalement qu’un détail dans la question de la centralisation d’Internet.

Une IP publique (IPv4 et IPv6) : tu deviens une partie d’internet joignable depuis le reste d’internet.

Mouais, c’est globalement le cas avec les FAI nationaux aussi, peut être que tu devras te prendre un routeur perso au lieu de la box maison mais c’est possible aussi surtout en IPv6 en fait.

Certains font aussi de l’éducation populaire

Oui enfin là tu changes la donne. Dans les employés d’Orange tu as peut être des bénévoles aux restos du coeur. Ce n’est pas vraiment le sujet (et loin d’être généralisable).

Après tu oublies les inconvénients en terme de qualité de service (moins de garanties) que financièrement cela peut être beaucoup plus cher pour moins bien (question de la fibre), etc.

Note, je ne suis pas contre les FAI associatifs, mais il ne faut pas non plus survendre la chose et mélanger la question de l’autohébergement et du FAI associatif (ce sont des questions distinctes).

Pré-scriptum : j’ai été aidé dans la rédaction de ce post Ce sont les passages entre guillements.

La taille humaine et le fait de parler à des humains

Chez les opérateurs télécoms tu parles à des humains aussi hein.

Soit. Mais c’est assez souvent des mails automatiques, des boites vocales, etc. Quand bien même ce sont des humains, « ils répondent (en suivant souvent un chemin de résolution de problème tracé par un ordi) pour une entreprise ».

La neutralité du net et la non commercialisation de tes informations personnelles La non surveillance.

Attention, je ne dis pas que c’est vrai, mais il ne faut pas non plus exagérer. Le FAI associatif peut te surveiller et être non neutre, […], c’est une question de confiance. Ce n’est pas parce que c’est un petit groupe que tu connais qu’ils feront mieux que les autres, tu dois leur faire confiance sur ce point.

Tout à fait d’accord, c’est une question centrale, celle de la confiance ! Et justement, n’ayant pas d’enjeux financier et ayant un engagement politique (au sens premier du terme), je donne plus volontiers ma confiance à une asso dans laquelle je peux regarder ce qui s’y passe et participer qu’à un grand groupe totalement opaque. Mais c’est une question qu’on se pose très souvent : en effet les adminsys ont un pouvoir considérable, qu’il faut savoir contrebalancer.

Après, contrairement aux FAI « classiques », on s’engage à respecter la vie privée de nos utilisateurs (je parle pour les FAI de la FFDN).

La re-teritorialisation de l’Internet. On évite de tout faire passer par Paris ou Lyon… Bref on participe à un réseau acentré.

Tu mélanges les débats je trouve. Que le FAI soit à Paris, Bordeaux ou Toulon ne change pas grand chose à la question. C’est où sont situés les hébergeurs qui compte vraiment. […]

Le FAI et la localisation physique n’est finalement qu’un détail dans la question de la centralisation d’Internet.

En fait, c’est au contraire un point central pour moi. Premièrement, « c’est la possibilité de voir le FAI en vrai, donc de voir à qui tu fais confiance en vrai ». Mais surtout, la localité cherche à limiter l’importance du regroupement à la tout-dans-le-même-datacenter. Centraliser les FAI « pose d’autres problèmes (centralisation du pouvoir, impact en cas de panne, monopole donc manque de concurrence)». Souvent, un FAI local cherche à mettre ses équipements chez un hébergeur local. Ca tend donc à rendre le réseau plus résilient.

Je ne parle pas ici des services d’hébergement style boite mail ou autres, mais vraiment de l’équipement de type routeur et machine qui font que le FAI soit un opérateur réseau.

Une IP publique (IPv4 et IPv6) : tu deviens une partie d’internet joignable depuis le reste d’internet.

Mouais, c’est globalement le cas avec les FAI nationaux aussi, peut être que tu devras te prendre un routeur perso au lieu de la box maison mais c’est possible aussi surtout en IPv6 en fait.

Tant mieux si maintenant c’est le cas, mais jusqu’à peu chez Orange j’avais une IP qui pouvait changer.

Certains font aussi de l’éducation populaire

Oui enfin là tu changes la donne. Dans les employés d’Orange tu as peut être des bénévoles aux restos du coeur. Ce n’est pas vraiment le sujet (et loin d’être généralisable).

Je parle directement d’action d’éducation populaire de la part du FAI. Souvent, les asso de la FFDN ont à cœur d’être un outil de réflexion et de critique des outils de communication électronique.

Après tu oublies les inconvénients en terme de qualité de service (moins de garanties) que financièrement cela peut être beaucoup plus cher pour moins bien (question de la fibre), etc.

C’est vrai, venir chez un FAI de la FFDN est souvent actuellement soit un truc de geek barbu soit un acte militant. Mais pas toujours. Et justement, la question de la fibre pose des problèmes majeurs, qui si on laisse les « gros » faire ce qu’ils veulent, ne va pas aller en s’arrangeant (désertification des milieux ruraux, monopole du réseau, etc.).

Merci pour ces critiques justifiées Ca me permet de développer mon argumentation.