OVH a revu ses conditions contractuelles encerclant la location des serveurs dédiés. En ligne de mire, le réseau Tor et les dispositifs d’anonymisation, désormais interdits par défaut, sauf autorisation. Octave Klaba, directeur général de l’opérateur s’en est expliqué dans un mail, visiblement excédé des procédures anti-pédopornographies. Le nouveau contrat d’utilisation contient aussi des mesures anti-spam pour repérer l’envoi de courriers non sollicités.
Extrait du nouveau contrat OVH (PDF)
Hier, Octave Klaba, fondateur et patron d’OVH a adressé un courrier dans lequel il explique pourquoi les nœuds TOR et les services de navigation anonyme sont désormais les malvenus dans son offre de serveur dédié. « Depuis quelques mois, nous avons eu plusieurs affaires juridiques liées à l'utilisation de plusieurs réseaux TOR dans le cas de la pédo et on va désormais l'interdire au même titre que tous les systèmes d'anonymisation. Cela augmente l'utilisation frauduleuse de notre réseau et le nombre de réquisitions juridiques chaque mois ». L’interdiction globale a ainsi été préférée à la gestion individuelle des dossiers.
Interdiction gommée sur autorisation
Ces propos ont été traduits à l’article 7.4 du contrat OVH sur les serveurs dédiés, sous l’évocation de « raisons de sécurité » : « Pour des raisons de sécurité, l’ensemble des services IRC (à titre non exhaustif : bots, proxy, bouncer, etc.), services de navigation anonyme (généralement appelés proxy), noeuds TOR, ne sont pas autorisés sur le réseau OVH ». Le principe sera donc celui de l’interdiction, mais le client pourra toujours se voir accorder une « autorisation écrite d’OVH », prévient cette même clause. Autorisation qui lèvera l'anonymat.
La société précise encore que l’opérateur « se réserve le droit de suspendre tout serveur sur lequel ces éléments seraient utilisés sans autorisation préalable d’OVH ».
« Déçu qu'on bannisse les technologies d'anonymisation, qui ont encore montré récemment combien elles devaient continuer à exister et surtout ne pas être bloquées (je dirais même encouragées dans le cas des journalistes) » a réagi après cette annonce un utilisateur sur le forum officiel. Sur Twitter, Octave Klaba (@Oles) assure cepenant que les VPN et les proxys seront toujours autorisés, alors que ces derniers sont pourtant visés par l'article 7.4.
Des mesures anti-spam et mails frauduleux
Ce n’est pas tout. OVH met également en place un système destiné à lutter contre le spam et l’envoi de mails frauduleux. Ces mesures annoncées en juin sont programmées dans les semaines à venir mais les clauses contractuelles permettent d’esquisser ce qui va se passer concrètement. « Nous avons en effet beaucoup trop de problèmes de spam et il ne suffit plus de fermer les serveurs après avoir constaté le spam plusieurs heures après. C'est trop tard. Il faut le faire en temps réel et pouvoir bloquer le flux en quelques dizaines de secondes. Ainsi on pense réussir enfin le nettoyage de notre reseau de spammeurs (qui peuvent commander les serveurs comme tout le monde, en quelques minutes) » écrivait en juin dernier OVH.
Pour le coup, la société va mettre en place des mesures de vérification du trafic émis depuis le serveur utilisé par le Client vers le port 25. La vérification se fait par des outils automatiques, et les envois, assure-t-on, ne seront « ni filtrés ni interceptés », mais « vérifiés avec un décalage temporel de quelques secondes. »
Vérification sans filtrage ni interception ? OVH garantit que « ces opérations sont faites en parallèle et en aucun cas de manière frontale entre le serveur et le réseau internet », de même « aucune opération n’est effectuée sur les courriels émis : OVH ne procède pas au marquage (Tag) des courriels, et ne modifie d’aucune manière les courriels envoyés par le Client ». En juin dernier, la même société annonçait des tests de duplication des flux des emails sortant. « L'idée est de dupliquer tout le trafic que nos clients font en sortie vers le port 25 (smtp) sur une plateforme de network anti-spam puis d'analyser en temps réel les échantillons des emails par IP qui sortent de notre réseau pour contrôler si une IP envoie du spam ou pas ».
Les seules données stockées par OVH dans ces flux sont des données statistiques, ce qui laisse entendre qu’OVH analyse avant tout la volumétrie sortante, histoire de repérer les hémorragies de spams. OVH ne détaille cependant pas les mesures mises en œuvre, manière sans doute d’éviter leur contournement. Seule certitude : tout se fera de manière automatisée, sans intervention humaine.
Escalade des mesures
Si le serveur d’un client est identifié comme source de pourriel, il sera averti et le port 25 bloqué. Le client pourra demander le déblocage du port SMTP via l’interface de gestion. Cet échange devrait permettre de traiter a posteriori les cas de faux positifs lorsqu'une mailing a été détectée comme spam. Si le client est à nouveau identifié comme spammeur, le blocage sera réactivé « pour une durée plus importante ». Enfin, « à compter du troisième blocage, OVH se réserve la possibilité de refuser toute nouvelle demande de déblocage du port SMTP. ». Une vraie petite riposte graduée.
Les mesures prises à l’encontre du port 25 ne sont pas une grande nouveauté. En décembre 2006, Free avait pris la décision de filtrer par défaut ce port. En 2007, Orange lui emboitait le pas avec une différence de taille puisqu’il n’était pas possible de désactiver ce blocage. Plus tôt, en mai 2005, l’Association des fournisseurs d’accès préconisait des mesures similaires. « Les fournisseurs de messagerie peuvent être amenés à détecter les comportements anormaux (transmission de virus, mail bombing, envoi massif de spam, etc) et dans ce cas peuvent bloquer le(s) compte(s) des utilisateurs dont le poste de connexion a un tel comportement ». Citons encore l’ANSSI, l’Agence nationale pour la sécurité des systèmes d’information avec ce bulletin du CERTA.
