Un débat familier refait surface autour de Cloudflare, le réseau de diffusion de contenu qui propose un service gratuit permettant de protéger les sites Web contre les attaques par déni de service en masquant leurs hôtes : Cloudflare est-il un bastion de la liberté d’expression ou un facilitateur du spam, de la diffusion de malware, du harcèlement et des attaques DDoS qu’il prétend bloquer ?
La controverse n’est pas nouvelle pour Cloudflare, un opérateur de réseau qui a souvent adopté une approche laxiste en matière de modération du volume immense de trafic circulant à travers son infrastructure. Avec Cloudflare aidant à diffuser 16 pour cent du trafic Internet mondial, traitant 57 millions de requêtes web par seconde, et servant entre 7,6 millions et 15,7 millions de sites Web actifs, sa décision de servir presque tous les acteurs, indépendamment de leur comportement, a été sujette à de vifs désaccords. De nombreux défenseurs de la liberté d’expression et de la neutralité d’Internet applaudissent cette posture, tandis que ceux qui luttent contre la criminalité et le harcèlement en ligne la considèrent comme problématique.
Neutralité du contenu ou facilitation des abus ?
Spamhaus—une organisation à but non lucratif fournissant des listes de blocage pour freiner l’expansion du spam, du phishing, des malwares et des botnets—est devenue la dernière à critiquer Cloudflare. Mardi, le projet a indiqué que Cloudflare fournissait des services pour 10 % des domaines figurant sur sa liste de blocage et, jusqu’à présent, dessert des sites faisant l’objet de plus de 1 200 plaintes non résolues concernant des abus.
Le message de Spamhaus a souligné à quel point il est facile et courant de trouver des sites web protégés par Cloudflare qui font ouvertement la promotion de services tels que l’hébergement à toute épreuve pour les cybercriminels.
« Depuis des années, Spamhaus a observé des activités abusives facilitées par les divers services de Cloudflare », ont écrit des membres de Spamhaus. « Les cybercriminels ont exploité ces services légitimes pour masquer leurs activités et renforcer leurs opérations malveillantes, une tactique référencée sous le terme living off trusted services (LOTS). »
Cloudflare a toujours soutenu qu’il n’est pas en mesure de modérer ou de surveiller le contenu ou le comportement des personnes utilisant ses services de “passage”, qui utilisent simplement le vaste réseau de Cloudflare pour faciliter la livraison et prévenir les pannes causées par des DDoS. Contrairement à un hébergeur, la société ne stocke pas le contenu, et contrairement aux sites médiatiques et aux moteurs de recherche, elle ne doit pas être tenue responsable d’analyser les rapports d’abus.
« Tout le monde bénéficie d’une infrastructure Internet bien fonctionnelle, tout comme d’autres infrastructures physiques, et nous croyons que les services d’infrastructure devraient généralement être offerts de manière neutre en matière de contenu », déclare la page de politique d’abus de Cloudflare. « Cela est particulièrement vrai pour les services protégeant les utilisateurs et les clients contre les cyberattaques. »
Cette politique a irrité les critiques, qui affirment qu’elle décharge Cloudflare de la responsabilité qu’il assume en rendant le contenu et les services nuisibles facilement accessibles. Un bon exemple est Brian Krebs, le journaliste de sécurité derrière KrebsOnSecurity. En 2016, son site s’est effondré, et c’était à l’époque l’une des plus grandes attaques DDoS de l’histoire. Lorsque Cloudflare a proposé à Krebs une protection gratuite peu après le début des attaques, le journaliste a décliné cette offre.
« Cette attaque DDoS a eu lieu peu de temps après que j’ai passé beaucoup, beaucoup de mois à écrire sur les services DDoS à la demande et combien d’entre eux étaient concentrés sur Cloudflare, puis je me fais frapper par la plus grande attaque DDoS que l’Internet ait jamais connue », a déclaré Krebs à LesNews. « J’étais vraiment reconnaissant pour cette offre. C’était une période difficile. En y réfléchissant, j’ai décidé que leur tolérance envers les services DDoS à la demande sur leur propre site me faisait vraiment hésiter. À ce moment-là, je ne savais même pas qui m’avait attaqué ou ce qui m’avait frappé. Il n’était pas clair pour moi s’ils faisaient partie du problème ou de la solution. »
Personnellement, je trouve fascinant de suivre l’évolution de ces débats autour de la responsabilité des plateformes, surtout dans un monde numérique où le bon et le mauvais peuvent être étroitement entremêlés. Il est essentiel que nous, en tant qu’internautes, restions vigilants sur les pratiques des entreprises comme Cloudflare et leur impact sur la sécurité et la liberté d’expression sur le web.