Getty Images
Un débat familier entoure à nouveau Cloudflare, le réseau de diffusion de contenu qui fournit un service gratuit qui protège les sites Web contre les attaques par déni de service en masquant leurs hôtes : Cloudflare est-il un bastion de la liberté d’expression ou un facilitateur de spam, de diffusion de logiciels malveillants, de harcèlement et des attaques DDoS qu’il prétend bloquer ?
La controverse n’est pas nouvelle pour Cloudflare, un opérateur réseau qui a souvent adopté une approche non interventionniste pour modérer l’énorme quantité de trafic qui circule dans son infrastructure. Cloudflare contribue à acheminer 16 % du trafic Internet mondial, traite 57 millions de requêtes Web par seconde et dessert entre 7,6 et 15,7 millions de sites Web actifs. La décision de servir n’importe quel acteur, quel que soit son comportement, a fait l’objet d’un intense désaccord, de nombreux défenseurs de la liberté d’expression et de la neutralité d’Internet l’ayant saluée et les personnes luttant contre le crime et le harcèlement en ligne la considérant comme un paria.
Contenu neutre ou propice aux abus ?
Spamhaus, une organisation à but non lucratif qui fournit des renseignements et des listes de blocage pour endiguer la propagation du spam, du phishing, des logiciels malveillants et des botnets, est la dernière à critiquer Cloudflare. Mardi, le projet a déclaré que Cloudflare fournit des services pour 10 % des domaines répertoriés dans sa liste de blocage de domaines et, à ce jour, dessert des sites qui font l’objet de plus de 1 200 plaintes non résolues concernant des abus.
L’article de Spamhaus a souligné à quel point il est facile et courant de trouver des sites Web protégés par Cloudflare qui annoncent ouvertement des services tels que l’hébergement à toute épreuve aux cybercriminels.
« Depuis des années, Spamhaus observe des activités abusives facilitées par les différents services de Cloudflare », ont écrit les membres de Spamhaus. « Les cybercriminels exploitent ces services légitimes pour masquer des activités et améliorer leurs opérations malveillantes, une tactique appelée living off trust services (LOTS). »
Cloudflare a toujours affirmé qu’elle n’était pas en mesure de modérer ou de contrôler le contenu ou le comportement des personnes utilisant ses services « pass-through », qui se contentent d’utiliser le vaste réseau de Cloudflare pour rationaliser la diffusion et prévenir les pannes causées par les attaques DDoS. Contrairement à un hébergeur Web, l’entreprise n’héberge pas le contenu et, contrairement aux sites de médias et aux moteurs de recherche, elle ne devrait pas être chargée d’enquêter sur les signalements d’abus.
« Tout le monde bénéficie d’une infrastructure Internet qui fonctionne bien, tout comme toute autre infrastructure physique, et nous pensons que les services d’infrastructure doivent généralement être mis à disposition de manière neutre en termes de contenu », indique la page Web de la politique de Cloudflare en matière d’abus. « Cela est particulièrement vrai pour les services qui protègent les utilisateurs et les clients contre les cyberattaques. »
Cette politique a irrité les critiques, qui affirment qu’elle absout Cloudflare de la responsabilité qui lui incombe de rendre facilement accessibles des contenus et des services nuisibles. Brian Krebs, le journaliste en sécurité derrière KrebsOnSecurity, en est un bon exemple. En 2016, son site s’est effondré, et il s’agissait à l’époque de l’une des plus grandes attaques DDoS de l’histoire. Lorsque Cloudflare a proposé à Krebs une protection gratuite peu après le début des attaques, le journaliste a refusé.
« Cette attaque DDoS s’est produite peu de temps après avoir passé de nombreux mois à écrire sur les services DDoS à louer et sur le fait que beaucoup d’entre eux étaient concentrés sur Cloudflare, puis j’ai été frappé par la plus grosse attaque DDoS qu’Internet ait jamais connue », a déclaré Krebs à Ars. « J’étais vraiment reconnaissant pour cette sensibilisation. C’était une période difficile. Après réflexion, j’ai décidé que leur tolérance envers les services DDoS à louer sur leur propre site m’avait vraiment fait réfléchir. À ce moment-là, je ne savais même pas qui m’avait frappé ou ce qui m’avait frappé. Je ne savais pas vraiment s’ils faisaient partie du problème ou de la solution. »