[Interview] Les services « abuse », preuves de l’Internet zone de droit

À l’occasion du Forum International sur la Cybersécurité de Lille, plusieurs acteurs (Orange, l’AFNIC, le CERT Société Générale, la Gendarmerie nationale et Gandi.net) ont présenté un livre blanc intitulé « Contenus illicites en ligne : de la détection au retrait ». L’enjeu ? Montrer l’utilité des services « abuse » qu’on trouve chez tous les intermédiaires. Alexandre Hugla et Charles-Edouard Pezé, respectivement en charge du service « abuse » et du service juridique de Gandi.net, ont bien voulu répondre à nos questions sur le sujet.

 À quoi sert le service « abuse » en général ?

Le service « abuse »  sert de point de jonction entre nos clients et le monde extérieur vis-à-vis des problématiques qu’ils pourraient rencontrer. Des gens vont nous adresser des notifications par rapport à des contenus ou des agissements réels ou supposés de nos clients, et c’est à nous de vérifier la légitimité de ces demandes, de les transmettre à ces clients ou de prendre des actions, au besoin. Ce dispositif est aussi un pont avec notre service technique interne qui aurait besoin de faire passer des messages à nos clients pour des problèmes rencontrés sur leur machine ou parce qu’ils y font du spam, etc.

Combien êtes-vous chez Gandi pour assurer un tel service ?

On est six mondialement, cela comprend le service juridique dans sa globalité.

Ce dispositif est-il obligatoire chez tous les intermédiaires, ou c’est un « bonus » offert aux clients ?

C’est une norme, mais qui n’a en principe rien d’obligatoire. Le service « abuse » prend différentes formes. De manière générale, chez la plupart des FAI, registrars et hébergeurs, c’est un service classique, un point de contact avec une adresse mail abuse@nomdudomaine épaulé par un formulaire en ligne.

En pratique, ce n’est pas un bonus qu’offre par exemple Gandi, mais bien une prestation prenant plusieurs formes, soit des services indépendants soit des services rattachés à la direction juridique ou un centre opérationnel de sécurité (SOC), un Computer Emergency Response Team (CERT) ou un Computer Security Incident Response Team (CSIRT). Tout dépend des personnes, de l’ampleur de l’équipe et des tâches assignées. Ceux qui les composent viennent souvent du support, du monde du droit ou de la technique pure, selon le type de traitement sollicité. Il y a toutefois une exception : les bureaux d’enregistrement de nom de domaine pour lesquels existe une obligation d’avoir un contact « abuse » afin de répondre aux demandes de l’ICANN.

Un service pas toujours obligatoire, mais pour autant vous avez des obligations légales dans votre rôle d’intermédiation…

Nous les avons effectivement spécifiées dans un livre blanc présenté lors du Forum International de la Cybersécurité à Lille. Il y a en particulier des obligations liées aux contenus reconnus comme manifestement illicites. Ces cas demandent une prompte intervention dès que nous sommes notifiés selon les termes de la loi pour la confiance dans l’économie numérique (LCEN). Dans ces cas-là, on doit vérifier si la demande est réelle ou non. Le cas échéant, nous avons des actions à prendre en fonction de notre rôle d’hébergeur ou de registrar. Évidemment, nous contextualisons l’action en fonction du client, de l’ancienneté, des contenus, etc. il y a tout un tas de paramètres à prendre en compte.

 Alexandre Hugla et Charles Edouard Pezé (Gandi.net)

La loi vous impose de transmettre aux autorités (l’OCLCTIC) ces faits manifestement illicites. Mais comment faites-vous le tri entre un contenu fleuri et un contenu vraiment illicite ? Avez-vous des cas de conscience ?

Nous recevons quotidiennement plusieurs dizaines voire plusieurs centaines de notifications, et dans celles-ci, il y a celles que nous sommes obligés de remonter, celles manifestement illicites. Nous maintenons l’équilibre défini par la LCEN et l’application qu’en a fait le Conseil constitutionnel. Ceci concerne une liste d’infractions très particulières. C’est l’apologie de crime contre l’humanité, la pédopornographie, l’incitation à la haine raciale. Plus récemment, la loi pour l’égalité réelle entre les femmes et hommes a ajouté les contenus incitant à la haine à l’égard des personnes en raison de leur sexe, leur handicap, etc. Normalement, on ne doit pas avoir de cas de conscience.

La loi du 13 novembre 2014 sur le terrorisme a cependant ajouté à cette liste l’apologie et la provocation du terrorisme. Alors que le sujet fait débat, comment faites-vous pour deviner ce qui relève exactement de ces infractions ?

C’est un cas un peu particulier. Le texte de loi étant récent, on n’a pas assez de recul pour dire aujourd’hui comment nous allons le gérer. De même, on n’a pas eu de cas concret chez nous jusqu’à présent. Du coup, on ne sait même pas si cela va être compliqué ou pas ! Les contenus qui étaient jusqu’à présent manifestement illicites sautaient aux yeux, il n’y avait pas à se poser de question. Pour ces cas-là, effectivement, il y peut y avoir une ligne assez floue.

Une attitude prudente consisterait sans doute à attendre les premières décisions de justice…

C’est clairement cela. Nous allons suivre avec grand intérêt pas seulement les décisions de justice, mais également ce qui va se passer à l’intérieur de la communauté puisqu’en France, les services « abuse » se parlent. Il y aura des retours d’expérience quand les premiers cas seront traités. Plutôt que les hébergeurs stricto sensu comme nous, ces problématiques vont peut-être davantage toucher les plateformes communautaires en raison des contenus générés par les utilisateurs.

On évoque le manifestement illicite, mais dans les notifications reçues, il y a également le spam, le phishing, etc. Qu’est-ce qui constitue le gros de votre travail ?

Il est difficile de dresser une volumétrie puisque les faits varient en fonction des saisons et de l’activité des groupes qui sont parfois derrière. On a la chance de ne pas avoir de vrais gros spammeurs sur nos plateformes. Généralement, ce sont plutôt des clients qui vont se faire détourner leur boite mail car leur mot de passe n’est pas suffisamment sécurisé. Dans ce cas-là, il est facile de prendre contact avec eux afin de leur demander de résoudre le problème. Pour les cas de vrais spams, là aussi, la solution passe par la prise de contact pour proposer de retirer l’adresse du plaignant ou par exemple vérifier que les liens dans telle newsletter sont vraiment fonctionnels, comme la loi le lui oblige. Le gros du travail repose sur un dialogue avec beaucoup d’explications et de pédagogie.

Vous avez donc présenté lors du FIC un livre blanc sur le sujet des services « abuse ». Quelle est la vocation de ce document rédigé par plusieurs acteurs ?

Il y a un ras-le-bol généralisé qui traverse la profession face à ceux qui présentent Internet comme un western. Depuis plus de dix ans, la plupart des intervenants travaillent sur ces questions, il y a des lois, des règles, qu’on applique au quotidien sur la partie du réseau dont on assure la gestion. Dire que sur Internet, on fait ce qu’on veut, ce n’est pas vrai ! Il y a tout un tas de gens qui œuvrent pour faire en sorte que les procédures soient appliquées. C’est pour cela que les prestataires, qui ne sont pas toujours sous les lumières des projecteurs, ont décidé de dire « calmez-vous, voilà ce qui se passe, voilà la responsabilité des uns et des autres, voilà la chaine complète des cas les plus classiques » afin de montrer non seulement qu’on existe, qu’on est là au quotidien, qu’on traite des cas et que nous résolvons des problèmes.

À l’occasion du FIC 2015, l’enjeu était de souligner cette collaboration entre les services et, qu’en bonne intelligence, on est capable de produire un document. Arrêtons les fantasmes, oui Internet est régulé, oui il y a des interlocuteurs réels qui traitent les cas et des actions sont prises. L’objet de notre atelier au FIC fut donc de démontrer qu’il est possible de retirer un contenu illicite. Il suffit de savoir actionner la bonne personne !

La vocation de ce livre blanc est aussi d’être diffusée au plus grand nombre. Aller voir un FAI parce qu’il vous a permis d’accéder à un site ne va jamais nous permettre de faire retirer une photo volée. Le fait de distinguer le registrar et l’hébergeur est une autre information assez fondamentale utile à beaucoup de personnes, dont des professionnels, des avocats, des services juridiques de grandes sociétés, pour gagner un temps précieux et finalement nous aider à combattre ce mythe. Dès qu’on respecte les règles, le formalisme et qu’on contacte la bonne personne, il n’y a pas de problème, plus de ping-pong entre les services, le contenu est retiré.

Des opposants vous diront cependant que ce n’est pas toujours simple, notamment avec les hébergeurs qui n’ont pas cette démarche qualité…

Ce n’est pas une démarche qualité, c’est l’application stricto senso des lois. Ceux qui disent qu’il n’y a pas de textes, mentent, ils n’ont aucune connaissance du métier, voire travestissent la réalité pour la faire plier à leur vision et ainsi faire passer autre chose. Si les gens commençaient à appliquer ou même à lire les textes existants, nous n’aurions pas ces problèmes-là. Aujourd’hui, nous avons des demandes irréalistes, qui se basent sur des règles ou des pratiques qui n’existent pas et ces mêmes personnes vont venir ensuite râler en disant qu’on n’a pas fait ce qu’on nous a demandé...

Auriez-vous un exemple ?

Typiquement, un nom de domaine sur lequel sont hébergés des centaines de milliers de blogs. Une personne vient voir l’intermédiaire pour lui demander de couper le nom de domaine, car elle n’arrive pas à obtenir le retrait d’un contenu dans un de ces blogs. Elle va alors reprocher au registrar une passivité, l’accusant de complicité. Non ! Ni la loi ni le règlement ne disent cela. Ce n’est pas parce qu’une décision ne convient pas à une personne, qu’on ne fait rien ou qu’internet est une zone de non-droit. C’est juste que l’intéressée ne veut pas comprendre la réalité des choses. Il est aujourd’hui plus facile de faire passer le message « ils ne font rien » que d’avouer « j’ai dit n’importe quoi ». Nous appliquons les lois, on regarde les cas, et c’est pareil pour tous les services « abuse ». De manière générale, si vous n’avez pas une décision en faveur de ce que vous demandez, c’est peut-être aussi parce que votre demande initiale est fausse, mal fondée ou mal dirigée.

Mais quid donc des hébergeurs situés hors de France, loin des rigueurs de la LCEN ?

En termes de volume, il y a une forte proportion d’hébergeurs qui sont situés aux États-Unis. Or, on reçoit actuellement nombre de notifications qui sont calquées sur le formalisme américain (notification DMCA). Ce formalisme est sensiblement équivalent à celui en vigueur à l’échelle européenne. Il n’y a finalement pas beaucoup d’hébergeurs qui se situent dans les « rogues states », ces pays qui ne respectent absolument rien, mais qui disposent de législations très contraignantes. Chez nous, par exemple, la diffamation répond à une définition très précise. On a droit de dire pas mal de choses vis-à-vis de pas mal de personnes. L’hébergeur qu’on imagine au fin fond d’un pays dictatorial, sans convention d’extradition ou de coopération pénale, se situe parfois dans un espace où la diffamation consiste simplement à mentionner le nom d’une personne. En France, heureusement, on n’en est pas du tout là !

Vous vous inscrivez donc en faux pour tous ceux qui estiment qu’Internet est une zone de non-droit…

C’est exactement comme le fantasme selon lequel on peut aller sur Google pour trouver du contenu pédopornographique. Je laisse peu de chance à quiconque d’en trouver facilement, accessible en un clic. Et d’ailleurs, plus les lois sont restrictives et plus les éditeurs se cachent, chiffrent et donc moins on trouvera ces contenus.

Il y a un gap très important entre le ressenti de quelques-uns et la vérité. Encore une fois, quand une personne râle, il faut souvent un peu creuser pour découvrir que sa demande était infondée et ne pouvait aboutir. On ne dit pas que c’est facile dans tous les États, il existe en effet des cas où des hébergeurs sont un peu plus laxistes ou n’ont pas les mêmes problématiques, mais dire qu’internet est de manière générale comme ça partout, ce n’est évidemment pas vrai. Des lois existent, sachez actionner les bons services, en gardant bien à l’esprit que ces demandes sont traitées par un humain. Être poli et posé, sans hurler sur l’opérateur aide beaucoup à faire traiter les cas ! Bien souvent les gens oublient la bienséance la plus basique. Peut-être qu’en la respectant, sans insulte, peut aider à voir un ticket traité plus rapidement.

Un dernier mot de la fin ?

Pour schématiser, la plupart des services d’enregistrements, des FAI et des hébergeurs ont un service « abuse », qu’on peut contacter à l’adresse abuse@nomdedomaine, avec un formulaire dédié accessible depuis le site principal. Il est important alors de donner le maximum d’informations, ces services « abuse » n’ayant pas forcément la capacité de les retrouver. Adresse IP, contenus, URL, nom de domaine, les entêtes quand c’est du spam, des captures d’écran, etc. Il faut respecter le formalisme et essayer de se mettre à la place de la personne qui va traiter le ticket, ce qui suppose de parler normalement, en accédant aussi aux sollicitations qui peuvent paraître un peu bizarres, comme une demande de traceroute, parfois utile pour traiter le cas soulevé. Il ne faut jamais oublier que les services « abuse » ne sont pas des opérateurs publics et qu’ils vont éventuellement taper sur leurs propres clients. Ce n’est donc jamais de gaité de cœur qu’on va s’en prendre aux gens qui nous font manger à la fin du mois. Notre travail consiste finalement à trouver la meilleure solution et si on met des canaux à disposition de tous, ce n’est vraiment pas pour embêter, mais pour centraliser et optimiser le traitement.

Merci Alexandre Hugla et Charles Edouard Pezé.