OVH a revu ses conditions contractuelles encerclant la location des serveurs dédiés. En ligne de mire, le réseau Tor et les dispositifs d’anonymisation, désormais interdits par défaut, sauf autorisation. Octave Klaba, directeur général de l’opérateur s’en est expliqué dans un mail, visiblement excédé des procédures anti-pédopornographies. Le nouveau contrat d’utilisation contient aussi des mesures anti-spam pour repérer l’envoi de courriers non sollicités.
Extrait du nouveau contrat OVH (PDF)
Hier, Octave Klaba, fondateur et patron d’OVH a adressé un courrier dans lequel il explique pourquoi les nœuds TOR et les services de navigation anonyme sont désormais les malvenus dans son offre de serveur dédié. « Depuis quelques mois, nous avons eu plusieurs affaires juridiques liées à l'utilisation de plusieurs réseaux TOR dans le cas de la pédo et on va désormais l'interdire au même titre que tous les systèmes d'anonymisation. Cela augmente l'utilisation frauduleuse de notre réseau et le nombre de réquisitions juridiques chaque mois ». L’interdiction globale a ainsi été préférée à la gestion individuelle des dossiers.
Interdiction gommée sur autorisation
Ces propos ont été traduits à l’article 7.4 du contrat OVH sur les serveurs dédiés, sous l’évocation de « raisons de sécurité » : « Pour des raisons de sécurité, l’ensemble des services IRC (à titre non exhaustif : bots, proxy, bouncer, etc.), services de navigation anonyme (généralement appelés proxy), noeuds TOR, ne sont pas autorisés sur le réseau OVH ». Le principe sera donc celui de l’interdiction, mais le client pourra toujours se voir accorder une « autorisation écrite d’OVH », prévient cette même clause. Autorisation qui lèvera l'anonymat.
La société précise encore que l’opérateur « se réserve le droit de suspendre tout serveur sur lequel ces éléments seraient utilisés sans autorisation préalable d’OVH ».
« Déçu qu'on bannisse les technologies d'anonymisation, qui ont encore montré récemment combien elles devaient continuer à exister et surtout ne pas être bloquées (je dirais même encouragées dans le cas des journalistes) » a réagi après cette annonce un utilisateur sur le forum officiel. Sur Twitter, Octave Klaba (@Oles) assure cepenant que les VPN et les proxys seront toujours autorisés, alors que ces derniers sont pourtant visés par l'article 7.4.
Des mesures anti-spam et mails frauduleux
Ce n’est pas tout. OVH met également en place un système destiné à lutter contre le spam et l’envoi de mails frauduleux. Ces mesures annoncées en juin sont programmées dans les semaines à venir mais les clauses contractuelles permettent d’esquisser ce qui va se passer concrètement. « Nous avons en effet beaucoup trop de problèmes de spam et il ne suffit plus de fermer les serveurs après avoir constaté le spam plusieurs heures après. C'est trop tard. Il faut le faire en temps réel et pouvoir bloquer le flux en quelques dizaines de secondes. Ainsi on pense réussir enfin le nettoyage de notre reseau de spammeurs (qui peuvent commander les serveurs comme tout le monde, en quelques minutes) » écrivait en juin dernier OVH.
Pour le coup, la société va mettre en place des mesures de vérification du trafic émis depuis le serveur utilisé par le Client vers le port 25. La vérification se fait par des outils automatiques, et les envois, assure-t-on, ne seront « ni filtrés ni interceptés », mais « vérifiés avec un décalage temporel de quelques secondes. »
Vérification sans filtrage ni interception ? OVH garantit que « ces opérations sont faites en parallèle et en aucun cas de manière frontale entre le serveur et le réseau internet », de même « aucune opération n’est effectuée sur les courriels émis : OVH ne procède pas au marquage (Tag) des courriels, et ne modifie d’aucune manière les courriels envoyés par le Client ». En juin dernier, la même société annonçait des tests de duplication des flux des emails sortant. « L'idée est de dupliquer tout le trafic que nos clients font en sortie vers le port 25 (smtp) sur une plateforme de network anti-spam puis d'analyser en temps réel les échantillons des emails par IP qui sortent de notre réseau pour contrôler si une IP envoie du spam ou pas ».
Les seules données stockées par OVH dans ces flux sont des données statistiques, ce qui laisse entendre qu’OVH analyse avant tout la volumétrie sortante, histoire de repérer les hémorragies de spams. OVH ne détaille cependant pas les mesures mises en œuvre, manière sans doute d’éviter leur contournement. Seule certitude : tout se fera de manière automatisée, sans intervention humaine.
Escalade des mesures
Si le serveur d’un client est identifié comme source de pourriel, il sera averti et le port 25 bloqué. Le client pourra demander le déblocage du port SMTP via l’interface de gestion. Cet échange devrait permettre de traiter a posteriori les cas de faux positifs lorsqu'une mailing a été détectée comme spam. Si le client est à nouveau identifié comme spammeur, le blocage sera réactivé « pour une durée plus importante ». Enfin, « à compter du troisième blocage, OVH se réserve la possibilité de refuser toute nouvelle demande de déblocage du port SMTP. ». Une vraie petite riposte graduée.
Les mesures prises à l’encontre du port 25 ne sont pas une grande nouveauté. En décembre 2006, Free avait pris la décision de filtrer par défaut ce port. En 2007, Orange lui emboitait le pas avec une différence de taille puisqu’il n’était pas possible de désactiver ce blocage. Plus tôt, en mai 2005, l’Association des fournisseurs d’accès préconisait des mesures similaires. « Les fournisseurs de messagerie peuvent être amenés à détecter les comportements anormaux (transmission de virus, mail bombing, envoi massif de spam, etc) et dans ce cas peuvent bloquer le(s) compte(s) des utilisateurs dont le poste de connexion a un tel comportement ». Citons encore l’ANSSI, l’Agence nationale pour la sécurité des systèmes d’information avec ce bulletin du CERTA.
Commentaires (179)
#1
Décidément la pédopornographie toujours l’argument béton pour empêcher les gens d’être anonyme sur internet pour pouvoir les surveiller.
Bientôt on sera payé par les gouvernement pour utiliser Fastasibook.
#2
le client pourra toujours se voir accorder une « autorisation écrite d’OVH »,
Donc pour éventuellement prétendre à l’anonymat, il faut une autorisation écrite (et nominative du coup) " />
#3
Et bientôt les seedboxs ?
En tous cas c’est pas bon du tout tout ca, on prive une grande partie des utilisateurs normaux de TOR qui ont une utilisation légitime à cause de quelques connards qui font n’imp, au lieu de traiter au cas par cas….
#4
Petite question
Le blocage du TOR concerne-t-il seulement les serveurs dédiés, ou cela concerne aussi la fourniture d’accès ?
#5
Je comprends. Ca doit foutre la haine quand tu te rends compte que tes serveurs sont utilisés par des pédonazis.
Je dirais même que c’est plutôt couillu de leur part…
D’abord, ils s’exposent au courroux de la communauté (“wé, toussa Tor n’est qu’un outil, comme le protocole Bitorrent, le responsable n’est pas l’arme mais celui qui s’en sert”).
Ensuite, j’imagine que ça va se traduire par une petite baisse du CA si les types qui font ce genre de business ne louent plus de serveurs chez eux.
#6
#7
” tous les systèmes d’anonymisation “… dont proxy…
Genre les soft type OpenVPN aussi ? " />
#8
#9
#10
Si certains utilisent TOR, c’est qu’il y a une raison… (désolé)
On a souvent reproché aux opérateurs mobiles de ne pas proposer un véritable Internet, mais en réalité uniquement du Web (interdiction d’utiliser de la VoIP, du P2P, pas de mode modem, etc.). Depuis beaucoup de forfaits data se sont ouverts à tous ces protocoles.
Là, OVH va dans la direction inverse : on propose Internet, et on interdit certains protocoles selon nos humeurs… Vive la neutralité. " />
Il y a Internet, et Internet par OVH…
#11
#12
Le principe sera donc celui de l’interdiction, mais le client pourra toujours se voir accorder une « autorisation écrite d’OVH », prévient cette même clause. Autorisation qui lèvera l’anonymat
Hm, là je comprends pas trop la fin. Le principe de Tor, c’est que les noeuds ne sont pas anonymes, de toute façon: l’hébergeur sait qui fait tourner le noeuds, la liste des IPs de tous les noeuds est publique, il est encouragé de renseigner ses infos de contacts dans la config du serveur et d’installer un page type sur le port 80 du serveur pour les gens qui viendrait voir sur l’IP avec leur navigateur (ces derniers éléments concernant surtout les noeuds de sortie)… Tor ne repose pas sur l’anonymat des noeuds, mais sur l’anonymat du traffic.
#13
Concrètement, est-ce que cette mesure bloque l’utilisation du serveur dédié comme proxy pour éviter les “engorgements” type Free - Youtube ?
#14
Bon, en même temps, ils ont été emmerdés au pénal à cause de Tor. Même si je ne soutiens pas leur démarche, je la comprends.
Mais bon, ça ne fait que déplacer le problème…
#15
#16
#17
#18
#19
#20
l’ensemble des services IRC " /> sous-entendu qui passent par TOR ou tel quel ?
#21
#22
En même temps, c’est bien connu que TOR est un nid de pédonazis. Cela dit, je ne cautionne pas la décision d’OVH qui laisse présager d’autres mesures entravant la neutralité d’Internet. Ca sent pas bon tout ça.
#23
#24
OVH " /> vous tournez votre veste !
#25
#26
#27
#28
Et comment ils vont prouver qu’on a un squid (proxy) ou un VPN sur le serveur?
#29
/Mode conspiration ON
Qui nous dit que toutes ces demandes judiciares ce n’est pas du flood histoire de pourrir OVH et qu’ils en aient marre de toutes les traiter, pour leur faire femer les noeuds TOR plus vite ?
/Mode conspiration OFF
#30
Je sens comme une petite migration, pas vous ?
#31
Donc moi j’ai un serveur dédié chez eux principalement pour mes backups perso, et pour faire tourner mon bouncer (aucun bot), ils vont me shutdown mon serv du jour au lendemain parce que j’utilise un bouncer ?
‘foirés de pédonazis
#32
#33
#34
#35
Gnié ?
Plus possibilité de créer un VPN sur mon dédié pour éviter le débit foireux de Youtube chez Free ?
#36
Bientôt chez OVH, le dédié aussi polyvalent qu’un mutu.
#37
Je ne comprend pas très bien le problème avec TOR. Si je suis responsable d’un noeud TOR, la seule chose que je fais, c’est faire suivre des requêtes. Après qui les a faite, je ne sais pas, quelles sont ces requêtes, je ne les logs pas ! Comment je peux être tenu pour responsable dans ce cas ? Je ne choisis pas qui fait quoi ! Je donne un moyen pour anonymiser des échanges, et ça ce n’est pas illégal ?
#38
#39
Bon pour couper court à tout, Oles à répondu que les proxy et VPN étaient autorisés sur les servers dédiés.
https://twitter.com/olesovhcom/status/361901869896966144
#40
Bof je les comprends. Mais je crois d’après mes souvenirs que l’IRC et les proxy étaient déjà interdits, mais tolérés.
La nouveauté, c’est l’ajout de TOR à cette liste.
Puis bon.. Ils font ce qu’ils veulent, c’est leur service, si t’es pas content tu vas ailleurs ^^
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52
#53
#54
Ils sont bien gentils mais je fais comment pour acheter mes armes moi maintenant ?! " />
#55
#56
#57
#58
#59
#60
#61
Je suis abasourdis par tant de volonté du gouvernement de combattre la pédopornographie , sujet au combien essentiel , bien entendu n’y voyons pas la une quelconque excuse pour combattre l’anonymat , la France étant bien entendu le porte drapeau des libertés et du respect des droits fondamentaux .
#62
#63
#64
#65
1er avril???
#66
A force de voir les politiques (et pas que) justifier la majorité de leurs tentatives de régulation du net avec la pédopornographie, quand je lis “on va bloquer tel protocole à cause de la pédopornographie” ça devient automatiquement “on va bloquer tel protocole et comme il faut qu’on justifie ce blocage on va dire que c’est pour lutter contre la pédopornographie vu qu’avec ça on peut faire accepter tout et n’importe quoi”…
#67
#68
#69
#70
la vérité c’est que ca leur bouffe trop de bande passante…
dans le pire des cas le server est saisi et ils ne trouveront rien dedans " />
#71
#72
#73
#74
#75
C’est marrant, je parlait justement de cette possible future interdiction de tels services sur les dédiés OVH il n’ya pas si longtemps que ça dans des commentaires.
Marrant de voir comment ça évolue… Deuxième fois que je dis ça sur deux news différentes aujourd’hui mais: c’était prévisible…
#76
#77
#78
https://metrics.torproject.org/network.html
ils ont pas encore fermé les servers? ou c’est que pour les nouveaux servers?
#79
#80
#81
#82
OVH veut conquérir l’Amérique du Nord et paf les restrictions deviennent légion. Coïncidence ?
#83
Moi je m’en sers de TOR mais pas sur OVH, chez moi…quand je télécharges de la musique ou des films ;)
#84
#85
#86
#87
#88
#89
#90
#91
Tu e
#92
#93
#94
#95
#96
“Pour des raisons de sécurité National Security Agency, l’ensemble des services IRC (à titre non exhaustif : bots, proxy, bouncer, etc.), services de navigation anonyme (généralement appelés proxy), noeuds TOR, ne sont pas autorisés sur le réseau OVH
" />
#97
#98
#99
#100
#101
#102
#103
#104
Juste pour info, les utilisations de seedbox ont été retiré des utilisations interdites (ancien article 8 de leur cgv) ca fait parti des nouvelles mesures.
#105
#106
Je suis cité dans l’article (c’est moi T-OCMorpheus sur le forum OVH–rapport à mon pseudo de jeu). Ca fait bizarre.
#107
Et pour FrozenWay qui utilise pas mal de serveur OVH ? Il propose du VPN bien pratique pour éviter les filtrages sur les réseaux de FAC ou mobile.
#108
#109
Si le serveur d’un client est identifié comme source de pourriel, il sera averti et le port 25 bloqué. Le client pourra demander le déblocage du port SMTP via l’interface de gestion. Cet échange devrait permettre de traiter a posteriori les cas de faux positifs lorsqu’une mailing a été détectée comme spam.
…
Enfin, « à compter du troisième blocage, OVH se réserve la possibilité de refuser toute nouvelle demande de déblocage du port SMTP. ».
C’est quand même assez ennuyeux de risquer d’être embêté sur l’envoi d’une simple mailing-list qui n’a rien de répréhensible.
Je me demande seulement s’ils réalisent qu’un webmaster ne peut pas prendre le risque vis à vis de ses clients qu’un service soit coupé ainsi à cause d’un faux positif.
Les gars, faudra pas vous plaindre si les clients partent demain à l’offshore, y compris pour des activités web parfaitement légales. A partir du moment ou l’on paye pour un service, il faut qu’il soit garanti.
#110
#111
#112
#113
#114
#115
#116
#117
#118
“visiblement excédé des procédures anti-pédopornographies” mais bien sur
la vraie question serait de savoir “qui” leur à dit de refuser ça ?
#119
#120
#121
L’étau se resserre et çà ira jusqu au bout du bout, y en a qui doutent encore ? " />
#122
Toujours utiliser un prétexte bien pensant pour imposer les outils de la prochaine dictature. Un peu comme les caméras de sécurité partout, eCall dans nos voitures, les écoutes sur smartphones et fixes (et oui…), les logiciels d’accès public à internet avec authentification par carte d’identité, etc…
C’est pour votre bien, on vous le jure ! On ne détournera surtout pas ces moyens techniques à des fins personnelles, c’est promis ! Et puis bien entendu : si vous n’avez rien à cacher, vous n’avez rien à craindre !
Je ne sais pas vous, mais de mon côté, je pense sérieusement que les psys doivent se régaler avec des patients aussi atteints, mais “seule l’autopsie pourra nous révéler…” (P. Desproges). Cela étant, j’imagine que le rêve de tout politicard est d’avoir une loi qui porte son nom ?!
Ils n’ont pas encore compris qu’il suffit à deux individus distants de se mettre d’accord sur un cryptage commun, et les grandes oreilles du net l’auront toujours dans l’os (et profondément).
C’est d’autant plus énervant de légiférer à outrance sur des causes perdues que la priorité actuelle devrait plutôt concerner la seule lutte contre le chômage et contre la corruption, les deux étant intimement liés. Bizarrement, je trouve nos cols blancs bien moins efficaces sur ses sujets - tout parti confondu - est-ce qu’on nous prendrait pas (un tantinet) pour des cons ?
#123
Moi qui envisageais dans le futur d’être client chez ce FAI, c’est dommage.
Encore quelqu’un qui s’attaque à l’outil plutôt qu’à celui qui utilise l’outil.
Quel que soit le sens dans lequel je regarde ce genre de situation, ça me semble parfaitement illogique.
#124
Sur Twitter, Octave Klaba (@Oles) assure cepenant que les VPN et les proxys seront toujours autorisés, alors que ces derniers sont pourtant visés par l’article 7.4.
Mouais alors ça , j’aime pas. cgu qui disent blanc patron qui dit noir, mais au final c’est quand même les cgu qui prévalent sur le “oui mais non” du patron. Cette zone de flou me fais vraiment hésiter à prendre un kimsufi-a-pas-chere (qui aurait servit de proxy-youtube entre autres chôses).
Pourquoi M’sieur Klaba le met pas noir sur blanc?
#125
#126
#127
A 3,58 € par mois je prends le risque d’utiliser mon serveur en temps que vpn, proxy toussa … je vais juste éviter d’utiliser le réseau tor …
Et pour les abrutis qui utilisent tor pour dl des films … arf faut leur mettre des claques … ou leur faire comprendre que tor ne sert pas à ça … mais bon quand on est con on est con …
#128
Merde j’ai fait une vilaine fôte " />
#129
#130
#131
#132
Attention, le Tor tue et la mousse tâche.
#133
On loue un serveur dédié sur lequel on ne peut pas installer ce qu’on veut, la bonne blague " />
La concurrence va se frotter les mains.
#134
#135
c’est quoi OVH ? On Vous Héberge ?
#136
On ne peut plus héberger chez eux un serveur VPN, ok. Mais rien n’empêche un de leur dédié de se connecter sur un VPN ? (avec un client openVPN)
#137
@ Ceux qui utilisent TOR, vous faites quoi dessus (réellement hein ) .. ?
Parce que franchement pour avoir un peu regardé ce qu’il y avait c’était super lent " /> et hormis pour les gens qui aiment les truc illégaux , je vois pas trop d’autres trucs intéressants réellement .. mais je peux me tromper , si vous avez de vrai trucs qui valent le coup (hormis truc illégaux evidement.)
(exemple ; un site qui raconte des choses censurées sur le Corée du nord , ou des nom dis que la presse ne peut pas dévoiler etc..)
#138
#139
Je suis en train de changer de FAI. J’envisage sérieusement une fibre chez OVH.
Au vu de ce changement brutal des conditions d’utilisation pour l’hébergement des serveur (rien à voir diront certains) et au motifs fumants habituels, je me demande si cela vaut la peine de quitter mon FAI actuel qui, lui, n’a jamais prétendu être partie prenante de la neutralité du net.
Je vais revoir ma copie.
#140
C’est ridicule.
C’est mon FAI et j’ai un kimsufi chez eux, j’étais très emballé par leur nouvelle offre, mais si je ne peux faire ce que je veux avec mon dédié, il n’y a plus aucun intérêt.
Il va falloir, chiffrer les données de son serveur, puis se connecter à un VPN pour faire passer les flux sans filtrage.
Je vais finir par virer le kimsufi et repasser en auto-hébergement (BTW, Google Fiber interdit l’auto-hébergement apparemment). Peut-être faudra t’il trouver un dédié dans un pays plus ‘libre’
Des idées ?
#141
#142
#143
Vous êtes au courant que ce bout de texte n’interdit rien ? Il demande juste qu’on prévienne OVH avant.
Bon ok, c’est moins souple qu’avant, mais c’est pas inhumain d’envoyer un courriel. Sinon, ça va, “l’interdiction” par l’état de construire/agrandir sa maison, ça ne dérange pas ? " />
#144
Pour moi c’est plus du blabla juridique pour se protéger en cas de plainte. Pour gérer mon kimsufi je dois me connecter via SSH. Je crée un tunnel et hop mon serveur devient de facto un proxy/vpn…
#145
#146
#147
#148
Mais bien sûr, le bruit des bottes, tout ça…
Ca me fait toujours rire (jaune) de lire qu’on est dans une dictature.
C’est juste simplement indécent vis à vis de ceux qui vivent dans une vraie dictature eux (vous savez, avec le risque de torture et de peine de mort systématique et étatique pour délit d’opinion, de religion, de faciès…)
Ouuuuh l’état il est méchant, il aime pas les pédophile, et moi je vais faire couler ovh en prenant pas un kimsufi à 4 euros parce qu’ils veulent pas me laisser utiliser un système d’anonymisation que bien sûr j’utilise que pour des trucs légaux”.
(rien qu’en disant ça, je vais me faire traiter au moins 50 fois de collabo)
#149
#150
#151
#152
#153
#154
#155
#156
#157
#158
#159
#160
#161
#162
#163
#164
#165
#166
#167
Alors encore TOR on a moyen d’argumenter mais les bots IRC …
Je sais que y’a des bots qui sont utilisés comme tools pour des botnets mais quand meme, la moindre communauté de plus de 10membres posséde un chan IRC….
Il doit y avoir des bots irc sur au moins la moitié des serveurs ovh…
C’est un peu abusé d’interdire ca….
#168
#169
#170
Ca evolue:
“
7.4 Pour des raisons de sécurité, OVH se réserve la possibilité
de procéder à la suspension immédiate et sans préavis de tout
Serveur sur lequel serait proposé à titre gracieux ou onéreux,
un service ouvert au public de Proxy, IRC, VPN, TOR, pour lequel
OVH aurait connaissance d’une utilisation malveillante, frauduleuse
ou illicite.
“
#171
#172
#173
OVH interdit l’anonymisation, mais s’en sert pour rendre anonyme ses clients lorsque l’on fait une recherche WHOIS sur un site hébergé par eux…
#174
#175
#176
#177
#178
C’est pathétique. Tous dans le même panier. C’est vraiment rageant. " />
#179