OVH ne veut pas être responsable de la lutte antiterroriste

OVH ne veut pas être responsable de la lutte antiterroriste

OVH ne veut pas être responsable de la lutte antiterroriste

Le premier hébergeur européen a désormais bien compris l'intérêt du lobbying. La société contribue à Cispe Cloud, qui regroupe 30 acteurs du cloud, dont Amazon Web Services.

Depuis fin novembre, le groupe s'inquiète publiquement du projet de règlement sur la lutte contre les contenus terroristes, qu'il estime dirigé vers les mauvais acteurs ; c'est-à-dire eux.

« Contrairement aux réseaux sociaux et autres services de partage de photos et vidéos, qui ont un contrôle sur le moindre contenu mis en ligne par leurs utilisateurs, [...] les fournisseurs d'infrastructure cloud n'ont aucun contrôle ou accès aux données stockées par leurs clients, ou sur la disponibilité de ces données au public » résumait le lobby, dans un communiqué du 27 novembre.

Désormais, le patron d'OVH, Octave Klaba, est mis à contribution. Dans une tribune publiée par Les Échos, il attaque encore le projet.

« Vouloir imposer aux fournisseurs d'infrastructures cloud des règles taillées pour les plateformes de réseaux sociaux, qui diffusent des contenus publics, c'est comme demander à un imprimeur de faire le travail d'un directeur de rédaction » estime-t-il.

Le lobby demande la clarification du texte, pour en exclure ses membres. Nous aurons bientôt l'occasion de revenir sur le fond du texte.

Commentaires (20)




« Vouloir imposer aux fournisseurs d’infrastructures cloud des règles taillées pour les plateformes de réseaux sociaux, qui diffusent des contenus publics, c’est comme demander à un imprimeur de faire le travail d’un directeur de rédaction » estime-t-il.





et il a bien raison.




Le lobby demande la clarification du texte, pour en exclure ses membres.





<img data-src=" />


Pour exclure les hébergeurs de l’obligation de filtrer les contenus terroristes.


Bien d’accord avec lui, ce n’est pas leur role. Pourquoi OVH irait fouiner dans les données que j’héberge chez eux ?

&nbsp;

C’est comme demander à un propriétaire d’un logement de s’assurer que le locataire n’a pas d’activité terroriste…


Cela nous parait tellement évident…

Edit : nous -&gt;&nbsp; technophile


Rien à voir avec déconner (sens premier du terme) ici.


Et puis si une telle loi et voter, l’Europe compte suffisamment de pays pour aller baser son siège dans un autre pays. Resterait la R&D, des datacentes, et quelques filiales…. La France aurait alors encore réussit à faire fuir un fleuron hors du pays…








Pseudooo a écrit :



C’est comme demander à un propriétaire d’un logement de s’assurer que le locataire n’a pas d’activité terroriste…







Jawad, on t’a reconnu !



J’ai l’impression que toutes les nouvelles lois dans le numérique c’est de la merde depuis ces dernières années ?!!

(et pas que dans le numérique d’ailleurs…)


pour parodier une pub pour du pseudo cassoulet : “ce soir, on dort chez Jawad !” <img data-src=" />



edit : ah merde, grillé. ça m’apprendra à bosser, tiens <img data-src=" />








tazvld a écrit :



Rien à voir avec déconner (sens premier du terme) ici.





<img data-src=" /><img data-src=" /><img data-src=" />









Mr.S a écrit :



J’ai l’impression que toutes les nouvelles lois dans le numérique c’est de la merde depuis ces dernières années ?!!

(et pas que dans le numérique d’ailleurs…)





Et pas que les nouvelles non plus …





les fournisseurs d’infrastructure cloud n’ont aucun contrôle ou accès aux données stockées par leurs clients, ou sur la disponibilité de ces données au public




  J'ai du mal à concevoir qu'ils n'auraient aucun contrôle sur les données et les machines virtuelles exploitées par leurs clients. Si je cesse de paier, elles ne seraient donc jamais effacées et toujours disponibles ?   





Pour une raison déontologique et professionnelle, évidemment ils s’interdisent l’accès, mais ne pas en avoir…








TheKillerOfComputer a écrit :



J’ai du mal à concevoir qu’ils n’auraient aucun contrôle sur les données et les machines virtuelles exploitées par leurs clients. Si je cesse de paier, elles ne seraient donc jamais effacées et toujours disponibles ?



Pour une raison déontologique et professionnelle, évidemment ils s’interdisent l’accès, mais ne pas en avoir…







Je vois pas trop comment. Si ton FS est chiffré et que tu as changé le pass root par défaut, leur seul pouvoir c’est de formater ton volume, à la limite. Mais y acceder je vois pas comment.



Voilà, j’allais faire la même réponse.


On ne parle pas d’une loi française ici mais d’un éventuel règlement européen. Il leur faudrait partir au Royaume Uni après le brexit, par exemple. Mais il faudrait surtout aussi déplacer les data centers pas juste le siège social.


Sauf que c’est malheureusement un peu plus compliqué que ça. Tu as beau chiffrer le volume, il faut bien le déchiffrer à un moment où à un autre. Or un serveur web doit servir du contenu après un reboot, il faut donc qu’il soit capable de déchiffrer les pages à afficher juste après un reboot, au moins la page d’accueil. Si c’est un site de propagande, il doit aussi montrer du contenu “sensible” à ses visiteurs sans demander un log-in.



Et si tu as une machine qui lorsqu’elle reboote attend une action manuelle avant de pouvoir démarrer, tu n’es pas encore sorti d’affaire puisque la clé SSL privée doit bien être stockée quelque part pour que l’opérateur puisse se connecter. Et si elle est chiffrée, la clé de chiffrement doit être en clair, etc. Tu peux ajouter autant de niveaux d’indirection que tu veux, à un moment il faut un truc accessible en clair quelque part.



Donc oui les messages privés entre membres seront indéchiffrables si c’est bien torché, mais tout le reste (site web, vidéos de propagande) pourra être décrypté sans passer par la force brute.








TheKillerOfComputer a écrit :



Pour une raison déontologique et professionnelle, évidemment ils s’interdisent l’accès, mais ne pas en avoir…







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Donc oui les messages privés entre membres seront indéchiffrables si c’est bien torché, mais tout le reste (site web, vidéos de propagande) pourra être décrypté sans passer par la force brute.





Quand je parlais avec OVH de leur stratégie pour démanteler les botnets, l’idée de départ était qu’ils n’ont aucun droit de regard sur le contenu hébergé, à moins d’un signalement ou d’une décision de justice.



Donc impossible de contrôler de manière proactive ce qu’ils hébergent, surtout qu’ils ont des masses incalculables de données.



Pour les botnets, le principal contournement est de repérer les serveurs de contrôle ouverts (via Shodan en l’occurrence) et de collecter des preuves sans fouiller dans les données hébergées. Que les données soient stockées en clair ou chiffrer n’y change rien en principe.









Gnppn a écrit :



[…]ils n’ont aucun droit de regard sur le contenu hébergé, à moins d’un signalement ou d’une décision de justice.



Donc impossible de contrôler de manière proactive ce qu’ils hébergent, surtout qu’ils ont des masses incalculables de données.





Justement, le règlement en question leur donnerait ce droit de regard, voire pire cette obligation de regard. Et comme tu dis, au vu de la quantité de données, même si théoriquement c’est faisable, c’est irréalisable en pratique.



Typiquement le genre de réflexion qui amène à ces lois stupides.



Mais la question semble légitime et les décideurs, si ils se la pose avant de pondre des lois pourries feraient gagner beaucoup de temps et d’argent.



Pour répondre : Non les hébergeurs n’ont pas accès au contenus, mais comme ça a été dit avant ils ont le contrôle sur le support (nuance clé). Ils sont donc a meme de réinitialiser completement une vm par exemple, sans pour autant avoir eu accès au moindre octet de contenu de cette dite vm.



C’est très simple a tester concretement : tu instale un petit virtual box, tu configures une petite VM et tu oublies malencontreusement tes accès a cette vm.

Voilà tu n’as plus accès a ta vm et à son contenu, maintenant, tu es en quelques sorte un hebergeur, l’espace disque et les ressources matérielles aloué ne sont pas perdu, si tu le decide tu peut supprimer la vm pour récupérer les resosurces alloué.



Edit : le volume de la vm est bien évidement chiffré, sinon c’est pas drôle.


Fermer