Le service abuse des hébergeurs : comment ça fonctionne ?

*C’est lors d’une discussion avec Alexandre de chez Gandi qu’est venue l’idée de ce petit texte explicatif. Merci à lui.*

Un hébergeur, ce n’est pas uniquement une entreprise qui met à disposition des infrastructures techniques pour que les personnes puissent y mettre des données diverses C’est également un prestataire technique, réputé neutre, qui se doit d’être attentif à ce que font ses clients des ressources mises à disposition. Pour ce faire, se met en place un service mêlant technique et juridique nommé l'Abuse, service qui existe également chez les fournisseurs d'accès à Internet. Ici, on va s'intéresser au service abuse chez les hébergeurs.

Un service abuse est-il obligatoire chez un hébergeur ? Presque. La LCEN (Loi pour la Confiance en l’Economie Numérique) a posé les bases de la responsabilité actuelle pour les éditeurs de contenus et les hébergeurs de contenus. Si un abus quelconque est généré par un éditeur et qu’il refuse d’y mettre fin, c’est à l’hébergeur d’entrer en scène. C’est donc fortement recommandé et il est obligatoire d’avoir un outil quelconque permettant de signaler les abus à un hébergeur. Cet outil peut être géré par n’importe qui mais pour des raisons évidentes, il est beaucoup plus simple d’avoir une personne ou un service quasiment entièrement dédié à cette gestion.

Qu’est qu’un abus ? C’est une utilisation qui sort du cadre légal ou contractuel. Cela peut être un détournement de DNS, une utilisation d’un domaine et d’un service mail pour spammer, cela peut-être du cyber-squatting. Cela peut-être plein de choses. Par exemple, il y a le WHOIS incorrect, du spam envoyé depuis des serveurs, via par exemple une faille dans un CMS mis en ligne par son client, du cyber-squatting, des contenus illicites en vertu des lois applicables en fonction du territoire – de la pornographie infantile par exemple – des contenus protégés – une violation du copyright – et des contenus diffamatoires.

Est-ce que toutes les plaintes sont « valables » à un service abuse ? Justement non. Le cadre est délimité par la loi selon le pays dans lequel l’hébergeur est installé mais dépend aussi de la bonne volonté ou non des hébergeurs. Si on prend l’exemple de PRQ – hébergeur de Wikileaks – malgré la transposition interne en droit Suédois de la directive Européenne sur la conservation des données de connexion, l’hébergeur a clairement indiqué qu’il se fichait de ce que ses clients pouvaient faire avec ses infrastructures. Donc vous pouvez toujours lui envoyer toutes les plaintes imaginables, ils ont clairement indiqués qu’ils ne bougeront pas. Tout va donc dépendre des hébergeurs et de la loi en vigueur dans l’Etat concerné.

Et concrètement, comment ça fonctionne ? Imaginons que vous recevez un spam, vous retracez la provenance, l'IP du serveur utilisé en vous aidant des entêtes du mail reçu et vous envoyez un petit message au service abuse de l’hébergeur de l’indélicat pour signaler que vous recevez des spams. Vous lui donnez toutes les indications nécessaires et le service abuse va commencer par vérifier que le domaine est bien enregistré chez lui et que les serveurs concernés sont bien chez lui. Il prendra ensuite contact avec l’indélicat et peut tout à fait lui suspendre accès et serveurs, voir en dernier recours les supprimer.

Il fait d’autres choses le service abuse ? Le service est également l’interface privilégiée entre les autorités et les contrevents à la loi : les autorités de police ou de gendarmerie, les huissiers ou encore les magistrats. C’est ce service qui va faire la connexion entre les admins sys qui ont les logs de connexion et les autorités.

En résumé, le service abuse n’est pas là pour embêter les admins sys mais bien pour leur faciliter la vie dans les cas litigieux car il est à la fois un service technique et un service juridique.