Petite déconvenue ce matin avec Hetzner et mon service de partage de fichier temporaire.
L’IP de mon serveur principal (chez Retzo.net) était bloqué) parce que quelqu’un à utiliser mon service de fichier temporaire https://dl.retzo.net pour y déposer une image pornographique et c’est contre la politique d’utilisation des services chez Hetzner.
Leur système à détecter ça vers 3h du matin et ils m’ont envoyé un premier avertissement me demandant de régler dans l’heure le problème. Sauf que vous vous doutez bien où j’étais entre 3 et 4h du matin… et après blocage de tout le trafic IP j’ai envoyé ma requête de UNLOCK dès que j’ai perçu le problème et ils ont mis 1h à me répondre (c’était long… même si je me suis pas ennuyé, j’ai pris une 2ème IP et j’ai commencé à basculer tous les services dessus… propagation DNS quand tu nous tiens…)
Voilà c’était juste pour partager mon histoire.
Je ne vois pas bien ce que je peux mettre en œuvre pour éviter que ça ne se reproduise. Je fais un scan anti-virus quotidien des fichiers uploader par le service de partage temporaire mais là il n’aurait rien détecté… Je me vois pas mettre analyser les contenus uploadé ça m’encourage pas à garder ce service « ouvert » ce qui est dommage… ça devient vraiment compliquer de maintenir un service ouvert.
Et aussi : comment eux l’on détecté ? Ils ont eu une requête externe ou ils ont un service de scan du trafic et analyse (ça me semble fou mais bon, OVH fait bien ça pour le trafic SMTP)
Merci pour ce retour d’XP, nous sommes aussi chez Hetzner pour nos services.
Pas eut de souci jusque là, mais j’aimerais bien avoir le fin mot de cette histoire.
Est ce que @kepon tu leur as demandé par quelle méthode ils avaient détecté ce fichier ?
Pas sûr qu’ils scannent tous les fichiers entrants, je suppose que ça demanderait pas mal de ressources, mais je ne m’y connais pas dans ce domaine.
We do not have any control/filtering. There are multiple organisations and specialized authorities like NCMEC, German BKA or cybertip.ca searching for such content, collecting reports from the general public and reporting it to hosting providers for deletion.
In your case, we received the report from cybertip.ca.
"Nous n’avons aucun contrôle/filtrage. Il existe de nombreuses organisations et autorités spécialisées comme le NCMEC, le BKA allemand ou cybertip.ca qui recherchent de tels contenus, collectent des rapports du grand public et les signalent aux fournisseurs d’hébergement pour suppression.
Dans votre cas, nous avons reçu le signalement de cyberaide.ca."
Le problème du stockage en ligne ouvert à tous sans inscription !
Vu que la question de l’hébergement de contenu pornographique a déjà été évoqué sur ce forum, je me permets de rappeler que les contenus à caractère pornographique ne sont pas illicites dans les pays de la CE+Suisse. Mais que la pédopornograhpie l’est. (Typiquement, les cgu d’ovh, scaleway ou infomaniak, mentionnent les contenus à caractère pédoporn comme interdit à l’hbergement par ses cleints)
Je trouve étonnant que Hetzner fasse la distinction dans ses cgu.
Ceci étant dit, le signalement par le site du gov canadien est par nécessité un contenu child abuse donc pedoporn car la réglementaiton canadienne est identique sur ce point à celle de la CE.
Et puis si jamais vous êtes curieux et que vous passez de temps en temps à Bruxelles, il y a un festival du film porno organisé chaque année. Le propos est donc un porn feminist, LGBT+, revendicatif et politique s’opposant par défaut au retour de la bonne morale en politique et dans nos sociétés . About – Brussels Porn Film Festival
Là ça fait beaucoup… et ça cause « le noir pour tout le monde sur le server » (principalement mes clients qui ont du mail, du cloud important pour leur taf quotidien).
Je sais pas bien quoi faire d’autre que fermer ce service « ouvert à tous ». Parce que je ne peux contrôler moi même le contenu de chaque photo uploadé… A part si vous avez une idée de génie à ce sujet…
(et j’ai regardé les logs, les IP arrivent de partout et change à chaque connexion)
En vous souhaitant une meilleurs journée que le début de la mienne :-p
David
Personnellement, au vu des difficultés d’exploitation, je me demande si ça n’est pas le genre de service dont le scope devrait être adapté ?
Et je me demande, est-ce que tu connais tes utilisateurs licites ? Genre comment ils ont connu ton service ? Pour quoi ils l’utilisent ? Quel objectif cherchent ils à atteindre en l’utilisant ? Je me dis qu’il y a peut être des lignes de séparation nettes entre les usages licites et illicites ?
Exemple 1 : Les usagers licitent arrivent par entraide.chatons.org, les autres via du crawling / scan Internet → peut-être que entraide.chatons.org devrait forger des tokens au moment de rediriger vers ton service qui seraient validés par ton backend, rendant le crawling/scan inopérant.
Exemple 2 : Les usagers licites sont majoritairement les usagers de ton service email : alors tu peux mettre un LDAP / SSO devant ce service pour l’upload car tes users ont déjà un compte sur tes services.
@kepon, to service de « partage de fichier temporaire » est maintenant éteint et redirige vers des services à base de Lufi.
Qu’est ce que tu utilisais comme logiciel pour ce service ?
Lufi fait du chiffrement bout en bout. Le serveur ne voit et ne stock qu’une bouilli d’octets et donc aucun hébergeur ne peut être accusé d’héberger du contenu illicite avec ce mécanisme.
En l’occurrence je crois pas que ça aurait changé grand chose.
En l’occurrence c’est une signalement de personne qui, via un organisme type cybertip.ca (ou autre) qu’Hetzner à eu un signalement… Hetzner à eu un lien HTTP de signaler. Avec l’IP du domaine il savent quel serveur est hébergeur, il coupe le trafic IP. Donc que ce soit un lien file2link ou un lien Lufi ça aurait été la même chose…
Exacte il n’y a pas de chiffrement end to end sur file2link
Mais en l’occurrence ici, dans ce cas d’un signalement « abuse » ça n’aurait rien changé. Hetzner n’a pas été voir le fichier sur mon server, chiffré ou non ça n’aurait rien changé. Ils ont reçu une requête avec une URL qui pointe vers mon serveur avec un signalement sur cette URL.
Une URL de partage sur Lufi ou sur n’importe quoi d’autre te permet d’accéder au fichier… Donc de voir son contenu.
Aussi je ne suis même pas certain qu’Hetzner vérifie le contenu des URL signalé (pas mal de boulot + plutôt ingrat à regardé…