Blacklisté par SORBS - un jour dans la vie de Gandi.net
Par Arti le vendredi 5 mars 2010, 17:33 - Internet - Lien permanent
Voyant que ce problème commence à en devenir un pour certains de nos clients, nous avons pensé écrire un article rapide afin de vous faire savoir ce qu'il en est exactement.
Pour ceux qui connaissent bien Gandi.net, vous savez que nous construisons notre marque sur la base de l'honnêteté, et que nous prenons des mesures radicales contre les pratiques ténébreuses de l'industrie du nom de domaine, et de l'industrie du Net en général. Cela inclut bien évidemment une politique anti-spam. Pour preuve, nous soutenons SpamHaus, qui est elle-même une organisation anti-spam.
C'est donc avec surprise et regret que nous vous annonçons que nous avons été blacklistés par SORBS, sur le motif d'avoir "abrité des spammeurs". Une accusation qui, vous serez d'accord, ne colle pas avec Gandi.
Cette situation s'est produite en raison de notre processus de protection de nos clients, qui est au cœur de nos convictions. Quand nous détectons que l'un de nos clients est un spammeur, alors nous agissons, bien sûr. Nous ne protégeons pas les spammeurs.
Mais nous ne pouvons pas agir contre un client tant que nous n'avons pas obtenu une preuve claire de ses actions de spam. Nous restons stricts sur cette nécessité d'obtenir préalablement une preuve. Il existe de nombreuses situations dans lesquelles des plaintes sans preuve d'un tiers envers un autre ont amené des registrars à agir dans la hâte (un article en anglais), ainsi qu'un article écrit à ce propos, et au sujet des procédures de gestion des plaintes par les registrars donnant lieu à des actions (en anglais également).
Donc, si vous souhaitez porter plainte contre un domaine ou un client qui est chez nous, n'hésitez pas (abuse [at] gandi.net), mais n'oubliez pas de nous fournir une preuve. Et par preuve, nous entendons une pièce authentique et complète démontrant l'infraction. Dans le cas de spam, cela signifie l'en-tête complet du spam reçu, pas seulement un extrait ou un bout de copier-coller. Avec les en-têtes complets s'il vous plaît.
De la même manière, nous ne pouvons agir sur la seule base de preuves indirectes, qui montreraient qu'un domaine ou une personne donnée pourrait être ou non associé, directement ou indirectement, sous quelque forme que ce soit, à une autre personne ou entité. Non plus que sur la base d'une simple opinion subjective.
Une fois que nous avons cette preuve, nous engageons nos procédures. Immédiatement.
Quoi qu'il en soit, pour en revenir à SORBS: en décembre, nous avions été blacklistés par SORBS sans préavis. SORBS semble procéder ainsi: vous êtes d'abord blacklisté, ensuite vous pouvez vous exprimer, et finalement vous pouvez payer pour être retiré de leur liste noire (voir la partie "criticism" sur Wikipedia ).
Nous avions alors deux objectifs :
2. être retirés de la liste noire.
Pour la première partie, nous avons demandé un élément prouvant qu'une infraction avait été commise par l'un de nos clients. En effet à l'origine SORBS n'avait pas fourni de preuve complète et authentique des domaines et de l'adresse email suspectés de spam. Ils voulaient que nous agissions uniquement sur la base de leurs affirmations. Il a fallu beaucoup d'aller-retour avant que nous n'obtenions finalement la documentation fiable qu'ils avaient toujours eue en leur possession.
Dès que nous avons disposé de cette documentation, nous avons déclenché notre processus "RIP", contacté nos clients, et mis en œuvre les procédures. Le dénouement n'est pas encore vraiment tranché, étant donné qu'aucun spam de venait de nos systèmes, ni des noms de domaine que nous hébergeons, mais que 2 domaines étaient seulement mentionnés dans le spam. Nous continuons nos recherches à ce sujet et nous vous tiendrons informés. Voilà pour la première partie.
Mais concernant la seconde partie, nous sommes toujours blacklistés. Il semble que le seul moyen de sortir de la liste noire soit de faire un don à un fonds de défense juridique, pour un cas qui a été gagné en 2002.
Nous n'allons pas payer pour être en liste blanche, ce n'est vraiment pas notre façon de travailler. Nous continuerons à suivre cela de près avec SORBS, mais nous ne pouvons pas jurer de l'issue. Pourquoi ne pourraient-ils pas commencer par parler, quitte à ensuite punir si besoin ? Mais payer pour être retiré d'une liste noire, non, ce n'est pas Gandi.
Nous regrettons que cette affaire ait conduit à notre inscription sur une liste noire, mais nous ne sommes pas en mesure de présenter des excuses pour cela, car si c'était à refaire nous le referions. À moins que nous n'ayons la preuve d'une infraction, nous protégerons toujours les droits de nos clients. Présomption d'innocence. Est-ce si étrange?
Désolés si cette affaire a eu des conséquences pour certains d'entre vous, mais nous pensions que cela valait une explication.
Commentaires
Quoi dire? Chapeau a nouveau. Je ne crois pas être affecté pour celà, mais je confirme a nouveau qu'avoir choisi il y a longtemps Gandi pour mes domaines, c'est une éllection a ne pas varier.
Si vous conservez le nord, beaucoup d'entre nous serons toujours là au fil des années.
Bonjour,
j'apprécie fortement les explications, mais serait-il possible de ne pas tomber dans les mauvaises habitudes de certains blogs ? Le gras sur les mots "importants" perturbe énormément la lecture. Et je pense que Gandi a suffisamment d'estime pour ses clients pour penser qu'ils n'ont plus l'âge de lire des piscou magazine avec des mots en gras pour être certain de comprendre.
Je vous adore!!! La constance dans vos démarches et l'intégrité que vous incarnez tous les jours vous honorent!
Franchement, je quitterai même mon taff pour vous! (remarque, chuis pas donné
un gars le sourire aux lèvres à tout va vaut cher)
Autant j'adhère totalement au point de vue exprimé dans l'article, autant je n'ai pas l'impression d'avoir été traité très différemment en tant que client chez vous...
J'ai reçu un email du département abus: mon hébergement est responsable de pishing, et je suis donc obligé d'envoyer un document d'identification personnelle immédiatement. Après demande de preuve, tout ce que j'ai obtenu (et difficilement) est l'email de plainte originel qui non seulement semble préformaté mais ne contient rien de probant. Demandant une vrai preuve, j'ai obtenu pour seul réponse: "votre contrat hébergement vous oblige à nous fournir lesdits documents". Bien, j'aurais volontiers produits les documents et discuté, mais sans la moindre preuve j'ai laissé tombé et ai été me faire voir ailleurs.
Non, je ne hais pas Gandi, le reste de mes services (ndd, etc) est toujours ici, j'approuve toujours l'esprit et ne compte pas changer. Je suis juste un peu déçu d'avoir été traité ainsi, je penses que si vous demandez de telles preuves tangibles et respectez autant la présomption d'innocence, alors pourquoi ne pas donner les informations nécessaires à vos clients quand vous les décidez coupables. C'est un peu comme d'être accusé d'un vol d'on l'on ignore le lieu, la date, etc... difficile de présenter un quelconque alibi ou de mener une investigation.
J'espère que ce commentaire aura un effet positif et permettra une amélioration du système, sinon j'aurais au moins essayé d'exprimer mon point de vue de simple client.
Je ne suis pas monsieur - - BONJOUR - -
Cher "client",
Sans plus d'informations sur votre dossier bien précis il me sera difficile d'entrer dans les détails, je vais donc vous donner une vue d'ensemble de la procédure appliquée dans ce genre de cas.
Alors le phishing comment ça marche, et tout d'abord un point de droit:
Gandi est une société Française appliquant le droit français.
Depuis la Loi pour la confiance dans l'économie numérique (Lcen) du 21 juin 2004,
la jurisprudence demande aux sociétés telles que Gandi.net d'agir promptement afin de retirer les élèments illicites qui sont portés à sa connaissance.
La réclamation peut prendre la forme d'un simple signalement , voir une lettre recommandée avec AR, ou lettre d’un avocat voir même d'une assignation.
Suite à la réception de la réclamation, notre obligation est de vérifier que les élèments signalés ne sont pas manifestement illicites et si tel est le cas nous devons agir promptement.
Dans le cadre du phishing qui nous occupe ici, celui-ci est susceptible d'être sanctionné sur plusieurs fondements juridiques et nottament:
Collecte frauduleuse de données nominatives (article L. 226-18 du code pénal)
Le « phishing » peut également être sanctionné sur le fondement de l'infraction de collecte frauduleuse
de données nominatives en application l'article 226-18 du code pénal.
Car au final, le pirate se procure des données personnelles, et les traite de manière informatique de manière frauduleuse.
Cette infraction est punie de cinq ans d'emprisonnement, et de 300.000 euros d'amende.
Et cela sachant que le futur article de loi sur l'usurpation d'identité viendra certainement renforcer l'arsenal législatif en la matière.
Une fois ces élèments en mémoire et suivant une plainte d'un tiers pour du phishing nous pouvons soit ne pas prendre de risque et couper les services comme des robots soit agir comme nous l'avons toujours fait chez Gandi et prendre le temps de traiter humainement chaque cas un par un.
C'est pourquoi sauf cas exceptionnel nous allons tenter de contacter (email/téléphone) nos clients visés par une plainte de phishing et nous laisserons un délai pour agir avant toute suspension de nos services.
Il arrive cependant que le client ne perçoive pas l'urgence du premier email de signalement, voir ne le lise pas ou n'y prête pas attention et ne nous contacte que suite au deuxième email signalant la coupure des services ainsi que le processus à suivre pour réactiver ceux-ci.
Nous comprenons évidemment la frustration voir l'incompréhension que vous pouvez avoir quand des services sont suspendus et que vous pensez être dans votre bon droit, mais en donnant un délais de réaction au cas par cas, puis le cas échéant en coupant temporairement nos services, nous nous bornons à appliquer le plus humainement possible la legislation en vigeur.
Dans l'espoir d'avoir apporté un peu de clarté dans un domaine qui peut parfois sembler injuste et expéditif vu de l'extérieur.
Bonjour Alexandre,
tout d'abord merci pour votre réponse. Quand à donner plus de détails, je n'y tiens pas spécialement; j'aimerais éviter les ennuis avec les services qu'il me reste chez vous. Ceci étant dit, le mail que j'ai renseigné pour ce commentaire et le précédent est valide si un contact est souhaité.
Si je résume un peu ce qu'il m'est arrivé: un mail concernant un supposé pishing m'est envoyé un soir (19-21h), je ne le vois pas n'étant pas sur mon ordinateur. Un deuxième est envoyé le lendemain matin tôt (6-8h), précisant que vu qu'il s'agit du deuxième avertissement je suis désormais tenu de fournir une pièce d'identité.
Je reçois les deux mail un peu plus tard le matin même et coupe le site incriminé. Je prends ensuite contact avec Gandi demandant d'une part une preuve dudit pishing, d'autre part que le deuxième mail soit annulé vu le peut de temps entre les deux et l'horaire. C'est là que ça me pose problème, aucune preuve ne m'a été donnée, Gandi refusant toute explication ou discussion sans envoi d'une pièce d'identité. Or il me semble que, si l'on applique la présomption d'innocence, il faille d'abord prouver la faute avant de me pénaliser ? D'où ma question, si Gandi possède et demande ces preuves, alors pourquoi ne pas les communiquer aux clients concernés ?
Encore une fois, je ne critique pas du tout le fait que Gandi réagisse, mais le fait que sans aucune preuve (du moins de mon point de vue) mon site aie été décidé "coupable".
Pour moi ce n'est ni plus ni moins que du racket de la part de SORBS !
Il leur suffit de simplement blacklister (apparemment sans preuve sérieuse) et ensuite demander de l'argent = racket
On peut donc les attaquer juridiquement si besoin était.
Bonjour,
Pourrait-on connaître le dénouement de cette histoire ?
Romane
Depuis mon inscription chez Viadeo, impossible de recevoir le mail de confirmation sur mon adresse redirigée par gandi. Est-ce que ce black-list sur SORBS en est la cause?