Spamhaus, organisme de lutte contre le spam, accuse Cloudflare de protéger des sites malveillants. Le fournisseur de services anti-DDoS servirait 10 % des domaines sur la liste noire de Spamhaus et plus de 1 200 sites faisant l'objet de plaintes non résolues pour abus.
Le géant de la protection web Cloudflare est en plein dans l'œil du cyclone d'une polémique. L'entreprise, qui gère une part considérable du trafic internet mondial, est pointée du doigt pour sa politique de non-intervention. Cette approche, saluée par certains comme un rempart pour la liberté d'expression, est décriée par d'autres qui y voient un bouclier pour les activités illicites en ligne.
En creux : jusqu'où va la responsabilité d'un fournisseur d'infrastructure internet ? Entre protection des utilisateurs et neutralité du net, la liberté des uns s'arrête où commence la sécurité des autres.
Cloudflare : un géant du Web aux prises avec sa politique de neutralité
Cloudflare n'est pas un acteur comme les autres sur la toile. Ce mastodonte gère 16 % du trafic internet mondial et protège des millions de sites Web. Son rôle est d'offrir un bouclier contre les attaques par déni de service (DDoS), telle celle qu'a subie Microsoft le 31 juillet 2024, en masquant l'origine des sites. Mais cette protection fait aujourd'hui grincer des dents.
Spamhaus, une ONG de lutte contre le spam et les menaces en ligne, est fâchée tout rouge. Selon celle qui avait subi en 2013 une attaque du même acabit, Cloudflare servirait de parapluie à 10 % des domaines figurant sur sa liste noire. L'entreprise protégerait également des sites faisant l'objet de plus de 1 200 plaintes non résolues pour abus.
Il semble que ce soit la politique de non-intervention de Cloudflare qui ne passe pas pour Spamhaus. L'entreprise se considère comme un simple fournisseur d'infrastructure, au même titre qu'un réseau électrique. Elle estime n'avoir ni les moyens ni la légitimité pour juger du contenu qu'elle protège.
Cette position a ses défenseurs. Ils y voient une garantie pour la neutralité du net et la liberté d'expression. Mais elle a aussi ses détracteurs. Pour eux, Cloudflare se rend complice, même involontairement, d'activités malveillantes en ligne.
L'entreprise n'est pas restée sourde aux critiques. Elle affirme disposer d'un processus de signalement d'abus « complet et réfléchi ». Les signalements sont transmis aux hébergeurs, propriétaires de sites et forces de l'ordre si nécessaire. Mais pour beaucoup, ces mesures restent insuffisantes.
Le dilemme des fournisseurs d'infrastructure internet
Le cas Cloudflare illustre un défi majeur pour les acteurs de l'internet : où placer le curseur entre liberté d'expression et lutte contre les abus ? Cette question dépasse le seul cadre de l'entreprise. Elle concerne tous les fournisseurs d'infrastructure internet.
D'un côté, une modération trop stricte pourrait avoir des effets pervers. L'Electronic Frontier Foundation (EFF) met en garde contre ce risque. Elle cite l'exemple de Switter, une plateforme pour travailleurs du sexe fermée suite à une loi américaine. Cette fermeture a privé une communauté vulnérable d'un espace d'échange sécurisé.
De l'autre, l'absence totale de contrôle peut faciliter la propagation de contenus dangereux. Spam, logiciels malveillants, harcèlement... Les risques sont réels pour les utilisateurs.
Cloudflare a déjà fait des exceptions à sa politique de neutralité. En 2017, l'entreprise a coupé l'accès au site néonazi Daily Stormer. En 2019, c'était au tour de 8Chan, après le terrible attentat d'El Paso, d'en être privé. En 2022, c'est le forum d'extrême droite Kiwi Farms qui a été banni. Ces décisions montrent que l'entreprise peut agir quand elle le juge nécessaire.
Mais ces cas restent rares. Pour Eric Goldman, professeur de droit à l'université de Santa Clara interrogé par nos confrères d'Ars Technica, la position de Cloudflare est compréhensible. Couper l'accès à un site peut avoir des conséquences importantes, pas seulement pour le site en question, mais aussi pour ses utilisateurs.
Utilisateurs qui sont à la fois les premiers et derniers maillons de la chaîne de l'utilisation faite du Web. C'est à eux que revient la principale action de vigilance et de signalement de tout contenu estimé comme étant suspect ou malveillant.
Source : Ars Technica