Framapic est de retour !

Temps de lecture 6 min

image_pdfimage_print

Et on vous explique un peu ce qui s’est passé.

Cela ne vous a peut-être pas échappé, Framapic, notre service de partage d’images, est subitement devenu indisponible le vendredi 17 août. Nous l’avons relancé lundi 24 septembre.

Nous ne l’avons pas coupé de gaieté de cœur, mais c’était soit la coupure du service Framapic, soit la coupure de l’IP du serveur, ce qui aurait entraîné l’arrêt de l’ensemble des services hébergés sur ce dernier.

Responsabilité du fournisseur de service

Nous avons déjà été contactés par diverses institutions ou organisations pour des problèmes de photos de drogue, d’armes ou de pédopornographie déposées sur Framapic.

Et oui, parmi ces institutions figurent des autorités judiciaires.

Il est de notre responsabilité d’hébergeur de réagir promptement aux demandes de suppression (lorsqu’elles sont fondées) ou aux requêtes judiciaires. Le problème est lorsque le demandeur contacte directement notre hébergeur, Hetzner. En effet, lorsque Hetzner nous transmet le signalement, celui-ci s’accompagne d’un délai d’une heure pour réagir avant la coupure de l’adresse IP du serveur.

Escalade

Au mois d’août, alors que jusqu’ici nous n’avions que peu de signalements, nous avons fait face à une vague de plusieurs signalements par semaine. Si nous avons toujours promptement réagi, Hetzner s’est lassé de ces signalements à répétition… et nous a laissé 24 heures pour migrer framapic.org hors de son réseau, avec toujours une menace de coupure.

Il fut donc décidé de mettre Framapic hors-ligne, de déplacer le nom de domaine vers un serveur situé chez un autre hébergeur et de ne fournir qu’une copie statique de la page de l’incident de notre site de statut : notre adminSys avait fini sa journée et commençait ses vacances… (il est quand même revenu sur le pont en urgence).

Toute requête demandant une image renvoyait (normalement) une capture d’écran du message de notre page d’incident.

Délai

Les vacances de l’adminSys se terminent, mais la rentrée ne commence pas par la remise en service de Framapic. Nous avons essayé de convaincre Hetzner de bien vouloir nous laisser remettre Framapic sur leurs serveurs, mais ce fut en pure perte.

Nous avons donc décidé de déplacer Framapic chez un autre hébergeur, avec un compte qui lui sera dédié afin de ne pas mettre en péril d’autres services si le cas se représentait.

Le rattrapage du travail en attente accumulé pendant les vacances a retardé la location du nouveau serveur… et ensuite il fallut attendre plus ou moins 24 heures que celui-ci soit mis à notre disposition (ce qui fut une surprise, habitués que nous sommes au quart d’heure maximum d’attente pour la même opération chez Hetzner).

Remise en service et limitations

Enfin, Framapic est de retour ! Mais pour éviter de nouveaux soucis, nous sommes obligés de mettre en place quelques limitations.

Ainsi, les nœuds de sortie du réseau Tor sont bannis. Il nous est douloureux d’en arriver là, convaincus que nous sommes de l’utilité de Tor pour des usages légitimes, mais comme un nombre conséquent de signalements concernaient des images envoyées via Tor, cette limitation s’est imposée.

Toute IP ayant envoyé une image ayant fait l’objet d’un signalement légitime sera définitivement bannie du service. Nous le faisions déjà quasi-systématiquement mais il nous arrivait d’oublier de le faire : certains signalements arrivaient pendant le weekend ou tard le soir, la priorité était la suppression des images signalées. Nous n’oublierons plus le bannissement.

Nous nous réservons le droit, si cela devenait nécessaire, de mettre en place d’autres types de blocage (geoIP ou autre joyeusetés), même si cela ne nous enthousiasme pas.

De l’intérêt des CHATONS

Framasoft a impulsé le collectif https://chatons.org justement pour éviter que les services proposés par notre association ne deviennent des “points centraux” du réseaux.

Ainsi, pendant la coupure de Framapic, vous pouviez toujours trouver d’autres chatons proposant un service équivalent (la recherche sur le site chatons.org retourne 14 membres proposant un tel service). Même si cette carte n’est pas forcément très à jour (hum), on peut rapidement trouver quelques services alternatifs, par exemple :

CHATONS est un collectif encore en construction, mais on voit ici tout l’intérêt de la décentralisation.

Ne dépendez pas de services tiers

Avant la coupure de Framapic, celui-ci faisait peiner le serveur sous le poids des nombreuses visites. Nous avions alors regardé d’où provenaient les requêtes en loguant les en-têtes Referer (et seulement cela, pour préserver votre vie privée, mais il fallait qu’on sache d’où venait le problème).

Quelle ne fut pas notre surprise lorsque nous nous sommes rendu compte que certains sites utilisaient Framapic pour stocker… les assets de leur site. Autrement dit, les images affichées sur le site web ne proviennent pas de leur hébergement (c’est à dire la machine hébergeant les pages web), mais sont récupérées depuis Framapic.org. Et il ne s’agissait pas que de blogs personnels, hein ! Des sites institutionnels en .gouv.fr utilisaient cette même mauvaise pratique ! (tous créés par la même entreprise qui n’a pas répondu à notre mail de contact leur demandant de ne pas le faire… mais qui a fini par cesser. Forcément, avec plus d’un mois d’images toutes cassées 😁)

Pourquoi cela est-il une très mauvaise pratique ?

  1. si le site tiers est indisponible, comme ce fut le cas de Framapic, le site ne ressemble plus à rien (ce fut assez drôle de voir les sites institutionnels évoqués plus haut remplis de la capture d’écran de l’incident 😁) ;
  2. si vos visiteurs bloquent les sites tiers avec une extension type uMatrix, le site ne ressemble plus à rien ;
  3. dans le cas de Framapic, cela induit une forte charge sur notre serveur : en effet, les images sont déchiffrées (bien que nous ayons un système de cache, celui-ci n’est pas extensible à l’infini) et chaque visite implique des requêtes en base de données ;
  4. sérieusement, mettre ses images sur le serveur du site ne le ralentira pas (à moins que vous n’hébergiez énormément d’images très lourdes).

Framapic a été pensé comme un moyen simple de partager des images (photos de vacances, captures d’écran…), ce n’est pas un CDN.

 

La morale de la fable

Nous espérons que ce petit article aura permis à certain⋅e⋅s d’apprendre au passage quelques petites choses sur les coulisses d’un service d’hébergement d’images et notre pratique à Framasoft :

  • nous respectons la loi si un signalement est justifié ;
  • dépendre d’un hébergeur revient à se soumettre à ses conditions — et à dépendre de sa disponibilité — d’où l’intérêt d’en choisir un avec soin (vive les CHATONS !), ou mieux, lorsque c’est possible, de s’auto-héberger ;
  • notre Framapic n’est pas destiné à héberger des images qui s’affichent sur un site web.
Suivre Framasky:

adminSys

Debianeux convaincu, Perliste fou, administrateur système de métier, je passe mon temps à mettre les machines de Framasoft à jour ou à coder.

7 Responses

  1. sorcerersisters

    Petite question. C’est bien un service d’hébergement d’images confidentiel ? Ce n’est pas public. Donc comment des images inappropriées ont-elles bien pu être signalées ?

    Bien à vous

    • Zananas

      Parce qu’elles ont été publiées dans un coin du web surveillé par des autorités. L’image est stockée de façon chiffrée sur les serveurs, mais si elle est visible sur un forum, toute personne qui visite ce forum la voie, et peut remonter à sa source (framapic) via un petit clic droit et « examiner l’élément ».

    • Marnic

      @sorcerersisters je comprends pas trop la question, framapic est ouvert à tous du moment que votre IP n’est pas ban !
      C’est très pratique par exemple pour poster une photo sur un forum quand celui-ci n’héberge pas lui même l’image.
      Et certain l’ont sûrement utilisé pour des images interdites par la loi sur des forums très peu scrupuleux.

  2. libre fan

    Merci Framasky pour cet article très intéressant, notamment au sujet de la manie des webmestres de mettre les images du site dans un CDN ou autres Amazon, sauf que là c’était Framasoft, pas gênés les zozos et zozottes. C’est vraiment nul. Chez Tuxfamily, ils nous mettent à dispo un espace pour les fichiers statiques sur un serveur à part, différent du serveur où on installe son CMS ou autre.

    Pour le bannissement de Tor, ce n’est pas trop grave même s’il n’y a pas que des malfrats qui utilisent TorBrower.
    D’abord, c’est juste Framasoft (enfin, les autres chatons vont se méfier, à juste titre), et si on veut faire dans la confidentialité, on devrait utiliser plutôt Framadrop ou Framateam. Le partage de photos illicites sur des forums, c’est probablement du fait de malfrats variés. Un·e journaliste ou une personne menacée avertie ne procèderait pas ainsi pour transmettre des infos de reportage ou confidentielles légitimes, de notre point de vue humain (non dictatorial, par ex.).

    Merci de me corriger si je dis des bêtises.

    • Framasky

      Bah, framapic ou framadrop, c’est la même chose : si on ne met pas l’adresse complète sur un forum ou autre, ça reste confidentiel.

      Framateam, effectivement, faut être dans l’équipe — voire le canal — pour voir ce qu’il y a dedans, donc peu de chance que ça sorte.

      > Le partage de photos illicites sur des forums, c’est probablement du fait de malfrats variés. Un·e journaliste ou une personne menacée avertie ne procèderait pas ainsi pour transmettre des infos de reportage ou confidentielles légitimes, de notre point de vue humain (non dictatorial, par ex.).

      Ah bah de toute façon, c’était du franchement illégal, donc un·e journaliste ne devrait pas avoir ce genre d’images… sauf si iel fait un reportage en infiltré·e, mais c’est chaud juridiquement parlant quand même, j’pense pas que les journalistes puissent faire ce genre de choses (infiltration, oui, détenir ce genre d’images, non, pour quelques raisons que ce soit).

  3. Dalza

    Bonjour

    Pourquoi avoir fait le choix de cet hébergeur ?
    Je comprendrais le choix d’un hébergeur hors-UE pour des raisons légales (et éviter d’avoir à supprimer dans l’heure des images, quelles qu’elles soient, par exemple), mais pourquoi en Allemagne ou Finlande alors que ces pays sont soumis aux mêmes lois ? Et plus loin physiquement, augmentant le temps de réponse pour les utilisateurs, que je suppose majoritairement situés en France / Belgique / Suisse ?
    Est-ce uniquement une question de tarifs ?

    Merci pour ce que vous faites en tout cas, et merci pour cet article très instructif !

    Dalza

  4. Albert

    D’où l’intérêt de s’héberger loin de la France et de l’Europe…