1 points par GN⁺ 2024-08-07 | 1 commentaires | Partager sur WhatsApp
  • Créé par le consultant IT David Senk après la panne informatique massive, ClownStrike était un site qui transformait le logo de CrowdStrike en parodie de clown, et l’affaire a pris de l’ampleur autour de l’idée qu’une demande de retrait visait une expression relevant du fair use
  • Le représentant de CrowdStrike, CSC Digital Brand Services, a demandé à Cloudflare de retirer le logo, et Cloudflare a averti qu’en cas de non-exécution, l’ensemble du site pourrait être bloqué
  • CrowdStrike a expliqué avoir émis plus de 500 demandes de retrait au cours des deux dernières semaines pour contrer les sites malveillants et le phishing, affirmant que le site parodique n’était pas la cible visée, mais Senk a rétorqué qu’il avait subi un préjudice réel
  • Corynne McSherry, de l’EFF, estime qu’utiliser le DMCA pour un litige sur une marque est inapproprié et qu’il aurait d’abord fallu examiner la question du fair use
  • Cette affaire montre que plus les procédures de traitement des signalements chez les grands fournisseurs de services sont souples, plus des formes d’expression en ligne légitimes comme la critique ou la satire risquent de disparaître au moment où elles comptent le plus

Contexte de la création de ClownStrike

  • David Senk a créé ClownStrike après que CrowdStrike a été désigné comme étant à l’origine d’une panne informatique mondiale à cause d’une mise à jour de sécurité problématique
  • Cette panne a provoqué une perturbation durable dans les aéroports, les hôpitaux et les systèmes d’entreprise
  • Senk n’en a pas été directement victime, mais il défend la décentralisation, estimant que la centralisation du secteur technologique peut entraîner d’importants dommages collatéraux
  • Mis en ligne le 24 juillet, le site avait une structure simple : le logo de CrowdStrike était remplacé par un clown de dessin animé et une musique de cirque se lançait pendant la transition
    • Pendant les 48 premières heures, le site utilisait sans modification le logo Falcon de la plateforme de cybersécurité de CrowdStrike
    • Ensuite, un bonnet à hélice arc-en-ciel a été ajouté sur la tête de Falcon
  • Senk dit avoir d’abord mis le site en ligne « juste pour plaisanter » et affirme aimer les vieux sites parodiques

Demande de retrait DMCA et réponse de Cloudflare

  • Le 31 juillet, Senk a reçu une notification de retrait DMCA de l’équipe Trust & Safety de Cloudflare, qui hébergeait alors le site
  • La notification indiquait que l’équipe mondiale de prévention de la fraude de CSC Digital Brand Services, agissant pour CrowdStrike, exigeait le retrait immédiat du logo CrowdStrike de ClownStrike
  • Cloudflare a averti que si le logo n’était pas retiré, l’ensemble du site pouvait être mis hors ligne
  • Senk a estimé que le site était manifestement une parodie et que, qu’il modifie ou non le logo, cela relevait du fair use ; il a donc immédiatement envoyé une contre-notification
  • Cloudflare n’a ni confirmé la réception de cette contre-notification ni répondu, puis a envoyé un nouvel e-mail d’avertissement pour suspicion d’infraction
  • Senk a déplacé le site vers un hébergeur moins vulnérable aux demandes de retrait DMCA et a finalement utilisé des serveurs Hetzner en Finlande

Explications de CrowdStrike et réponse de Senk

  • CrowdStrike a refusé de commenter directement la demande de retrait visant ClownStrike elle-même
  • L’entreprise a toutefois déclaré qu’au cours des deux dernières semaines, ses partenaires de lutte contre la fraude avaient émis plus de 500 notifications de retrait pour empêcher des activités malveillantes exploitant « l’incident actuel »
    • L’objectif, selon elle, était de protéger les clients et le secteur contre les sites de phishing et d’autres activités malveillantes
    • CrowdStrike a précisé que les sites parodiques n’étaient pas la cible visée, mais qu’ils pouvaient être touchés par inadvertance
    • L’entreprise a ajouté qu’elle examinerait ses procédures et améliorerait ses activités de lutte contre la fraude lorsque cela s’avérerait approprié
  • Senk a critiqué cette réponse, la qualifiant de réaction typiquement corporative qui « n’assume absolument aucune responsabilité »
  • Indépendamment de l’affirmation selon laquelle le site parodique n’était pas la cible visée, il a souligné que son site avait bel et bien été affecté
  • Sur le site ClownStrike, cliquer sur le logo CSC coiffé d’une perruque de clown permet de voir la critique de Senk contre les entreprises qui cherchent à faire retirer des contenus qu’elles n’approuvent pas

Fair use et expression parodique

  • Corynne McSherry, directrice juridique de l’EFF, estime que même l’usage d’un logo non modifié peut relever du fair use
  • Si l’utilisation du logo apparaît clairement comme une parodie, elle peut parfaitement être légale, et les tribunaux l’ont déjà confirmé, dit-elle
  • Puisque le fair use est, par définition, légal, CrowdStrike aurait dû examiner cette possibilité avant d’affirmer que cet usage était illégal
  • Senk soutient que son site est une parodie qu’une personne raisonnable peut clairement reconnaître, et qu’il n’y a ni usage commercial, ni produit vendu, ni génération de revenus
  • McSherry estime que CrowdStrike peut être fondé à viser des sites malveillants ou de phishing, mais qu’il est difficilement acceptable de faire retirer une expression légitime

Position ultérieure de Cloudflare et failles procédurales

  • Cloudflare n’a pas répondu aux nombreuses demandes de commentaire, mais a ensuite envoyé un message à Senk
  • Cloudflare a indiqué n’avoir pas reçu la contre-notification de Senk, ce qui pose problème puisque le délai pour contester une notification de retrait est limité à 72 heures
  • À mesure que les informations sur la demande de retrait liée à ClownStrike se sont diffusées en ligne, le trafic du site est passé de quelques centaines de vues à plus de 80 000 visiteurs uniques
  • Cloudflare a déclaré, à la lumière de la couverture publique de l’affaire, avoir compris que Senk pouvait formuler une contestation valable en s’appuyant sur la nature parodique du site
  • Si Senk revenait chez Cloudflare pour l’hébergement et fournissait une contre-notification valable sur le caractère parodique du site, Cloudflare a indiqué qu’il ne prendrait pas de mesure de retrait de contenu sur la seule base d’un signalement abusif au titre du droit des marques
  • Senk a déclaré ne pas avoir l’intention de ramener ClownStrike chez Cloudflare
    • Une fonction d’accusé de réception pour les contre-notifications
    • Un portail web permettant de suivre les signalements abusifs
    • Le retrait à CSC du droit de soumettre des signalements après sa demande de retrait abusive
    • Il a proposé ces trois mesures à Cloudflare

Le risque de surretrait créé par les grandes plateformes

  • McSherry estime que de grands fournisseurs de services comme Cloudflare peuvent devenir des points de blocage pour les contenus en ligne
  • Quand les plateformes deviennent trop grandes et que les signalements se multiplient, il devient difficile de traiter les cas avec précision, quelle que soit l’intention initiale, et des expressions légitimes peuvent être supprimées
  • Elle souligne que le fait qu’un petit nombre de très grandes entreprises aient une influence excessive sur les contenus visibles en ligne peut créer de vrais problèmes
  • La demande de retrait de CrowdStrike est intervenue au moment même où ClownStrike était le plus pertinent comme commentaire sur les conséquences de la panne informatique
  • Le délai de deux semaines potentiellement nécessaire pour un rétablissement après contre-notification DMCA peut suffire à faire disparaître un site parodique au moment où la critique est la plus forte
  • McSherry considère cette affaire comme un exemple de grandes entreprises appliquant de grandes procédures sans assez de prudence, et juge cela inacceptable
  • Selon elle, les procédures de traitement des abus chez Cloudflare devraient clairement prendre en compte le fair use et, surtout pour l’expression en ligne, le maintien de la parole légitime devrait être la règle par défaut

La frontière entre DMCA et litiges sur les marques

  • Pour McSherry, le plus gros problème dans le fait que CrowdStrike ait visé le site parodique « par inadvertance » est que le DMCA n’est pas une procédure conçue pour les litiges liés à la contrefaçon de marque
  • Le DMCA est largement utilisé parce qu’il facilite les retraits rapides de contenu, mais cette procédure n’est pas adaptée à l’origine aux plaintes sur les marques
  • Selon elle, expliquer cela par la maladresse revient aussi à reconnaître qu’on n’a pas fait preuve d’assez de prudence avant d’utiliser cette procédure
  • Senk a indiqué ne pas prévoir d’action en justice contre CrowdStrike au sujet de cette notification de retrait abusive
  • Il a ajouté qu’il serait satisfait à 100 % si CrowdStrike présentait des excuses publiques, et a plaisanté en disant que ce serait encore mieux si le PDG de CrowdStrike, George Kurtz, tournait une vidéo d’excuses déguisé en clown

1 commentaires

 
GN⁺ 2024-08-07
Avis de Hacker News
  • J’ai créé un site il y a environ 20 ans, qui se trouve maintenant sur https://whatisbifidusregularis.org/. À l’époque, Dannon / Danone m’a menacé de poursuites, et j’ai dû céder le premier domaine pour des raisons de marque, mais avant cela j’avais mis en place une redirection 301 afin que Google suive le changement.
    C’était une époque plus innocente, avant le DMCA, où les entreprises ne savaient pas vraiment comment contacter les FAI sans passer par des avocats pour faire bloquer quelque chose, et j’ai eu le plaisir d’un échange d’e-mails assez long avec l’avocat probablement très coûteux de Danone.
    À l’origine, j’avais créé le site sur bifidusdigestivum.com parce que je trouvais tellement ridicule qu’ils appellent leur incroyable bactérie « Bifidus Digestivum » dans leurs publicités que cela m’agaçait. J’ai fait autant de recherches que possible et rédigé le contenu de manière à ce qu’il soit bien optimisé pour le référencement, afin que les personnes qui cherchaient tombent sur mon site. Depuis, il a eu environ 1,5 million de vues et reçoit encore 400 à 500 visites par mois, ce qui me fait sourire quand j’y repense.

    • La section des commentaires donne particulièrement une forte impression d’astroturfing, surtout à cause de la façon dont elle démarre soudainement puis s’arrête autour de 2014.
      Cela dit, les commentaires négatifs se sont arrêtés eux aussi ; peut-être qu’il y a 10 ans, les gens étaient simplement plus passionnés par le yaourt.
  • Senk a tout de suite senti que la demande de suppression était bidon, et considérait que le site étant clairement une parodie, l’utilisation d’une version modifiée du logo de CrowdStrike devait relever du fair use. Il a immédiatement déposé une contestation auprès de Cloudflare, mais Cloudflare n’a même pas confirmé avoir reçu la contre-notification et a simplement envoyé un deuxième e-mail d’avertissement pour infraction.
    J’aime globalement Cloudflare et je les considère comme un acteur positif, mais cela doit absolument être corrigé. Le système du DMCA est déjà biaisé en défaveur des petits acteurs, et le minimum qu’un hébergeur comme Cloudflare puisse faire est d’écouter les deux parties. Idéalement, il devrait être un médiateur neutre.
    J’utilise beaucoup Cloudflare et j’y dépense une somme non négligeable chaque mois, mais cela me fait hésiter à héberger du contenu réel chez CF. Je n’ai jamais reçu moi-même de demande de retrait DMCA, mais je connais des personnes dont cette procédure a été abusée, et cela peut arriver à n’importe qui.
    J’aimerais que Cloudflare ne devienne pas une partie du problème. Ils défendent depuis longtemps un Web plus ouvert, un Web que même de petits particuliers peuvent faire tourner, et ils ont presque été l’une des meilleures entreprises pour rendre cela possible à ces créateurs ; ils ne devraient donc pas aider ni permettre aux brutes du DMCA d’agir.

    • C’est amusant de voir que les entreprises transmettent très rapidement les notifications de retrait venant d’autres entreprises, mais traînent des pieds ou « oublient » de transmettre les contre-notifications, alors que les deux sont exigées par le DMCA.
      Par ailleurs, à ma connaissance, je n’ai jamais vu une entreprise poursuivie pénalement pour avoir envoyé une fausse notification de retrait DMCA, probablement parce qu’il faut prouver l’intention. La loi est ridiculement défavorable aux petits acteurs.
    • Je ne vois pas en quoi Cloudflare aurait été un défenseur du Web ouvert. Depuis que je m’y intéresse, Cloudflare a toujours été une menace pour le Web ouvert.
    • Cloudflare a abandonné sa neutralité quand ils ont fermé Daily Stormer. Avant cela, on débattait même de leur capacité technique à fermer un site unique, au motif qu’il était difficile de supprimer du contenu dans des stockages distribués.
      Plus Cloudflare mènera des actions politiques, plus cela lui portera préjudice.
    • Quand j’ai essayé de faire fermer un site d’arnaque cloné utilisant un domaine en « .shop », Cloudflare a été totalement inutile, et j’ai finalement dû m’adresser directement au registrar pour le faire supprimer.
      En plus, les demandes répétées de CAPTCHA de Cloudflare sont extrêmement agaçantes, et cette pratique devrait être qualifiée d’une forme d’abus.
  • Je me demande s’il est possible d’apprendre le droit à moindre coût au point de pouvoir se battre contre des avis DMCA bidon. Dans le domaine de l’émulation, on voit souvent des projets fermer au final parce que les personnes qui les hébergent savent qu’elles seront ruinées par les coûts de défense, même si le produit lui-même est techniquement légal
    Ce serait bien de pouvoir retourner la situation et dire à des boîtes comme N : « Très bien, continuez. Faites brûler des montagnes d’argent à votre service juridique »

    • C’est possible, mais le principal inconvénient, pour contester légalement un faux DMCA, est qu’il faut divulguer ses informations d’identité au plaignant
      Si votre identité est déjà publique, une fois la procédure apprise, il n’y a pas vraiment d’autre inconvénient
    • Pour contester légalement, il faut en pratique divulguer son identité, et cela coûte de l’argent même si l’on fait tout soi-même
      Le droit favorise intrinsèquement les entreprises. Aux États-Unis, les gens ordinaires n’ont pas de service juridique, ni même d’avocat, alors qu’une entreprise dispose de ressources quasiment illimitées pour faire durer la procédure de preuve jusqu’à ce que l’autre partie abandonne ou n’ait plus d’argent, même si l’entreprise a tort
      Comme le dit l’auteur du billet, une grande partie du système juridique américain est assez ouvertement conçue pour les entreprises
    • Dans ce cas, que l’avis DMCA soit valable ou non, il semble que CrowdStrike ait pu faire retirer le site via Cloudflare sans procédure judiciaire, parce que Cloudflare n’a pas aidé
      Si ClownStrike n’était pas devenu une actualité, CrowdStrike aurait peut-être continué à tenter le même stratagème DMCA auprès de Hetzner
    • Il n’y a pas grande différence. Soit l’hébergeur est un combattant idéologique de la liberté d’expression qui se moque totalement du DMCA, soit c’est un acteur qui se soucie des retraits mais pas des remises en ligne
      Les premiers sont par exemple des services comme njalla, qui coûtent 5 à 10 fois plus cher et ne sont donc généralement pas utilisés ; les services réellement très utilisés comme Hetzner ou Cloudflare sont plutôt dans la seconde catégorie
    • Envoyer une contre-notification DMCA au fournisseur de services n’est pas difficile en soi [1]
      Pour être valable, elle doit inclure la signature physique ou électronique de l’abonné, l’identification du contenu supprimé ou dont l’accès a été désactivé et son emplacement antérieur, une déclaration faite sous peine de parjure indiquant qu’il croit de bonne foi que la suppression résulte d’une erreur ou d’une mauvaise identification, le nom, l’adresse et le numéro de téléphone, ainsi qu’une déclaration d’acceptation de la compétence du tribunal fédéral compétent et de la signification des actes
      Toutefois, pour bénéficier de l’exonération de responsabilité prévue par le DMCA, le fournisseur de services doit maintenir le contenu hors ligne pendant au moins 10 jours et au plus 14 jours après réception de la contre-notification. Si l’auteur de la notification initiale envoie une notification supplémentaire indiquant qu’il a intenté une action en justice liée à l’infraction, le contenu reste retiré jusqu’à la résolution de l’affaire
      Dans beaucoup de cas, une interruption de 10 à 14 jours est déjà trop longue, et l’on peut ne pas vouloir fournir ses informations d’identité au plaignant ou au fournisseur. Il peut aussi être pesant de déclarer, sous peine de parjure, sa conviction de bonne foi
      Si l’auteur de la notification initiale est prêt à aller au tribunal, c’est le début des ennuis ; s’il se contente d’envoyer des DMCA en masse sans suite, cela peut aller. À l’inverse, si je veux les traîner devant les tribunaux, c’est aussi le début des ennuis
      On peut aussi tenter de convaincre le fournisseur que la notification initiale n’est pas, structurellement, une notification DMCA valable, mais il faut pour cela un fournisseur coopératif. Dans cette affaire, à en juger par le résumé, il pourrait s’agir d’un exemple potentiel où une atteinte à une marque est invoquée via le DMCA ; or le DMCA ne traite pas des marques, donc ce n’est pas structurellement valable. Le fournisseur n’a aucune obligation de la traiter, et ne bénéficie pas non plus d’une exonération en la traitant. Il peut exister une obligation d’agir face à une plainte relative à une marque, mais cette obligation ne découle pas du DMCA
      [1] https://www.law.cornell.edu/uscode/text/17/512 section (g)(3)
  • Tout officier de justice qui signe un avis DMCA bidon viole son serment et s’expose à des sanctions disciplinaires. Dans certains États, cela semble aussi relever du délit civil de barratry

    • Je ne pense pas qu’un officier de justice soit nécessaire pour un avis DMCA
    • Au moins dans l’Illinois, la barratry est une infraction pénale
    • C’est intéressant, mais je ne sais pas si l’on peut citer ne serait-ce qu’un cas où un auteur abusif d’un avis DMCA bidon a réellement reçu une sanction significative
  • D’habitude, ce genre d’histoire tourne au « l’hébergeur a l’obligation légale de répondre le plus vite possible aux demandes de retrait DMCA, donc cessez de vous indigner »
    Mais cette fois, Cloudflare a affirmé ne pas avoir reçu deux contre-notifications envoyées par l’exploitant du site parodique, puis, après qu’il a déplacé son service et que l’affaire a attiré une attention négative, a envoyé une réponse tiède du genre « on aurait aidé ». Ils se sont complètement plantés

  • Utiliser le Digital Millennium Copyright Act pour faire appliquer des droits de marque est absurde, et à en juger par la réponse, il semble qu’ils aient utilisé la même méthode contre 500 autres sites sans subir aucune sanction
    Je déteste voir les entreprises observer la réaction aux demandes de retrait DMCA et essayer de tout faire entrer dans ce cadre. C’était déjà assez mauvais quand il servait à contourner les clauses anti-contournement ; les marques relèvent d’un tout autre ensemble de lois

    • Les demandes DMCA sans fondement ne sont-elles pas illégales ?
  • Je ne comprends pas pourquoi les entreprises doivent absolument apprendre par l’expérience ce qu’est l’effet Streisand
    Ce site parodique à faible effort, je n’en aurais probablement jamais connu l’existence, et même si je l’avais connu, je ne l’aurais pas partagé parce que sa qualité est faible
    Mais maintenant, j’ai envie de soutenir et de diffuser ce site à 100 %, parce qu’il a clairement touché un point sensible

  • La discussion de l’époque en était, il y a 5 jours, à 1221 points et 229 commentaires https://news.ycombinator.com/item?id=41133917

  • La phrase « [Senk] told Ars he is "a proponent of decentralization." » sonne drôle quand on parle de quelqu’un qui a mis son site sur Cloudflare

    • On ne peut pas être idéologiquement parfait dans toutes ses décisions. Nous vivons dans un monde imparfait
      Dans ce cas, on peut comprendre qu’il ait voulu utiliser une technologie existante pour mettre son site en ligne rapidement et de manière fiable, ou qu’il ait réellement cru, au vu de son historique, que Cloudflare défendrait fermement son site
    • Soutenir une idée ne signifie pas qu’il faille personnellement s’y consacrer entièrement. Est-ce que tous les partisans de la décentralisation doivent vivre hors réseau électrique et extraire eux-mêmes le silicium pour fabriquer leur ordinateur ?
  • Le passage « Apparently, Cloudflare never received » est un problème bien plus important que tout le reste autour de cette affaire