Gandi et Jabatus, une histoire d'amour

« Cyrille Borne est le Maître Eolas du libre francophone »

C’est la réflexion que je me suis faite lorsque je me suis aperçu que je n’avais pas besoin de suivre son flux RSS pour avoir ses derniers articles. De toute manière, à présent, je ne peux plus suivre son flux RSS.

J’utilisais jusqu’à présent l’agrégateur de flux minimaliste qu’est Kriss_feed. Il fonctionnait très bien, jusqu’à ce que je me rende compte que je ne récupérais plus les flux d’un certain nombre de sites : les deux de Cyrille Borne, et celui de Bronco. J’ai donc forcé la mise à jour et suis tombé sur une erreur qui avait déjà été remontée par Cyrille himself en 2014.

Comme il n’y a pas vraiment de solution proposée, je me décide à contrecœur à essayer FreshRSS. Le problème est identique, mais ici les logs me fournissent un début d’explication :

A feed could not be found at http://www.cyrille-borne.com/feed/rss; the status code is 403 and content-type is text/html [http://www.cyrille-borne.com/feed/rss]

Une erreur 403, autrement dit un blocage. Je fais un whois rapide : oui, Bronco et Cyrille sont tous les deux chez O2Switch, l’hébergeur utilisant Jabatus, une solution maison de protection de leurs serveurs. Soit dit en passant, si j’ai terriblement besoin de ces flux RSS, c’est que Jabatus a blacklisté d’office tous les points de sortie de tous les VPN que j’utilise, rendant la lecture de ces blogs impossible sans proxy ou sortie du tunnel…

Je vais donc sur le site dédié pour vérifier si l’adresse IP de mon instance Gandi (donc pas nécessairement le plus petit hébergeur) n’a pas été bloquée. Une liste de ces IP est disponible dans la FAQ.

Sur les 13 adresses en France, une seule a été bloquée, ajoutée à la liste il y a 3 jours, ce qui correspond à peu près au moment où j’ai perdu le fil. C’est bien ma veine… Je fais donc une demande pour ne plus être listé, ce qui devrait être fait « en quelques minutes ».

Vérification après une petite demi-heure : aucune des adresses de Gandi n’est bloquée par Jabatus… et pourtant il n’est toujours pas possible de récupérer les flux RSS. Quelques heures d’attente plus tard, et les blogs sont de nouveau accessibles !

Victoire ? Non. Trois jours plus tard, nouveau blocage. La raison invoquée est toujours la même : « spam web ». Je suppose qu’un script doit tourner sur l’un des SimpleHosting Gandi et va spammer les commentaires d’un des 47000 clients O2Switch. Que ce client, plutôt que d’appliquer un filtrage plus fin, un antispam sur ses commentaires ou j’en passe, choisit la solution de la facilité en appuyant sur un hypothétique bouton « Bloquer avec Jabatus, la solution bourrine qui va bloquer tout un ensemble de vhosts sans chercher à faire le distinguo ». (voir EDIT ci-dessous)

Dans tous les cas, voilà où j’en suis jusqu’à présent. J’ai identifié le problème, mais ne peut plus rien y faire, à part écrire un mail au support d’O2Switch pour leur expliquer qu’en tant que client Gandi j’ai un problème avec leurs services, et inversement contacter Gandi pour leur expliquer qu’un script pollueur doit tourner sur l’un de leurs hébergements.

D’où ce billet de blog, parce que je n’aime pas me répéter, et pour que ça serve à d’autres qui pourraient être dans le même cas que moi.

L’un de mes collègues est en train de mettre en liste blanche l’adresse Ip de Gandi. (c’est un fournisseur qui peut être contacté et en général très propre sur son réseau).
Parallèlement nous sommes en train de faire des recherches précises pour soumettre un abuse à Gandi. La difficulté étant de trouver l’hôte source (tcpdump des posts pendant plusieurs heures..), car si on donne juste une IP sortante de Gandi à leur abuse, ils ne vont pas en faire grand chose, je présume.

J’ai vu votre billet. Je me permettrai juste de vous apporter une précision sur le système en place.

Pour qu’une IP soit bloquée par Jabatus, il faut vraiment qu’un robot soit excessivement virulent.
Un seul site qui réceptionne du SPAM, une attaque bruteforce, ou des tentatives de hacks, ne suffit pas à bloquer une IP.

Pour qu’une IP soit blacklistée, il faut que des 10ènes de sites soient concernés par une attaque similaire, d’une même IP, dans un laps de temps de quelques minutes. En gros : que le botnet soit vraiment préjudiciable pour tout le monde, et non pour un site en particulier.
Donc, Jabatus n’est pas vraiment une méthode de “bourrin”, mais son blocage est vraiment réfléchi sur du factuel et sur un impact mesuré important pour les clients hébergés, qui n’ont au final rien demandé..
Nous sommes hébergeur, on nous demande qu’un site hébergé soit accessible rapidement ! Jabatus est vraiment un plus, outil sur lequel nous travaillons en permanence et qui utilise des techniques de WAF, d’analyses avancées de logs. Pas une simple liste qui trouve une IP et bloque à l’aveugle.

Ces précisions légitimes sur Jabatus me semblent justes, maintenant je me sens tout miséreux d’avoir douté de ce système :)