Tor et vpn bloqué sur framaform

Salut,

J’espère que le topic est à sa bonne place. Il y a eu plusieurs demandes / réactions sur le fait de la fermeture de framaforms au réseau tor, la réponse une « question de sécurité suite à des abus » (plusieurs années de fermeture plus tard). Il a été évoqué qu’avec la nouvelle version ça serait possible d’utiliser tor, c’était en juillet 2024 cette réponse.

Cette problématique et prise de position de framaform pose de nombreuses questions et problématiques que je trouverais intéressant d’analyser vis à vis de l’objectif de la vision de libre:

  • Le réseau tor est un outil dont de nombreuses personnes ont besoin, le vocabulaire de l’abus est innaproprié. Des personnes ont utilisé une faille dans framaforms pour pouvoir arriver à leur fin.
  • Je parle de ce vocabulaire car j’ai l’impression que le sujet devient secondaire et lié à des caprices de certaines personnes qui veulent utiliser ce genre de service. Peut être certaines personnes ont des besoins spécifiques (sécurité, accessibilité, …) d’utiliser des vpn ou tor, d’autant que framaforms est un logiciel du libre connu est très utilisé dans les mouvements de luttes ciblés par de la répression policière. Ca provoque soit une exclusion de certaines personnes dans l’usage d’un outil qui est normalement collectif, soit des baisses de protocoles de sécurité que certains groupes ou personnes se sont fixés ou des mises en danger.
  • Il est possible d’utiliser d’autres services que framasoft c’est vrai, mais quand tu veux répondre à des questionnaires tu choisis pas l’outil qu’une organisation a mis en place. A minima si le problème c’est l’envoie massif de mail, vous auriez pu bloqué que l’interface admin et pas la totalité de l’outils (solution non satisfaisante non plus).

Sur les questions politiques:
Dans un contexte de la monté du fascisme, il est important d’intégrer aux idées du libres ces problématiques. Bloquer tor et les vpn c’est contribué à rendre l’outil moins utilisable et ne plus les utiliser, les gouvernements et les GAFAM font déjà bien leur taffe dessus car iels veulent identifier tout le monde, il faut qu’il y ait un front libriste pour contrer cela.

Sur les problématiques initiales:

  • Les campagnes de spam sont un problème qui a eu lieu il y a plusieurs années. Si dès demain c’est à nouveau accessible les failles de framaforms ne seront probablement pas utilisé immédiatement.
  • Faire un appel à l’aide à la communauté libriste ou demander à d’autres services équivalent pour trouver des moyens de protéger framaform de ses failles sans bloquer des services de sécurité. Limiter le nombre de mail par période, mettre des capcha libre pour certains usages ou autre, adapter le service pour qu’il ne puisse plus être utilisé pour faire de l’attaque. Dans tous les cas il n’y a rien qui peut justifier de bloquer la totalité du service au réseau tor, et encore moins sur une période aussi longue.

Espérant que cela puisse ouvrir un débat sur l’importance de réseau tel que Tor et les vpn qui ne peuvent marcher qu’avec l’aide et l’entraide de la communauté libriste.

Bonjour,

La situation n’a effectivement pas évolué depuis les derniers échanges sur le sujet, car les problématiques initiales sont toujours d’actualité.

Nous avons toujours plusieurs services avec beaucoup d’abus liés au spam, certains mettant potentiellement en péril l’intégralité des services de Framasoft. Le fait de bloquer Tor, des VPN voire des pays entiers reste pour nous une solution certes de facilité, mais clairement la seule actionnable et suffisamment efficace compte-tenu de nos ressources (et de la volonté d’éviter des solutions comme Cloudflare). Certains abus reprennent quelques minutes après que nous ayons levé des limitations, nous sommes régulièrement spécifiquement pris pour cible.

À notre grand regret, aucune autre organisation ou collectif ne propose Yakforms en hébergement aujourd’hui, ce qui fait qu’il n’y a effectivement pas vraiment d’alternatives pour les personnes ayant un réel besoin d’utiliser ces niveaux de protection.
En effet, le développement du logiciel Yakforms est au point mort depuis des années, après avoir pourtant essayé à plusieurs reprises de faire des appels aux contributions.
Étant donné l’impasse technique dans laquelle se situe Yakforms, nous avions l’espoir que son successeur puisse arriver rapidement afin de résoudre cette situation, en axant nos efforts plutôt sur un pari futur, mais pour tout un tas de raisons cela n’est pas arrivé (et ne devrait pas arriver dès demain).

Vous semblez avoir une bonne idée des améliorations qui seraient nécessaires pour pouvoir éviter cette situation, mais qui se charge de les développer, de les intégrer au logiciel, de les tester ? Nous n’en avons aujourd’hui tout simplement pas ni les ressources ni les capacités, avec des forces de travail techniques extrêmement réduites et des dizaines de projets différents à gérer.
Si nous pouvons être en désaccord sur les priorités de Framasoft, merci de ne pas affirmer « qu’il n’y a rien qui peut justifier » un tel choix ou de faire des injonctions de la sorte à notre équipe, vous n’êtes pas en position de juger les difficultés auxquelles nous faisons face.

Ainsi, si nous sommes très navrés de ce constat, nous devons être clairs que le choix que nous avons fait et continuons à faire est effectivement de prioriser le maintien du service pour les 1,3 millions de bénéficiaires mensuels de Framaforms avec le compromis d’en interdire l’accès à certains ET d’utiliser un service tiers pour vérifier le fait que les nouveaux formulaires et soumissions ne sont pas du spam.

Par rapport à la question de la liberté, nous utilisons quotidiennement des VPN et très régulièrement Tor, nous savons très bien à quoi ressemble un internet où l’on est bloqué sur plein de sites et services sans avoir son mot à dire. Nous prenons donc cette décision en conscience et en essayant de faire « au mieux », comme marqué dans nos CGU :

  • si le service ne vous convient pas, libre à vous d’en trouver un équivalent (ou meilleur) ailleurs, ou de monter le vôtre

  • Framasoft reste seul juge de cette notion « d’abus » dans le but de fournir le meilleur service possible à l’ensemble de ses utilisateur·ices. Si cela vous parait anti-démocratique, anti-libriste, anti-liberté-d’expression, merci de vous référer à la clause précédente ;

Tout ce message ne signifie pas forcément que la situation n’évoluera pas dans le futur même proche, nous avons fait des efforts significatifs pour essayer de mieux détecter et prévenir les abus et il nous arrive d’essayer de nouvelles solutions, mais nous ne garantissons clairement pas une amélioration avant le passage à Liberaforms (que vous pouvez tester par ici). Si jamais la communauté libriste veut s’intéresser au sujet, nous recommandons donc plutôt de mettre ses efforts sur ce dernier projet.

2 « J'aime »

Salut,

Merci pour la réponse. Je m’excuse si mon ton est pris comme une pression qui semble se diriger contre une équipe qui manque d’énergie pour gérer les nombreux outils de framasoft.

Je comprends la difficulté de trouver du monde pour porter le développement des outils, mais je souhaite ouvrir ce ticket car il y a parmi le développement la question du cahier des charges du logiciel, de ce qui semble important ou non à intégrer dedans et parfois apporter des questionnements politiques ça permet d’orienter le cahier des charges. Par exemple le lien béta que tu renvoies à aussi ce bloqueur tor / vpn / certains pays, donc à priori le même cahier des charges.

Je vois l’idée de dire que si ça ne convient pas on peut faire nos outils dans nos coins. Je connais plusieurs groupes qui ont choisi d’autres outils à cause de cette problématique (qui n’est pas yakforms), mais ça n’empêche pas que parfois une orga a choisi cet outil et que des participant.es sont contraint.es de l’utiliser. C’est pas enviable comme combat de questionner certaines orgas (qui subissent la répression et la surveillance) l’usage de cet outil très pratique alors que déjà elles ont fait l’effort de quiter les GAFAM. C’est dans ce sens qu’il peut être espéré que ça puisse être pris en compte par les développeur.euses de l’outil lui même ou par des personnes de la communauté libriste qui pourrait passer par ici et voudrait faire des propositions.

C’est vrai qu’en tant que personne extérieure je ne sais pas ce que vous vivez, de la même manière vous ne savez pas ce qui m’amène à requestionner cette décision d’exclusion d’adresse IP prise il y a plusieurs années (mais j’entends que c’est pas vos onions :)).

Parfois quand un élément devient une chose importante plusieurs solutions s’envisagent, dont certaines partielles pas forcément long à intégrer.

Bonne suite au libre

C’est effectivement une erreur de notre part, qui est maintenant corrigée.

Pour clarifier, le fait de ne pas avoir à bloquer quoi que ce soit est clairement un des objectifs du nouveau Framaforms, mais pas une garantie.

Framasoft ne propose pas des outils spécifiquement orientés pour un public en quête d’un niveau de sécurité avancé, nos outils ne font pas de chiffrement de bout en bout, nous sommes soumis aux législations françaises, etc. On ne peut que regretter que le niveau de sécurité par défaut ne soit pas le plus haut (là où c’est possible en utilisant Signal par exemple), mais il est clair qu’aujourd’hui cela implique trop de contraintes pour le type d’outils que nous proposons. En attendant, Riseup et Cryptpad peuvent être des meilleures alternatives pour ce cas de figure.

Enfin, nous regardons aussi d’autres solutions pour contrer certains types d’attaques comme Anubis qui est également une autre sorte de compromis.

Merci pour la correction et la clarification.
Bon courage pour la suite!