L’affaire aurait pu faire beaucoup de mal à l’image de marque de Gandi, le célèbre registrar français de noms de domaine, qui communique justement avec fierté sur le fait que la transparence est « plus qu’une marque de fabrique : une culture d’entreprise« . Mais il a su en faire au contraire un exemple de bonne communication, à condition qu’elle soit suivie d’effets.
The Register rapportait en début de semaine que Gandi a révoqué sans préavis le certificat d’authenticité qu’il avait délivré à GoogleSharing, un service d’anonymat créé par le hackeur Moxie Marlinspike. Le service lancé en janvier dernier fonctionne par l’installation d’un plug-in Firefox, qui redirige tout le trafic lié à Google (sauf Gmail) vers un proxy, lequel supprime de la requête toutes les informations personnelles et les remplace aléatoirement par celles d’un autre utilisateur. L’idée est de mélanger toutes les informations personnelles de tous les utilisateurs pour rendre le profilage impossible de la part de Google. Il injecte également de fausses requêtes pour brouiller plus encore les cartes.
En révoquant le certificat SSL de GoogleSharing sans aucun préavis, Gandi a rendu le service inopérant pendant plusieurs jours. Il a fallu 24 heures au registrar pour que ses services envoient à Marlinspike un e-mail lui indiquant différentes raisons ayant abouti à cette décision. GoogleSharing aurait commis « de multiples atteintes sérieuses et délibérées » aux conditions contractuelles de Gandi, en ne remplissant pas correctement les informations identifiantes de la base Whois, en violant la marque Google dans son nom de domaine, et en se prêtant à des « activités frauduleuses ».
En estimant que GoogleSharing viole le droit des marques de Google et que le service est de nature frauduleuse, Gandi s’est fait juge à la place du juge. Ce qui est contraire à l’esprit qu’il affiche, et à celui qui gouverne en principe les intermédiaires techniques.
Contacté par The Register, le directeur des opérations de Gandi Joe White a immédiatement reconnu l’excès de zèle de ses services juridiques, et la faute de Gandi à ne pas avoir prévenu son client de la révocation avant qu’elle ne soit effective. « La raison pour laquelle le certificat a été révoqué était que les informations communiquées pour la base de données Whois n’étaient pas correctes. Les certificats sont des sceaux de confiance, mais ils ne peuvent pas être basés sur des données whois falsifiées. Il était juste de révoquer le certificat pour cette raison, mais pas sans avoir contacté d’abord le client« , concède M. White. « Les autres problèmes n’avaient rien à voir avec la révocation du certificat et nous sommes désolés pour la confusion que ça a pu causer« .
« Nous avons appris de cette expérience et modifié nos processus, et nous espérons éviter ce genre de problèmes à l’avenir« , conclue-t-il.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
