Bonjour à tous les experts du site,

Je suis attaqué sur mes 60 ipv4 (hébergées chez Jaguar Network - FreePro) régulièrement depuis le mois d'août par des ip de l'AS211590 (Bucklog SARL) et même la fibre FTTh Orange Business d'un de mes clients est touchée.
Cette société Bucklog semble être une coquille vide qui n'a pas d'activité, à part exister sur infogreffe et leurs serveurs sont en Linux Debian (en testant leurs ip). Peut-être ont-ils été piratés, ou peut-être sont-ils eux-même des pirates. En tout cas ils n'ont pas de site internet ni de numéro de téléphone et semblent être juste à une boîte aux lettres de domiciliation.
Les attaques sont tous azimuths, aussi bien contre les serveurs web que contre les serveurs de messagerie ainsi que scans de ports incessants.

J'ai fait déjà quatre signalements, par mail et même par téléphone au Datacenter DC2Scale qui héberge ces ip et ils m'ont dit au mois d'Août qu'ils faisaient le nécessaire, mais rien n'a changé à ce jour (16 octobre) !
Leur dernière réponse est que c'est un client d'un de leurs clients et qu'ils transmettent la réclamation...

Ma question est:  l'hébergeur des serveurs concernés n'est il pas en droit de déconnecter son client (qui apparaît sur 12 blacklist que j'ai consulté) à la suite de son comportement anormal et malveillant qui ne cesse pas ?

Faut-il que je remonte jusqu'au  RIPE ou bien que je dépose une plainte à la gendarmerie pour que les choses bougent ?

J'ai remarqué qu'OVH fait aussi la sourde oreille et ils envoient une réponse lénifiante à tout signalement fait à leur adresse abuse en disant qu'ils le signalent à leur client mais ils se gardent bien d'intervenir pour les bloquer.
Ca me fait penser à Digital Océan qui est un véritable nid de VPS de pirates et que j'ai bloqué totalement dans mon routeur.

Heureusement que j'ai PFBlocker et CrowdSec dans mes routeurs, mais c'est énervant de voir qu'en France, on est démuni contre des pirates qui sont eux-même en France.

Merci d'avance pour les réponses des connaisseurs

Cordialement,

Laurent

Pour des Russes et des Chinois, je sais très bien que je ne pourrais rien faire, mais je bloque déjà toutes les ip des pays les plus malveillants avec mes routuers PFSense.

Par contre, là il s'agit d'une SARL française qui a son propre AS et un range d'ip à elle, je n'ai pas affaire à une multinationale intouchable.

Au Royaume-Uni, il existe des hébergeurs qui autorisent les scan de ports abusifs, ce qui est assez étonnant, mais les contrats d'hébergement en France interdisent les pratiques illicites visant à perturber le réseau.

Oui, la console Crowdsec liste rien que pour une seule des ip attaquantes (la 185.177.72.210) :
http exploit, http scan, http crawl, tcp scan, ssh breuteforce, scan attempt, exploitation attempt, http dos, et 12 CVE. 
Mitre techniques: active scanning, gather victim host information, gather vicitim network information, exploit public-facing application, brute force, remote system discovery, network service discovery, network denial of service.

Ma question est:  l'hébergeur des serveurs concernés n'est il pas en droit de déconnecter son client (qui apparaît sur 12 blacklist que j'ai consulté) à la suite de son comportement anormal et malveillant qui ne cesse pas ?

En France, et d'une manière générale en Europe, hormis pour ce qui relève du manifestement illicite (pour lequel le périmètre est très restreint) un hébergeur ne peut déconnecter un client final sans décision de justice / réquisition judiciaire / injonction autorité administrative compétente. Oubliez les séries TV, nous ne sommes pas au FarWest.

Plus efficient de se rapprocher d'un professionnel du droit (ce n'est pas ce qui manque) afin que ce dernier adresse une notification circonstanciée DSA (donc on évite les grands moulinets avec les bras & expliquer son métier à l'hébergeur en le menaçant des pires représailles, on reste factuel et circonstancié) permettant à l'hébergeur de pouvoir se positionner : suspension ou rejet de la demande.

Et si le trouble persiste / en cas de refus hébergeur (qui reste souverain, aucune obligation générale de surveillance de l'activité des utilisateurs finals, cf. art.8 DSA https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022R2065#art_8 régulièrement rappelé par les juridictions, dernier exemple en date concernant OVH https://www.courdecassation.fr/decision/68dec3be6af9fd1f8094d8d5), possibilité de saisir le juge qui, si le dossier est correctement ficelé, peut rendre une décision en quelques jours pour enjoindre l'hébergeur de procéder à la suspension (et si c'est le nom de domaine qu'on souhaite voir bloqué, on n'assigne pas l'hébergeur mais le registrar)

https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000049571761

Je ne me vois pas dépenser des frais d'avocat pour faire cesser ces attaques.

Tu ne feras jamais cesser ces 'attaques'.

J'ai fait déjà quatre signalements, par mail et même par téléphone au Datacenter DC2Scale qui héberge ces ip et ils m'ont dit au mois d'Août qu'ils faisaient le nécessaire, mais rien n'a changé à ce jour (16 octobre) !
Leur dernière réponse est que c'est un client d'un de leurs clients et qu'ils transmettent la réclamation...

Ma question est:  l'hébergeur des serveurs concernés n'est il pas en droit de déconnecter son client (qui apparaît sur 12 blacklist que j'ai consulté) à la suite de son comportement anormal et malveillant qui ne cesse pas ?

Faut-il que je remonte jusqu'au  RIPE ou bien que je dépose une plainte à la gendarmerie pour que les choses bougent ?

On va refaire les bases :
1 - l'hébergeur à un contrat avec la société. Il est obligé par la loi à honorer son contrat tant que le client honore ses obligations. On bloque pas les gens comme ça. (droit des obligations : des choses qui sont obligatoires)

2 - vous avez signalé OK. Vous parlez d'attaques OK. Un avocat ou un juge ou un gendarme va vous demander : Avez-vous subit un préjudice ? C'est à dire : As-tu perdu de l'argent ? Un matériel est tombé en panne ? Ton activité a-t-elle été atteinte de manière claire ? Quel est le trouble que vous subissez ? (consulter un log ou envoyer un email de reclamation à abuse n'est pas un trouble)


Tant que que c'est du ping, du scan de port, de requête http sur des pages qui n'existent pas : bah vous n'avez aucun préjudice à faire cesser, ni ne souffrez d aucun trouble.

Par contre le mec ouvre vos serveurs et vide leur contenu ou plante votre activité -> gendarmerie direct

Sur pappers on a pas plus d'info elle fait suffisamment pas de CA pour être obligé de déposer les comptes.


 A ce stade c'est plutôt Bucklog et ses 0 employés qui subissent un préjudice. Et c'est le seul qui a l'intérêt à agir. (ca veut dire que c'est uniquement le gérant de Bucklog qui peut porter plainte. On ne peut pas porter plainte à la place d'un tiers si on subit pas soit même de préjudice)