Ouaf !
By n on Wednesday 4 June 2025, 20:30 - Permalink
L'intelligence Artificielle générative, depuis qu'elle a fait irruption dans l'espace public, déchaine les passions. Pour ma part je n'ai rien contre, je m'en sert peu mais je vois ça comme un super-Stack Overflow sous stéroïdes, avec les fausses/mauvaises réponses que ce dernier peut proposer et dont il faut toujours se méfier (mais sans les votes et les vérifications humaines qui s'imposent malheureusement…)
Au départ, j'étais donc tout à fait ouvert à ce que les agents se servent de mes petites productions pour s'alimenter, c'est le jeu du partage libre et de l'open-source. Sauf que certains bots se montrent particulièrement pénibles (kikoo Amazonbot/0.1, va bien te faire cuire le Q) en n'étant pas du tout discrets lors de leur passage : ils visitent chaque recoin des sites et provoquent ainsi une charge massive sur les appli pas trop prévues pour ça (kikoo Forgejo). J'ai commencé par mettre quelques adresses en trou noir mais il y en avait vraiment trop et changeaient chaque jour, j'ai dû trouver rapidement une autre solution (Anubis n'en est pas une pour moi au sens où celui-ci nécessite JavaScript), me restait donc la possibilité de mettre des limitations de débit, toujours un peu casse gueule, installer un truc à base de liste blanches mises à jour régulièrement, ou déployer carrément un WAF.
Finalement j'ai opté pour un WAF, plus précisemment le célèbre OWASP Modsecurity et son fidèle Core RuleSet, projets pourtant anciens et un peu malmenés, mais qui ont l'avantage de s'interfacer parfaitement avec nginx (NAXSI est également supporté, le projet semble toujours actif malgré un déménagement récent). Comme pas mal de produits de sécu (kikoo SELinux), la syntaxe est à vomir, les logs sont illisibles mais bon, ça fait le job à condition d'éliminer les faux positifs. Du côté des interfaces de gestion c'est la misère avec un seul projet qui pourrait faire le taf mais qui a l'air d'être une tannée à installer (sans compter qu'il a l'air en sommeil depuis des années)
Je n'ai plus eu qu'à ajouter une règle supplémentaire pour bloquer les bots relou à base de gros 403 dans leur tronche (il parait qu'il ne faut pas être poli avec les IA de toute façon), je touche du bois parce que ça ne fait pas longtemps que c'est en place mais depuis c'est le calme plat au niveau de la charge de mes serveurs, ce qui est plutôt cool.