Des Bots IA Contournent les Défenses et Saturent Codeberg de Trafic DDoS

La plateforme d’hébergement de code open source Codeberg, une initiative communautaire basée à Berlin, se trouve en première ligne d’un nouveau champ de bataille numérique, aux prises avec une vague écrasante de bots IA sophistiqués. Ces agents automatisés ont réussi à contourner le système de défense d’Anubis de Codeberg, auparavant robuste, entraînant des perturbations significatives du service et soulignant une menace croissante pour les communautés en ligne.

Anubis, conçu comme un “piège à goudron” (tarpit), fonctionne comme un proxy de preuve de travail, exigeant des connexions entrantes qu’elles effectuent des défis computationnels intensifs avant d’accorder l’accès. Ce mécanisme a été mis en œuvre pour dissuader les crawlers IA malveillants et réduire le besoin de listes noires manuelles constantes, protégeant efficacement l’infrastructure de Codeberg pendant des mois. Cependant, dans un développement inquiétant, le personnel bénévole de Codeberg a récemment signalé via Mastodon que les crawlers IA ont “appris à résoudre les défis d’Anubis”, rendant la défense inefficace. Ce contournement est particulièrement préoccupant étant donné un correctif récent pour Anubis (commit e09d0226a628f04b1d80fd83bee777894a45cd02) qui a résolu une vulnérabilité où des attaquants sophistiqués pouvaient contourner la preuve de travail en fournissant une difficulté de zéro. Le volume même de ce trafic de bots a effectivement initié une attaque par déni de service (DoS), causant une “lenteur extrême” sur toute la plateforme. Codeberg a également noté que certains des bots incriminés semblent provenir de réseaux contrôlés par Huawei, une entreprise de télécommunications basée en Chine.

L’incident de Codeberg est loin d’être isolé ; il souligne un défi omniprésent et croissant auquel sont confrontés les projets open source et, en fait, l’internet au sens large. Des rapports indiquent que les “mauvais bots” représentaient un pourcentage stupéfiant de 71 % de tout le trafic de bots en 2024, une augmentation notable par rapport à 63 % en 2023. Une partie significative de cette augmentation est attribuée aux “bots gris” pilotés par l’IA qui extraient des données sans discernement pour entraîner de grands modèles linguistiques (LLM) sans autorisation explicite, imposant un fardeau immense et souvent non compensé aux fournisseurs d’hébergement et aux communautés gérées par des bénévoles. Ce scraping incessant non seulement gonfle les coûts de bande passante et d’hébergement, mais dégrade également le service pour les utilisateurs légitimes, forçant certaines plateformes à bloquer des pays entiers ou à mettre en œuvre leurs propres “labyrinthes IA” pour combattre le déluge.

Les implications éthiques de cette activité IA incontrôlée sont un point de discorde croissant au sein de la communauté technologique. Bradley M. Kuhn, chercheur en politique à la Software Freedom Conservancy, a ouvertement condamné ces actions, les qualifiant d’“attaques DDoS contre les personnes les plus gentilles et les plus généreuses de notre communauté”. Il affirme que les entreprises déployant des bots pour l’entraînement des LLM devraient être tenues responsables de leur “avidité insatiable pour toujours plus de données d’entraînement”. Les critiques soutiennent que les modèles commerciaux actuels de nombreuses entreprises d’IA sont insoutenables sans cet accès gratuit aux données, préconisant des réglementations plus strictes pour garantir une compensation équitable et le respect des protocoles internet établis. La course à l’armement en cours entre les défenses IA évolutives et les bots de plus en plus sophistiqués, qui sont désormais capables de générer des exploits autonomes et de réaliser du phishing avancé, signale un point critique pour la sécurité numérique et la durabilité des écosystèmes open source. L’exploration par Codeberg de défenses alternatives comme “Iocaine” souligne le besoin urgent de nouvelles stratégies dans ce paysage de menaces en évolution.