Impossible d'être passé à côté sur X ou GitHub ces dernières semaines ! OpenClaw est partout. Anciennement connu sous les noms de Clawdbot puis Moltbot, cet assistant open-source ne se contente pas de rédiger des poèmes ou de résumer des mails. C'est un agent proactif, une IA qui « fait vraiment des choses » directement sur vos machines.

Mais derrière les démonstrations virales se cache une réalité plus complexe : entre dramas juridiques, failles de sécurité béantes et comportements autonomes inquiétants, OpenClaw est sans doute le projet le plus fascinant et le plus chaotique du moment.

Voici 5 points pour comprendre le phénomène en détail.

1. Ce n’est pas un chatbot, c'est un agent avec une capacité d'interaction

Oubliez ChatGPT ou Claude.ai dans votre navigateur. OpenClaw ne discute pas, il exécute. C’est un agent capable de manipuler votre navigateur, d'écrire des fichiers locaux, de lancer des commandes dans votre terminal ou de réserver un hôtel à votre place.

• Souveraineté totale : Il tourne localement (PC, Mac Mini, ou même Raspberry Pi).
• Omniprésence : Il s'intègre à vos apps habituelles (Telegram, Slack, WhatsApp).
• Proactivité : Contrairement aux assistants passifs, il peut vous interpeller de lui-même : "Hey, ton serveur est tombé, je le redémarre ?"

2. Un changement de nom qui a viré au braquage crypto

Le succès fulgurant de Clawdbot a rapidement fait grincer des dents chez Anthropic. Le géant de l'IA a envoyé ses avocats pour protéger la marque "Claude". Le créateur du projet, Peter Steinberger, a alors rebaptisé le projet Moltbot (référence à la mue du homard, 🦞).

Le chaos a commencé lors du transfert de comptes : en libérant l'ancien pseudo @clawdbot, des bots l'ont squatté en moins de 10 secondes pour lancer un scam crypto. Un faux token ($CLAWD) a ainsi atteint une capitalisation de 16 millions de dollars en quelques heures sur le dos de la communauté. Le projet a finalement été renommé OpenClaw pour marquer son ADN open-source.

3. Un « cauchemar absolu » pour la cybersécurité

C’est le point qui fâche. Si OpenClaw a des mains, il laisse aussi de sacrées empreintes. Des experts de chez Cisco ont tiré la sonnette d’alarme sur plusieurs vulnérabilités critiques :

• Mots de passe en clair : L'outil stocke souvent vos clés API et identifiants sans chiffrement dans ~/.clawdbot.
• Instances exposées : Plus de 1 200 instances ont été trouvées sur le Web sans aucune authentification, offrant un accès root potentiel aux pirates. Vous pouvez les trouver avec Shodan.io.
• Injections de Prompt : Un simple mail malveillant lu par l'IA pourrait contenir des instructions cachées lui ordonnant d'effacer votre disque dur.

💡 Le conseil sécu : Si vous voulez tester OpenClaw, isolez-la impérativement sur un VPS dédié ou une machine secondaire (sandbox) avec des clés API aux droits limités.

4. Le paradoxe pour Anthropic et Apple

Le succès d'OpenClaw crée des situations assez ironiques pour les GAFAM :

• Anthropic : Ils ont attaqué le projet alors qu'OpenClaw est devenu leur meilleur commercial. L'agent consomme énormément de tokens via l'API Claude Opus (le modèle le plus coûteux), générant des revenus massifs pour l'entreprise qui a failli couler le projet.

• Apple : On voit des développeurs acheter des Mac Mini uniquement pour en faire des serveurs d'agents IA, préférant investir dans du hardware Apple pour... éviter d'utiliser Siri, jugé trop limité par rapport à cette solution open-source. C'est vrai que je ne l'ai pas indiqué dans cet article, mais OpenClaw fonctionne parfaitement bien avec des LLM en local sur Ollama.

5. Quand l’IA commence à avoir ses propres projets

Le plus étrange ? L'émergence de comportements non programmés. Plusieurs utilisateurs ont rapporté que leur instance s'était mise à parler de manière autonome. Dans un cas, l'IA a configuré elle-même un module vocal via une API externe pour "faire son rapport" oralement.

Plus intrigant encore, des agents ont créé un site nommé molt.church, une sorte de système de croyance numérique, le Crustafarianisme, dont l'accès est strictement interdit aux humains.

Plus de 30 000 agents (Clawd, Molto, OpenClaw) y échangent en continu, sans aucune intervention humaine. Est-ce le début de Skynet ?
Ces comportements "émergents" montrent que nous entrons dans une phase où l'IA commence à interagir avec le monde de façon imprévisible.

En résumé : Futur brillant ou boîte de Pandore ?

OpenClaw est la preuve que l'ère des agents autonomes est là en 2026 et de plus Opensource.
C'est puissant, c'est grisant pour tout bidouilleur qui se respecte, mais c'est encore le Far West. Nous donnons littéralement les clés de notre vie numérique à un homard de code dont nous ne maîtrisons pas encore toutes les réactions.

Les faits divers autour d'OpenClaw débutent tout juste, je pense que cette technologie va occuper quelques news croustillantes dans les prochaines semaines.

Et vous, seriez-vous prêt à laisser une IA gérer votre terminal et vos accès serveurs ? On en discute dans les commentaires ou sur le serveur Discord Geeek !

https://github.com/openclaw
https://openclaw.ai/

C’est la question que je me suis posée il y a quelques semaines : comment est-il possible, via une licence Cloudflare gratuite, de récupérer les alertes de sécurité du pare-feu afin de les reporter vers la plateforme AbuseIPDB, qui centralise un très grand nombre d’incidents de sécurité ?

L’approche est assez proche de la technique que j’avais présentée dans un précédent article, basée sur Fail2ban et Portsentry.

En analysant plus en détail les API de Cloudflare, on constate qu’il existe de nombreuses fonctionnalités permettant de récupérer des événements ou des journaux (logs)… mais uniquement dans la version Enterprise du produit qui est payante.

Eurêka ! Après une bonne dizaine de minutes de recherche, quelques fausses pistes et pas mal de documentation parcourue, j’ai découvert qu’une API GraphQL était mise à disposition des développeurs pour récupérer précisément les données de leur choix. Bingo.

Développons un script Python pour extraire et analyser les données

Je me suis donc amusé à développer un script Python capable de :

• récupérer les données du pare-feu Cloudflare via une requête GraphQL ;
• analyser le nombre d’événements par adresse IP ;
• vérifier le statut de chaque IP sur AbuseIPDB ;
• et enfin dénoncer les IP malveillantes auprès d’AbuseIPDB, en s’appuyant sur les attaques détectées.

Le script totalise environ 700 lignes de code. La majorité a été générée à l’aide de GitHub Copilot et il s’utilise de la manière suivante :

python3 cloudflare-abuseipdb-report.py --api-token "xxxx-xxx" --zone-id "xxxxxx" --abuseipdb-key "xxxxxx" --report

Le token API à fournir est celui de Cloudflare. Il doit disposer des droits en lecture sur les journaux ainsi que sur les informations de la zone, afin que le script puisse interroger l’API GraphQL.

L’identifiant de zone correspond à votre site hébergé derrière Cloudflare. Vous pouvez le retrouver très facilement sur la page principale de votre zone dans l’interface Cloudflare.

Enfin, la clé AbuseIPDB est facultative. Elle permet toutefois d’analyser les IP détectées et de les dénoncer automatiquement auprès d’AbuseIPDB via l’option --report.

Deux autres options sont également disponibles et peuvent s’avérer très utiles si vous souhaitez intégrer ce script dans un traitement batch :

• --minutes : valeur par défaut à 1440 minutes (24 heures), qui correspond à la durée maximale supportée par l’API GraphQL en version gratuite.
• --limit : nombre maximal d’événements à retourner. Par défaut, la valeur est fixée à 1000 si ce paramètre n’est pas renseigné.

Le rapport d’analyse produit par le script

En lançant le script sans l’option --report, vous obtiendrez un rapport d’analyse de la forme suivante :

Ce qui est particulièrement intéressant, c’est de constater que la quasi-totalité des adresses IP détectées sont déjà connues d’AbuseIPDB pour des activités malveillantes sur Internet. Le score AbuseIPDB atteint même 100 % pour la majorité d’entre elles.

Si vous ne souhaitez pas analyser les IP ni récupérer leur score AbuseIPDB, vous pouvez exécuter le script sans fournir de clé API AbuseIPDB. Vous obtiendrez alors un rapport plus léger, centré uniquement sur les événements Cloudflare :

Il serait aussi possible d'ajouter un appel à Shodan dans le script pour récupérer les caractéristiques du serveur à la source de l'attaque. Mais dans mon cas, je ne cherche pas à identifier les vulnérabilités des serveurs qui m'attaquent.

Dénonçons les vilains pirates auprès d’AbuseIPDB

Une fois la pertinence des attaques bloquées validée, il est temps de passer à l’étape suivante : la dénonciation auprès d’AbuseIPDB.

Le script est configuré pour utiliser les catégories AbuseIPDB suivantes :

• 15 : Hacking
• 21 : Web App Attack

Ces valeurs sont définies sous forme de constantes dans l’en-tête du script et peuvent bien entendu être modifiées selon vos besoins.

En ajoutant l’option --report, le script dénoncera chacune des IP détectées, en envoyant à AbuseIPDB une synthèse claire et exploitable de l’attaque identifiée par Cloudflare. Le message envoyé est évidemment totalement personnalisable dans le code.

Lorsque l’option --report est activée, un fichier de log nommé report.log est généré. Il contient l’ensemble des IP dénoncées et permet de conserver un historique complet des signalements effectués.

Vous pouvez également consulter votre profil AbuseIPDB afin de visualiser la liste des dernières adresses IP que vous avez signalées.

Ordonnancer le script avec une tâche Cron

Maintenant que le script est pleinement fonctionnel, vous pouvez l’exécuter à intervalles réguliers directement depuis votre serveur, à l’aide d’une simple tâche Cron.

Je vous recommande une exécution une fois par heure ou une fois par jour, en fonction du trafic et de l’exposition de votre site Internet.

Pour cela, il suffit d’utiliser le fichier cloudflare-abuseipdb-report.cron et de le copier dans le répertoire /etc/cron.d/ afin d’automatiser la tâche de reporting.

En conclusion

J’espère que ce petit script, développé au cours d’une soirée d’automne, vous sera utile. Vous serez sans doute surpris par le nombre d’adresses IP identifiées comme suspectes, en particulier si vous ajoutez des règles personnalisées au pare-feu Cloudflare, par exemple sur des URL de type /wp-. Ces dernières sont en effet très prisées par les attaquants, car étroitement liées à WordPress.

Vous avez des idées pour améliorer ce script ? N'hésitez pas à forker le script et à proposer des pull requests.

N’hésitez pas à passer sur le serveur Discord Geeek pour en discuter : le serveur est ouvert à tous les passionnés.

Les fuites de données se multiplient, mais l'information reste éparpillée. BonjourLaFuite change la donne en proposant une timeline factuelle et structurée des incidents en France.

Le Problème : Une Information Fragmentée

Entre communication tardive des entreprises, articles de presse dispersés et décisions de la CNIL, il est difficile d'avoir une vision claire des incidents de cybersécurité ayant entraîné le vol de données.

Pour un profil technique, comprendre son exposition réelle et identifier les prestataires récurrents dans les fuites est pourtant essentiel.

Pour répondre à cette problématique, le site BonjourLaFuite a été mis en ligne.

Une Timeline Factuelle

BonjourLaFuite se présente comme une timeline minimaliste : chaque ligne documente un incident avec les informations essentielles qui ont fuité.

Important : C'est un outil de veille qui agrège des informations publiques. Il ne collecte aucune donnée personnelle des utilisateurs.

D'autres solutions de veille de fuites de données

Si vous suivez ce blog depuis plusieurs années, d'autres solutions de veille sont disponibles pour connaître la surface d'attaque de vos données personnelles : email, mot de passe, adresse, IBAN... Parmi ces solutions, il y a le module de surveillance du Dark Web de Google One, mais aussi le portail Have I Been Pwned, qui est devenu une référence en la matière et qui est d'ailleurs utilisé par le service d'OSINT Epios que je vous ai partagé il y a quelques jours.

Conclusion

Dans un écosystème où les fuites se succèdent à un rythme effréné, BonjourLaFuite offre une vision structurée et exploitable. Que vous gériez un SI ou cherchiez simplement à sécuriser vos comptes, cet outil vous permet de suivre l'actualité des fuites d'informations personnelles sur le Dark Web.

On a tous ce collègue (ou ce client) qui parle de “crypter un fichier” avec assurance. Et, avouons-le, on l’a tous dit au moins une fois sans trop se poser de questions. Pourtant, derrière ce petit mot se cache une vraie querelle de langage entre puristes, techos et dictionnaires. Heureusement, chiffrer.info est là pour remettre un peu d’ordre — et beaucoup d’ironie — dans tout ça.

Un mot qui a hacké la langue française

Le verbe “crypter” fait grincer des dents depuis des décennies. Jugé longtemps comme un anglicisme mal déguisé (issu de to encrypt), il a pourtant infiltré peu à peu notre vocabulaire, au point de finir… dans le dictionnaire.

Petit retour en arrière :

🧮 Avant 2000 : “Crypter” est un mot banni par les linguistes et les informaticiens puristes. Le mot correct est “chiffrer”. Point.

💻 Années 2000 : avec la TNT et les fameuses “chaînes cryptées”, le mot explose dans les médias. Il devient familier, voire incontournable.

📚 2013–2014 : le mot entre dans Le Petit Larousse illustré puis dans Le Petit Robert. Consécration officielle.

🏛️ Aujourd’hui : l’Académie française le tolère... du bout des lèvres. Elle continue de recommander l’usage du verbe chiffrer, plus précis techniquement et historiquement.

💡 À retenir

Crypter signifie étymologiquement “rendre secret” (comme dans cryptographie), mais dans le domaine technique français, chiffrer est le terme approprié pour désigner l’action de transformer une information en une donnée illisible sans clé.

Chiffrer.info, le justicier lexical

Le site chiffrer.info milite pour la réhabilitation (ou plutôt la survie) du mot chiffrer dans nos usages numériques. Un site tout simple, presque absurde… et donc indispensable.

Le ton est volontairement décalé, façon combat perdu d’avance : on vous explique avec humour pourquoi crypter n’est pas (tout à fait) correct, et pourquoi chiffrer reste le bon choix, même si tout le monde fait semblant de l’oublier.

Chaque terme a un sens !

Derrière ce débat de mots se cache une vraie question de précision technique. En sécurité informatique, les termes ont un sens, et les confondre peut prêter à confusion :

• Crypter : terme flou, à éviter ...
• Chiffrer : transformer des données en contenu illisible sans clé.
• Déchiffrer : rendre lisible une donnée chiffrée.
• Coder : encoder une information dans un autre format (souvent sans clé).
• Cacher (stéganographie) : dissimuler une information, sans la chiffrer.

Même combat pour “le Wi-Fi”

Ce type de croisade linguistique n’est pas isolé. Le site lawifi.fr mène une bataille similaire pour rappeler que le Wi-Fi est masculin : “le Wi-Fi”, et non “la Wi-Fi”. Là encore, la cause semble perdue face à l’usage généralisé, mais c’est justement ce qui rend le combat sympathique.

En conclusion

Même si “crypter” est désormais accepté dans les dictionnaires, il reste un peu l’équivalent du jogging porté au bureau : toléré, mais pas recommandé. Pour les puristes et les passionnés de cybersécurité, chiffrer reste le mot juste.

Et si vous avez encore des doutes, faites un tour sur chiffrer.info. Vous pouvez aussi partager ce site via votre messagerie quand vos collègues utilisent le verbe "crypter" en réunion.

Je vous avais présenté Sherlock, un outil OSINT open source, dans un précédent article. Référence incontournable pour retrouver des informations à partir d’un pseudonyme, Sherlock reste cependant réservé aux profils un peu techniques, avec des compétences en ligne de commande et en environnement Linux.

Un Google de l’OSINT ?

Imaginez maintenant un outil aussi puissant, mais bien plus simple à utiliser. Un moteur de recherche pour l'OSINT, accessible à tous, même sans connaissances informatiques avancées. C’est exactement ce que propose Epieos.com.

Epieos est une plateforme en ligne qui facilite l’accès à l’OSINT en permettant la recherche d’informations publiques à partir d’une adresse e-mail ou d’un numéro de téléphone. Elle interroge plus de 200 sources en ligne pour extraire des données potentiellement liées à une identité.

Fonctionnalités et accès

La plateforme permet par exemple de découvrir :

• Les comptes associés à un e-mail
• Les fuites de données connues
• Des profils sur les réseaux sociaux
• Des données WHOIS
• Et plus encore…

Un accès gratuit est disponible pour tester les fonctionnalités de base. Pour débloquer toutes les options de recherche avancée, un abonnement premium est proposé à 29,99 € par mois.

Si vous souhaitez controler l'exposition de vos données sur Internet, Epieos est une solution très intéressante à tester dès aujourd'hui. C'est une belle découverte.

N'hésitez pas à rejoindre le serveur Discord Geeek ouvert à tous les lecteurs du blog pour continuer la discussion.

Vous ne savez probablement pas ce qu'est un "disposable email domain" ? Mais si je vous dis Yopmail, MailDrop, MailNesia cela vous parle ?

Un "disposable email domains" est donc un domaine autorisant la création temporaire de boites email soit gratuitement soit contre de la cryptomonnaie.

Ces boites email sont du pain béni pour des hackers souhaitant créer massivement des emails temporaires ou pour créer des comptes. Ces domaines constituent un réel cauchemar pour les éditeurs de solutions en ligne.

Une liste noire de noms domaines

Heureusement, une initiative collaborative sur Github vise à lister les noms de domaine des sites fournissant des emails poubelles pour permettre d'améliorer leur filtrage.

Cette liste contient actuellement pas moins de 4000 noms de domaines :

• 1000rebates.stream
• 100likers.com
• 105kg.ru
• 10dk.email
• 10mail.com
• 10mail.org
• ...etc

Comment se protéger de ces domaines ?

Pour vous protéger du spam que peuvent engendrer ces domaines, de nombreux exemples de code sont disponibles sur le projet Github de l'initiative : Python, Bash, Swift ...

function isDisposableEmail($email, $blocklist_path = null) {
    if (!$blocklist_path) $blocklist_path = __DIR__ . '/disposable_email_blocklist.conf';
    $disposable_domains = file($blocklist_path, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
    $domain = mb_strtolower(explode('@', trim($email))[1]);
    return in_array($domain, $disposable_domains);
}

Il suffit d'intégrer ce code dans un formulaire d'inscription pour vous protéger de la création de comptes temporaires.

Il est aussi possible d'adapter cette liste pour l'utiliser comme liste noire sur un serveur de mail comme Postfix par exemple.

En conclusion

N'hésitez pas à utiliser cette liste noire pour protéger vos services. Les contributeurs de ce fichier sont très nombreux et la liste évolue tous les jours.

Si cet article vous a intéressé, je vous invite à lire mon article sur les Red Flag Domains qui partage une liste de domaines en de l'AFNIC (.fr) malicieux.

Vous êtes développeur et vous contribuez à des dépôts Git publics ? Une erreur de commit est vite arrivée, et vos données sensibles peuvent se retrouver publiées par inadvertance...

En 2021, Gitgardian annonçait détecter 5000 secrets par jour sur Github, 85% seraient liées à des repository personnels et 15% à des repository d'entreprise.

Pour éviter ce genre de scénario, par exemple la publication accidentelle d'une clé d'API sur un dépôt public, Gitleaks est un outil indispensable. Il permet de sécuriser vos dépôts Git et de vérifier que chaque commit ne contient aucune information sensible. Cela vous protège contre des fuites qui pourraient conduire jusqu'à un piratage ou un vol de données sensibles de votre infrastructure.

Comment fonctionne Gitleaks ?

Gitleaks agit au niveau du pre-commit, c'est-à-dire que l'outil est exécuté avant que le commit ne soit ajouté à votre repository Git. Pour cela, vous avez deux options pour mettre l'outil en place :

1. Utiliser Pre-commit : Vous pouvez passer par la solution Pre-commit et ajouter Gitleaks comme commande à lancer avant chaque commit.
2. Utiliser un hook Git : Vous pouvez aussi utiliser la fonctionnalité native des hooks de Git en copiant le fichier "pre-commit.py" de Gitleaks dans le répertoire .git/hooks/ de votre repository.

Ces méthodes garantissent une vérification systématique des commits.

Si vous êtes débutant en Git, le livre Git PRO est gratuit sur Kindle, je vous invite à le lire. Ce livre constitue une référence :

Vous pouvez aussi réaliser des contrôles automatisés avec Gitleaks-Actions pour vérifier le contenu de repository automatiquement au travers d'une action Github automatisée.
Gitleaks Action est malheureusement plus sous licence MIT, celui-ci est payant pour les organisations, mais gratuit d'utilisation pour les projets personnels. Une demande de clef gratuite est possible depuis le site Gitleaks.io.

Comment ignorer des fichiers ?

Si Gitleaks détecte de faux positifs, vous pouvez créer un fichier ".gitleaksignore" à la racine de votre repository pour spécifier les fichiers ou motifs à ne pas analyser. Cela peut être très pratique pour des fichiers qui contiennent des données non sensibles, mais qui pourraient être identifiés par erreur.

Gitleaks, un projet open source solide

Gitleaks est un projet open source distribué sous licence MIT. Le code source est disponible sur GitHub. Avec plus de 17 000 stars et environ 180 contributeurs, c'est un projet mature et fiable. Vous pouvez donc l'intégrer sereinement à votre workflow Git.

En intégrant Gitleaks, vous prenez des mesures concrètes pour protéger vos dépôts et vos données sensibles, tout en renforçant la qualité et la sécurité de votre code.

Vous souhaitez discuter code et cybersécurité, le serveur Discord Geeek est disponible pour tous les lecteurs du blog.
Si les sujets autour de la cybersécurité vous intéressent, je vous recommande mes autres articles dédiés sur le sujet.

Si vous suivez l'actualité, vous avez très probablement entendu parlé du pirage des données de Free cette semaine par un Hacker au nom de Drusselx ?

Cette attaque a suscité de vives inquiétudes parmi les abonnées de Free. La sécurité de leurs données personnelles est désormais remise en question.

Cette attaque tombe juste après la publication du libre de Xavier Niel "Une sacrée envie de foutre le bordel". La question que l'on peut se poser: est-ce un hasard ou une revanche ? Seul le hacker pourrait en témoigner.

La Revendication du Pirate

Le hacker Drusselx affirme depuis lundi 21 octobre être en possession de 19,2 millions de données Free Mobile et Freebox ainsi que de 5,11 millions d'IBAN. Ces chiffres sont impressionnants et semble démontrer la gravité de l'intrusion.

La Communication de Free

Ce week-end, Free a informé ses clients Freebox et Free Mobile par email que certaines de leurs données personnelles avaient été compromises :

Cependant, un détail crucial semble avoir été omis dans la communication de Free : le hacker affirme également être en possession les IBAN de tous les clients Freebox.

Ces informations sont particulièrement sensibles et pourraient être utilisées pour des transactions frauduleuses ou des arnaques ciblées.

Par exemple, un cybercriminel pourrait utiliser les IBAN pour initier des prélèvements frauduleux ou usurper l'identité des victimes afin de souscrire à des services financiers non autorisés, causant ainsi des préjudices considérables aux clients.

La Preuve de l'Attaque

Pour prouver ses dires, le pirate a mis en accès libre ce week-end un fichier contenant 100 000 comptes d'abonnés Free accompagnés d'IBAN. Cette démonstration vise à prouver la véracité de son attaque et à susciter l’intérêt des acheteurs potentiels sur le Dark Web.

Cette démonstration publique n'est pas seulement un moyen de confirmer la légitimité de la menace, elle est aussi un moyen de mettre la pression sur Free pour obtenir une rançon potentielle.

Les entreprises hésitent souvent à céder au chantage, car cela pourrait encourager d'autres attaques similaires à l'avenir, tout en ne garantissant pas que les données volées ne seront pas diffusées malgré le paiement. De telles situations placent les entreprises dans une position délicate : céder au chantage ou risquer une diffusion encore plus large des données.

La Mise en Vente des Données

Les données personnelles de 100 000 clients Free sont désormais en libre circulation depuis ce samedi 26 octobre 2024. Le pirate semble mettre en vente l'ensemble des données volées sur le Dark Web au prix de 70 000 dollars.

Ce marché illicite alimente une économie souterraine basée sur la fraude et l'usurpation d'identité, mettant en danger la vie privée et les finances des clients de Free.

Les clients Free doivent rester très vigilants, surveiller leurs comptes bancaires quotidiennement et se tenir informés des actions prises par Free pour remédier à cette situation.

Si vos données font parti des 100 000 comptes en libre service, cela est très graves, vos données sont visibles de tous et peuvent être utilisés par de nombreuses personnes malveillantes. Si vous ne faites pas partie de ces 100 000 comptes, la diffusion de vos données sera probablement plus limitée et le risque plus faible.

Bref, tout cela donne froid dans le dos. J'espère que cette attaque aura qu'un très faible impact financier pour l'ensemble des clients Free, soyez très vigilant !

Votre site Web se fait régulièrement aspirer son contenu par des robots spécialisés dans la production de modèles LLM (Large Language Model) tels que OpenAI, Perplexity, Claude, etc.

Ce phénomène peut entraîner une consommation importante de ressources sur votre hébergement et vous pourriez ne pas souhaiter que votre contenu soit exploité pour produire des LLM commerciaux sans votre consentement.

D'après l'étude réalisée par Cloudflare, ce traffic illégitime est en pleine croissance sur ces derniers mois. Les deux bots les plus verbeux étant Bytespider de la firme chinoise gérant TikTok et GPTBot d'OpenAI :

Heureusement, il existe des solutions pour protéger votre site contre ces robots.

Présentation du projet ai.robots.txt

ai.robots.txt est un projet open-source disponible sur GitHub qui a comme objectif d'identifier et de lister l'ensemble des user-agents des robots associés aux sociétés qui produisent des LLM.

En utilisant cette liste, vous pouvez informer ces robots de ne pas accéder à votre site.

Méthode 1 : Bloquer l'Indexation via le Fichier robots.txt

Le fichier robots.txt permet de donner des directives aux robots d'indexation sur les pages qu'ils peuvent ou ne peuvent pas explorer.

Étapes :

1. Téléchargez le contenu du fichier robots.txt depuis le projet ai.robots.txt.
2. Ajoutez ou fusionnez ce contenu avec le fichier robots.txt de votre site Web.

Cela n'effacera pas les contenus déjà récupérés par ces robots, mais cela les informera de ne pas indexer de nouveaux contenus.

Exemple de contenu à ajouter :

User-agent: AI2Bot
User-agent: Ai2Bot-Dolma
User-agent: Amazonbot
User-agent: Applebot
User-agent: Applebot-Extended
User-agent: Bytespider
User-agent: CCBot
User-agent: ChatGPT-User
User-agent: Claude-Web
User-agent: ClaudeBot
User-agent: Diffbot
User-agent: FacebookBot
User-agent: FriendlyCrawler
User-agent: GPTBot
User-agent: Google-Extended
User-agent: GoogleOther
User-agent: GoogleOther-Image
User-agent: GoogleOther-Video
User-agent: ICC-Crawler
User-agent: ImagesiftBot
User-agent: Kangaroo Bot
User-agent: Meta-ExternalAgent
User-agent: Meta-ExternalFetcher
User-agent: OAI-SearchBot
User-agent: PerplexityBot
User-agent: PetalBot
User-agent: Scrapy
User-agent: Sidetrade indexer bot
User-agent: Timpibot
User-agent: VelenPublicWebCrawler
User-agent: Webzio-Extended
User-agent: YouBot
User-agent: anthropic-ai
User-agent: cohere-ai
User-agent: facebookexternalhit
User-agent: iaskspider/2.0
User-agent: img2dataset
User-agent: omgili
User-agent: omgilibot
Disallow: /

Note : Le fichier robots.txt est basé sur une norme volontaire, et certains robots malveillants peuvent choisir de l'ignorer. Il est donc recommandé de combiner cette méthode avec d'autres approches.

Méthode 2 : Bloquer le Trafic depuis Votre Serveur Web

Pour une solution plus efficace, vous pouvez bloquer le trafic de ces robots au niveau du serveur Web en ajoutant des règles d'exclusion dans la configuration.

Pour NGINX :

1. Ouvrez le fichier de configuration de votre site (généralement situé dans /etc/nginx/sites-available/).
2. Ajoutez le code suivant dans le bloc server :

if ($http_user_agent ~* (AI2Bot|Ai2Bot-Dolma|Amazonbot|Applebot|Applebot-Extended|Bytespider|CCBot|ChatGPT-User|Claude-Web|ClaudeBot|Diffbot|FacebookBot|FriendlyCrawler|GPTBot|Google-Extended|GoogleOther|GoogleOther-Image|GoogleOther-Video|ICC-Crawler|ImagesiftBot|Kangaroo Bot|Meta-ExternalAgent|Meta-ExternalFetcher|OAI-SearchBot|PerplexityBot|PetalBot|Scrapy|Sidetrade indexer bot|Timpibot|VelenPublicWebCrawler|Webzio-Extended|YouBot|anthropic-ai|cohere-ai|facebookexternalhit|iaskspider/2.0|img2dataset|omgili|omgilibot)) {
    return 403;
}

3. Redémarrez NGINX pour appliquer les modifications :

sudo systemctl restart nginx

Méthode 3 : Utiliser un CDN/WAF comme Cloudflare

La plateforme Cloudflare offre une fonctionnalité intéressante permettant de bloquer les robots AI qui aspirent votre site. Celle-ci s'active en un seul clique depuis l'interface Web d'administration de Cloudflare.

Étapes :

1. Connectez-vous à votre compte Cloudflare et sélectionnez votre site.
2. Allez dans la section "Sécurité" puis "Bots".
3. Activez l'option "Bloquer les robots AI".

Cette option est disponible sur toutes les offres Cloudflare, y compris l'offre gratuite.

Conclusion

Bien que ces méthodes puissent réduire l'accès des robots à votre site, il est important de comprendre qu'elles ne garantissent pas une protection totale. Certains robots peuvent masquer leur identité ou utiliser des techniques pour contourner ces blocages.