Codeberg, une forge allemande gérée par une association et basée sur l'excellent projet libre Forgejo est victime d'une campagne de harcèlement attribuée à l’extrême droite.
Cela semble très probable, car j'ai moi même reçu un message intituléNIGGER BALLS envoyé par détournement du système de notification de la plateforme par un certain truth et apparemment il ne s'agissait pas de l'annonce d'un clone libre du jeu des Bitmap Brothers :-(
L'association détaille cet incident sur son blog.
# Par delà le discours
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 8 (+11/-5).
Il me semble important de savoir distinguer le discours des actes. Surtout dans un monde où la stratégie politique dominante est celle de Philippe II (de macédoine) : un mélange de retrait stratégique et de poussées en diagonale brouillant les lignes.
Toujours est-il qu'il ne paraît pas étonnant de voir l'extrême droite s'attaquer à du libre ; même si dans le discours elle se refait une virginité. En tout cas, ce n'est pas étonnant pour qui la perçoit comme C. Doctorow le décrit si bien ici : comme un monde miroir des organisations sociales, singeant les discours, s'appuyant sur les mêmes compétences humaines, mais avançant dans une direction diamétralement opposée : celle du chacun pour soit ; la liberté, mais surtout celle d'écraser autrui.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Par delà le discours
Posté par leyouki (site web personnel, Mastodon) . Évalué à 4 (+7/-3).
Hmm la discipline académique d'analyse de discours soutient au contraire que les discours sont des actes: on parle d'acte discursif.
Alors certes dire qu'il faut brûler les roux n'est pas le même acte que celui de brûler des roux. Pourtant tenir un tel propos reste un acte haineux. Dire, c'est faire.
Là personne n'est dupe du caractère raciste/droite/fasciste de cette action. En plus du discours, il faut noter que beaucoup d'énergie a été consacrée à rendre possible la publication massive de ce discours.
[^] # Re: Par delà le discours
Posté par rhodan . Évalué à 2 (+8/-5).
« Dire c'est faire » : le monde serait monstrueusement différent si tous ceux qui incitent à la haine passaient à l'acte. Merci pour ton adage totalitaire, tu m'as bien fait rire.
Heureusement qu'en droit, il y a une différence entre un discours et un acte.
[^] # Re: Par delà le discours
Posté par Misc (site web personnel) . Évalué à 10 (+10/-0).
sauf bien sur quand c'est une grande boite (ou n'importe qui, mais le greenwashing, le pinkwashing, l'openwashing sont les exemples que j'ai en tête) qui dit "on soutient tel groupe marginalisé" ou curieusement, dire n'est plus faire, et il faut aller au delà du discursif.
C'est quand même vachement flexible comme principe…
[^] # Re: Par delà le discours
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 9 (+6/-0).
N'exagérons pas. Il y a une nuance à envisager et décrire, je ne sais pas moi, le châtiment que pourraient mériter (méritent ?) des (censurés, je tiens à ma vie) de dév. pour des applis pourries et passer à l'acte. Et en plus, dans ce cas-là, ça peut faire du bien (on passe en définitive sa colère sur un objet fictif), c'est comme parler à un canard en plastique (une pratique assez répandue dans le milieu si j'ai bien compris, perso j'ai un dragon, c'est plus chic). Et ça ne va pas plus loin.
C'est à partir du moment où ça devient public, voire, réitéré que cela ressort du pénal et pas au même niveau qu'un passage à l'acte surtout si le passage à l'acte en question est un assassinat.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Par delà le discours
Posté par leyouki (site web personnel, Mastodon) . Évalué à 2 (+3/-1).
Inciter à la haine est déjà un acte. C'est un acte illégal qui plus est. Si même la justice le reconnaît!
On est d'accord que ces entreprises sont incohérentes entre leur discours et leur action. Elles sont hypocrites non?
Cette réalité n'exclue pas pourtant que leur blabla ait un impact: ils occupent déjà le champ médiatique, imposent leurs termes et influencent les politiques publiques. Pour ce qui est du greenwashing par exemple, les gafam ont retardé des prises de décisions impactantes et actions durables concrètes avec leur concept pourri de neutralité carbone (qu'ils explosent maintenant à cause de l'iagen je crois bien). Qu'importe la véracité du propos (d'ailleurs le concept de neutralité carbone est valide à l'échelle globale et perd son sens quand il est appliqué à une entreprise), tant qu'il détourne d'actions concrètes et permet le business as usual pour quelques années comptables de plus.
Donc bien sûr parfois l'acte discursif entre en contradiction flagrante avec la réalité, ce qui ne l'empêche pas d'avoir des conséquences réelles aussi.
La langue (parler et écrire) est une technique elle aussi.
Là on est dans un cadre intime, et je suis bien d'accord que l'on nous laisse tranquille sur nos façons de décompresser :-)
Mon propos est de reconnaître ces spams comme un acte raciste antinoir. Peut-être c'est qu'un abruti qui y est parvenu en 2 heures ou un script kidy mineur, ce sont des circonstances. Il y a un contexte aussi: la montée de l'extrême-droite, dans de gros pays. Il y en a, lors d'un discours justement, qui est allé par delà celui-ci pour le conclure par un salut hitlérien. Des actes fascistes se multiplient actuellement, je refuse que l'on minimise celui dont on parle ici ensemble.
[^] # Re: Par delà le discours
Posté par Misc (site web personnel) . Évalué à 6 (+3/-0).
Primo, tu réponds au mauvais commentaire. Respecter les us et coutumes d'un espace de discussion, c'est quand même la base, et si c'est trop d'effort de faire 2 fils séparés, on peut supposer que le reste aussi serait trop d'effort.
Secundo
Mon point est surtout qu'il y a un deux poids, deux mesures dans "dire est faire". Quand ça arrange, "dire" devient tout d'un coup l'équivalent de "faire", et quand ça n'arrange pas, c'est tout le contraire, voir même de l'hypocrisie comme tu l'illustres.
Perso, j'ai un seuil de tolérance assez bas pour l'enfumage discursif, surtout quand il s'agit de slogan simpliste.
Parce que dans des petits pays, on s'en fout ?
Je trouve un peu gonfler de venir parler de racisme anti-noir tout en admettant que le contexte importe parce que ça arrive dans des gros pays. Mais l'autoritarisme en Inde, ça n'a pas commencé il y a 2/3 ans, Narendra Modi est au pouvoir depuis 10 ans. La Chine, ça n'a pas commencé hier non plus. La RDC a aussi eu son lot de dérive autoritaire sous Kabila depuis 20 ans, et il y a largement plus d'habitants qu'en France.
[^] # Re: Par delà le discours
Posté par Faya . Évalué à 3 (+1/-0).
Je n'y vois pas du 2 poids 2 mesures mais plutôt une formule toute faite. Une image. Qui ne s'applique bien sûr que dans certains contextes. C'est un peu trop évident que ça ne fonctionne pas partout et tout le temps pour que ça soit de l'enfumage, à mon avis. Ça m'évoque le Terrorisme_stochastique, ce ne sont que des paroles mais dont la finalité est de provoquer de la violence, sans en avoir l'air. (Sans avis sur le cas de Codeberg)
[^] # Re: Par delà le discours
Posté par Misc (site web personnel) . Évalué à 3 (+0/-0).
De plus, "dire ç'est faire", ça a aussi tendance à masquer de façon assez pratique que tout ça tombe dans les questions autour de la liberté d'expression.
Je ne pense pas que la dite liberté soit inattaquable (loin de la), mais qu'à partir du moment ou on opère un mouvement sémantique de la parole vers l'action, ça permet surtout de ne plus voir ça comme de la parole, et donc de ne pas se confronter aux questions compliquées qui pourrait quand même faire remonter des contradictions (sinon, ça serait pas des questions compliquées).
# Subtance
Posté par rhodan . Évalué à -1 (+13/-13).
J'ai lu leur rapport d'incident en entier : aucune preuve, aucun extrait, pas de site visé mentionné, juste une libre interprétation. À ce niveau de flou, et à partir de ce qu'ils mentionnent, on pourrait aussi bien conclure qu'il s'agit d'une tentative d'augmentation des tensions entre forces du pays par la Russie ou la Chine…
[^] # Re: Substance
Posté par rhodan . Évalué à 2 (+3/-0).
Substance, of course. Trop de doigts.
[^] # Re: Subtance
Posté par oliverpool (site web personnel) . Évalué à 8 (+10/-2).
Citer des extraits aurait donné de la visibilité aux attaques. Ce qui aurait donc fait le jeu des attaquants.
On parle d'une simple association (équivalent loi 1901): verser dans l'international me parait être une interprétation beaucoup plus osée…
Il faut savoir que les allemands sont appelés à voter à la fin du mois, donc beaucoup d'actions actuelles ont des visées politiques (quelque soit le bord concerné).
Cf Rasoir d'Ockham
[^] # Re: Subtance
Posté par leyouki (site web personnel, Mastodon) . Évalué à 4 (+6/-2). Dernière modification le 13 février 2025 à 11:48.
Merci pour les infos contextuelles oliverpool, et le rappel de la viralité de tels propos haineux :-)
Je ne comprend pas le commentaire quant au manque de substance. Les preuves et les extraits, l'imputation ("C'est qui le coupable??"), tout ça est le travail d'un tribunal, de juges etc… en tant qu'informaticien ou citoyen, as-tu besoin de preuve?
Dans ce contexte, ne pas reconnaître le caractère haineux de cet acte, c'est de l'aveuglement. On atteint les limites du scepticisme ici.
Peut-être c'est autre chose que recherche rhodan ici. Plutôt que la vérité, c'est le spectacle qui l'intéresse. Montrer des victimes et des coupables, dont peut se paître l'esprit confortablement installé devant un écran.
[^] # Re: Subtance
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3 (+1/-0).
Mon aveuglement : ce genre de truc m'évoque furieusement les étoiles de David peintes en bleu à Paris par les services de Vladimir Poutine. Quelles que soient les extrêmes atteints par les textes diffusés, les intentions des auteurs pourraient être… autres. Non ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Subtance
Posté par leyouki (site web personnel, Mastodon) . Évalué à 1 (+1/-0).
Je connaissais pas cette histoire. C'est de l'instrumentalisation bien dégueu d'un symbole religieux, cette opération de services russes.
Ton aveuglement c'est que cet acte serait commandité et que le caractère haineux n'est pas la première intention? C'est possible :-)
En vrai les racistes historiquement n'ont pas eu trop besoin qu'on détourne leurs symboles pour faire des dégâts.
[^] # Re: Subtance
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+12/-4).
Les harceleurs pourraient avoir l'obligeance de donner leurs noms et leurs coordonnées avant de commettre des actes illégaux.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Subtance
Posté par Misc (site web personnel) . Évalué à 10 (+9/-2).
A la base, il y a un constat de spam.
Quelqu'un a trouvé le moyen de spammer via les notifications, et c'est pas étonnant vu que le logiciel n'est pas prévu historiquement pour une forge public.
Codeberg utilise Forgejo, un fork de rageux de Gitea, Gitea étant lui même un fork de Gogs, et Gogs étant prévu pour être une petite forge personnelle ou pour un groupe fermé. Gogs n'avait pas de captcha, ça a été rajouté en 2022 sur Gitea sans doute à la demande de Codeberg. Les outils de modérations sont inexistants (filtrer les nouveaux comptes est relou, de ce que je sais) comme le souligne l'article du blog (vu qu'il y a une réunion pour demander des thunes pour ajouter ça), il n'y a pas moyen de faire un plugin car c'est du Go et changer des choses impliquent un fork du logiciel. Pire encore, vu que le faux nez d'un des devs de Forgejo a fait le forcing pour passer Forgejo sous GPL v3 pour faire chier les devs de Gitea, tout système de protection contre le spam de codeberg risque sans doute de devoir être publié.
Et avant qu'on me dise "tu confonds avec l'AGPL v3", je rappelle que pour pousser un commit, git fait un connec ssh qui lance un binaire en cli de l'autre coté forcé via le .ssh/authorized_keys, et que ce binaire est /usr/local/bin/gitea (pour gitea). Donc si quelqu'un réclame, la FSF, en tant que steward de la licence devrait donner son avis. Et entre affaiblir la GPL v3 en rajoutant une exception pour garder du proprio, ou forcer à publier du code, je pense qu'on sait tous ce qu'elle va faire.
Et donc quand on garde les origines en tête, c'est pas étonnant que le service fourni par Codeberg soit vulnérable à ce genre de probléme, vu que personne n'a pensé ça dans le design à la base.
Ça relativise aussi pas mal la position du blog disant: "we believe it is important to protect all kinds of marginalized groups". C'est important, mais le taf ne commence qu'une fois qu'il y a eu un impact (cad dans le futur), 6 ans après le lancement du service ?
Grosse vibe de "your privacy is our priority" qu'on voit souvent dans les mails pour annoncer une fuite de données.
Il y a donc des gens (ou peut être juste une personne) qui envoient des messages de notifications, avec des relents de la GNAA. Je pense qu'il n'y pas besoin d'être très organisé ou très technique pour ça, vu qu'il y a une API pour scripter ce genre de choses. D'ailleurs, je suis sur qu'il y a pas de limitations aux appels d'API, encore une fois parce que le logiciel sous-jacent n'a pas été pensé pour éviter les usages hostiles d'une forge ouverte.
Et à partir de "1 à 3 trolls", on arrive à "l’extrême droite" en passant par "des forces d’extrême droite" comme dit dans le blog. Je suppose que c'est plus à la mode de ne pas déformer les sources d'origines, parce que la, c'est aussi ridicule que dire que l'industrie pharmaceutique cible les serveurs SMTP parce qu'il y a du spam par des vendeurs de viagra.
[^] # Re: Subtance
Posté par barmic 🦦 . Évalué à 5 (+4/-1).
C'est une mauvaise pratique de faire reposer ça sur le service terminal. La bonne pratique c'est de le faire au niveau d'un reverse proxy. Ça n'a presque que des avantages
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Subtance
Posté par Misc (site web personnel) . Évalué à 7 (+4/-0).
De faire reposer tout sur le logiciel, oui ça serait naze.
Mais d'une part, il n'y avait sans doute pas plus de limites sur le reverse proxy (donc le propos reste valable). Et d'autre part, ça n'est pas un ou exclusif, tu peux faire ça au niveau tcp et http(s) et du logiciel.
Et dans le cas de Gitea, Gogs et Forgejo, la philosophie de est d'avoir un tout en un.
Par exemple, Gitea supporte de faire directement la négo avec Let's encrypt. Woodpecker et Gotosocial le propose également. Alors c'est peut être parce qu'ils sont tous en Golang, et qu'il y a une lib qui permet de faire ça facilement, mais ils sont tous aussi dans le segment des logiciels simples pour faire du self hosting, facile à déployer (tu prends le binaire, tu lances), etc.
Perso, ça m'horripile un peu, mais je comprends bien que ça facilite la vie de pas mal de gens. Ajouter un reverse proxy, ça complique tout de suite pour les gens qui n'ont pas notre niveau d'expérience.
Et cette philosophie se retrouve ailleurs dans ces logiciels. Gitea gère ses taches périodiques sans passer par cron, dans son propre process. Pour des applis django ou rails, tu te retrouves souvent à mettre celery ou sidekick à coté.
Et même si faire ça sur le reverse proxy a du sens pour éviter les DoS, je pense que d'un point de vue plus général, la limitation dans le logiciel complémente le filtrage du proxy en ayant une vision à un niveau différent. Par exemple, tu peux imaginer que l'envoi de notification soit plus important à limiter qu'un appel qui va scraper les user id d'un repo (ou la gène est bien plus minime). Le premier va vite être louche alors que le second est sans doute bénin.
Avoir ça dans le logiciel permet aussi d'assigner des exceptions de façon fine pour des besoins spécifiques. Pour reprendre l'exemple de savoir qui a accés à quoi, une équipe de sécurité pourrait vouloir chercher l'info via l'API et donc avoir un besoin légitime. Avoir ça dans le logiciel, ça permet d'avoir un rapport et la config dans l'interface d'admin, ou de bloquer directement le compte qui abuse au lieu de devoir faire du matching depuis des logs qui n'ont pas l'info de qui est en cause. Tu peux avoir les notifications du logiciel out of the box.
Bien sur, avec un bon reverse proxy ou un SIEM, tu peux avoir tout ça (et dans certains cas, c'est sans doute la bonne solution). Mais c'est pas le même prix et/ou la même complexité.
[^] # Re: Subtance
Posté par barmic 🦦 . Évalué à 2 (+0/-0).
Quelque soit la simplicité de ces logiciels ils ne t’empêchent pas d’avoir un reverse proxy pour la sécurité, le balancing, etc.
On parle de simplicité et je comprends très bien que le serveur perso sur ton pi tu veuille faire simple, mais s’il s’agit de fournir un service de manière publique avoir un reverse proxy avec quelques bonnes pratiques c’est un minimum. Pardon (je ne sais pas ce qu’il en était réellement de leurs infrastructures), mais si ça parait trop complexe il est probablement urgent de ce demander si c’est vraiment une bonne idée de ce lancer dans ce genre de projet. Et si c’est réellement comme ça que c’était géré, je suis plus impressionné que ça ai tenu un certain temps que ce ne soit tombé.
Ensuite oui niveau L3, L4 et applicatif tu n’a pas la même souplesse parce que tu n’a pas le même niveau d’information mais les couches peuvent communiquer (tu peut blacklister une IP à partir d’un comportement observé plus haut) et de la documentation peut aussi aider (par exemple en connaissant les préfixes de routes intéressantes).
Mais je ne vois pas bien le rapport, l’utilisation d’un reverse proxy est à la porté de n’importe qui. Bien avant de se questionner sur la question d’avoir une équipe de sécurité ou d’avoir une sécurité à grain fin. Si vraiment ça parait pas être dans les compétences internes, il est possible de louer les services d’un reverse proxy pour toi. Le plus connu c’est cloudflare dois il doit avoir des concurrents (je vois Myra en Allemagne https://european-alternatives.eu/alternative-to/cloudflare).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Subtance
Posté par devnewton 🍺 (site web personnel) . Évalué à 8 (+5/-0).
Relis bien la description de m'attaque : ici un reverse proxy dans ce cas n'aurait servi à rien.
Avoir une porte blindée c'est utile, mais là la fenêtre était ouverte…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Subtance
Posté par barmic 🦦 . Évalué à 1 (+0/-1).
Je parle moins de ce qui s’est passé pour codeberg que du fait qu’utiliser ce type de forge peut tout de même être sécurisé par le déploiement.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# c'est à cause de la fin du nom du site ?
Posté par jseb . Évalué à 10 (+9/-0).
C'est ce que je me suis demandé au départ (le bon goût vous salue bien bas).
Ensuite j'ai lu l'incident, et réalisé que cela concerne des projets hébergés par Codeberg, et non pas la plate-forme elle-même.
Ce type de problème doit arriver à n'importe quelle plate-forme d'hébergement. Premier exemple qui me vient en tête : Godot, habitué aux polémiques par un certain affichage idéologique qui déchaine régulièrement les passions. Ils se font héberger sur Github, qui a une bonne capacité de filtrage, contrairement à Codeberg. Ainsi, on ne voit rien sur Github, mais les polémiques débordent sur le discord. Si github avait moins de capacité de filtrage des polémiques, ils auraient les mêmes problèmes.
+1 au journal pour l'allusion à Speedball.
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: c'est à cause de la fin du nom du site ?
Posté par Misc (site web personnel) . Évalué à 7 (+4/-0).
Berg, ça veut dire montagne en allemand d’où le logo (et comme c'est des allemands, je pense que ça pioche aussi dans un certain imaginaire qu'on retrouve outre rhin dans les films de montagne, etc, etc).
Ensuite, si tu veux dire que Berg est un nom de famille ashkénaze typique, ça aurait pu mais très franchement, je pense pas que ça soit le cas.
# Ça sent le falseflag, non ?
Posté par Tanouky . Évalué à -9 (+2/-12).
C'est très flou tout ça.
Ce n'est pas aussi grave que l'attentat de Munich de ce matin, mais si ce n'est pas un false flag, l'Allemagne est perdue.
[^] # Re: Ça sent le falseflag, non ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+13/-3).
Perdu, n'exagérons rien : tant qu'on sait où est l'Alsace c'est facile de retrouver l'Allemagne !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.