Zatalyz a écrit 527 commentaires

  • [^] # Re: Où placer la subversion ?

    Posté par  (site web personnel) . En réponse au journal Libre est Queer. Évalué à 10 (+9/-0).

    En fait, des systèmes résultant d’apprentissage stochastique libres et qui ne crament pas la planète ça existe déjà (en tant que chercheureuse par exemple on peut s’amuser à entraîner un modèle de A à Z) ; évidemment c’est moins “puissant” qu’un truc du type ChatGPT mais la bonne question qu’il faut, je pense, se poser, c’est « puissant pour quoi faire ?".

    A-t-on vraiment besoin de tels outils ? Pour quel usage ?

    Ce sont les bonnes questions. Et ce qui m’ennuie, c’est que oui, il y a des usages où je vois l’intérêt. Le plus facile étant les traducteurs automatiques. L’apprentissage des langues demande un certain nombre de privilèges, la démocratisation de ces outils a permis d’accéder à des connaissances et des échanges qui étaient inenvisageables avant.

    À titre personnel cela m’aura permis de me former sur des ressources qui n’existaient pas dans ma langue, de discuter avec des gens qui me seraient restés incompréhensibles sinon (et encore, il restait la distance culturelle à franchir) et mine de rien, à apprendre aussi d’autres langues. Faire tomber la montagne que cela représentait d’essayer de “comprendre” a rendu l’apprentissage possible. Certes, je ne paie pas de traductrices depuis que j’utilise Deepl. Mais de toute façon je n’ai jamais eu les moyens de le faire.

    Et dans mes divers tests avec les LLM, il y a plein d’usages que je trouve douteux, où ils sont inutiles voire contre-productifs, mais il y a aussi plein de situations où cela m’a débloqué, là où aucun humain n’allait daigner m’aider. Par exemple, quitte à me fâcher avec les techbros (on est là pour ça non ? :P ) : les LLM sont d’une patience infinie pour rendre le fucking manuel plus digeste, là où les vraies puristes croient que lire le man suffit. Certes, si nous étions dans une société bienveillante où les débutantes seraient accompagnées avec patience, sans jugement et sans sous-entendu sexistes, c’est sûr que je n’aurais pas autant apprécié la reformulation offerte par les LLM et que j’aurais pu m’en passer.

    J’aurais des tas de sujets sur lesquels j’ai trouvé que oui, certains outils répondaient à des besoins, exprimés depuis longtemps mais où je n’avais pas les “privilèges” pour y répondre… jusqu’à avoir accès à ces trucs. J’ai parfois eu la tentation de faire quelques journaux sur mes expériences “LLM” mais vu comme le débat est polarisé, je n’ai pas eu la foi de me confronter aux retours violents de certains… pourtant pouvoir échanger sur les qualités et limites des divers outils pourrait vraiment être cool, histoire de mieux comprendre les enjeux. Parce que chaque fois que je trouve un usage “utile”, il vient forcément des questions sur ce que ça implique derrière. Déjà j’ose participer un peu dans la conversation ici, mais je stresse en postant mes commentaires. Alors, faire des journaux… je resterais sur des sujets plus consensuels.

    Outre le côté éthique/écologique, peut-on encore qualifier de “Libre” un outil qui nécessiterait de posséder un data center (et les capacités énergétiques, les ressources en eau…) associées pour le créer / le faire tourner ? Peut-être dans un système où les data centers seraient un commun, mais dans notre système ?

    L’entraînement des gros modèles demande des ressources qui me semblent difficiles à trouver dans les communs, mais tu dis que c’est possible, je te crois : je ne suis pas compétente, et je trouve la nouvelle rassurante !

    Faire tourner les outils qui en découlent est possible “facilement” dans une optique mutualisée, sauf qu’on ne peut pas évacuer si facilement le côté éthique/écologique, et puis si le modèle n’est pas entraîné sur des données libres, de toute façon on ne peut pas prétendre que le produit final l’est. Je me suis tâtée à héberger un LLM “maison” pour ma bande d’amis, histoire qu’au moins les infos persos n’aillent pas nourrir les grosses entreprises. Je n’ai toujours pas tranché si c’est pertinent ou non ; je n’ai pas non plus la machine qui le permet bien qu’elle n’est pas « hors de portée ». Sauf qu’il y a ici pour moi aussi le questionnement écologique qui freine à mort : je suis plutôt à réemployer des vieux coucous qu’à acheter (et donc cautionner la création) de matériel neuf.

    Je fais un petit détour sur la question du travail. Primo, le fait qu’une population a été exploitée pour construire les modèles de données. Oui, ça on ne va pas le nier. Mais l’esclavage moderne des populations les plus paupérisées fait partie du fonctionnement du capitalisme, et ce sont des groupes similaires qui vont faire nos habits (l’industrie textile est ignoble), trouver les matières premières qui font tout notre confort moderne (personne ne peut rêver de bosser dans une mine d’un pays pauvre, à moins d’avoir comme alternative de crever de faim), et autres jobs foireux. Je ne dis pas que cela est justifiable. Juste que c’est tout aussi peu éthique que la majorité des choses qu’on utilise au quotidien. Pourquoi cet argument devrais avoir plus de poids dans l’usage des IA que dans l’habillement ? Parce que je doute très fortement que les critiques de l’IA utilisent uniquement les vêtements transmis par leurs aïeuls ou ceux qu’ils ont eux-même tissés. Je précise bien qu’il ne s’agit pas de nier la pénibilité du travail accompli, juste que si on veut utiliser cet argument pour « ne pas utiliser l’IA », il faut être cohérent et ne pas utiliser de nombreuses autres choses, ce qui mène forcément à s’exclure de la société dans le monde occidental. Ou être conscient qu’on reste un esclavagiste, même si on n’aime pas ça et qu’on dit que c’est mal.

    Secundo sur « automatiser des jobs auparavant épargnés, pour précariser encore un peu plus les travailleureuses ». Le problème, ce ne serait pas surtout d’avoir besoin d’un job aliénant pour survivre ? Peu importe qu’il soit sympa ou pas. Sans questions à se poser sur la survie, je pourrais faire de l’art, ou coder, ou tout autre travail utile ou non (si possible : pas nuisible !), et même avec ou sans IA : tout cela dépendrait uniquement de mes envies.

    Pour préciser un peu d’où je parle : je viens plutôt de là où les jobs sont remplacés depuis longtemps, régulièrement, par des machines. Et ça m’agace très fortement d’entendre les bourgeois s’autocongratuler de supprimer les métiers “pénibles” mais qui permettaient de survivre, et commencer à pousser des hauts cris quand c’est à leur accès aux ressources qu’on touche. Oui, faire caissière en supermarché ou sur une autoroute, c’était un métier de merde : mais on pouvait le faire même sans avoir eu la chance d’accéder aux grandes études. Maintenant, supprimons toutes les situations de cumul des ressources, permettons à chacun de vivre dignement, et voyons si ça reste un souci que les IA « volent le travail ». Je dirais même : les IA vont permettre que des personnes sans accès aux formations puissent retrouver du job, en tant que baby-sitter, puisque hop, plus besoin de compétences. Non, ok, je trolle là, je sais que ça va juste continuer à enrichir une minorité toujours plus réduite, et augmenter toujours plus la quantité de population qui galère à juste survivre. Mais que la classe moyenne et CSP+ perde ses jobs, honnêtement je ne vois pas le problème : si ça les motivait à repartir couper des têtes, ce serait même bénéfique. Oui, oui, je sais, ça ne suffira pas, cette colère sera juste détournée pour taper encore plus sur les pauvres et les étrangers, mais ma propre colère ne m’aide pas à faire preuve de compassion sur ce point précis.

    Par conséquent, pour moi, le “hack”, ce serait déjà de ne pas se faire avoir quant à ce que sont réellement ces outils. Ce serait de documenter leurs failles. Étudier leurs biais. Faire un travail d’éducation critique auprès du grand public comme on a pu le faire concernant les outils des GAFAM : c’est en fait leur nouvel avatar.

    Là, 1000 fois oui. Avec la précaution que « documenter les failles » demande d’être conscient de ses propres failles, ses propres biais. Y'a qu’à : D (et à ma modeste échelle, j’essaie d’aller dans cette voie).

    Et qu’il ne s’agisse pas d’être uniquement dans une posture jugeante. De même qu’harceler les gens pour leur faire installer Linux et quitter Google est contre-productif : on sait qu’il faut avant tout écouter leurs besoins, voir où le Libre peut y répondre “mieux” (ou moins pire) que les GAFAM, accompagner en douceur vers l’émancipation. De même, au-delà de documenter tout ce qui ne va pas avec l’IA, il faut aussi écouter ce que le grand public va y chercher, pourquoi, et proposer des alternatives qui soient “souhaitables”. Il y a des trucs qui demandent des sacrés changements dans la société, il ne suffira pas de refuser l’IA.

    Un exemple sur un truc dont le traitement m’insupporte : les divers articles sur les dangers de l’IA sur « la santé mentale ». Qui se terminent invariablement par des poncifs du type « allez voir des professionnels, ne faites pas confiance aux IA ». Quels professionnels ? Je ne sais pas s’il y a des pays où ce n’est pas la misère, mais en France en tout cas, c’est sûr que pour trouver 1) un professionnel 2) compétent (on exclue… vraiment beaucoup de monde en fait, y compris parmi ceux qui ont un diplome, tant ce qui est enseigné en France est obsolète) 3) accessible sans revenus conséquents : il y a plus de chance de trouver un trèfle à 4 feuilles. Alors qu’est-ce qu’on fait quand on a des soucis psy ? On fait ce qu’on peut, voilà, c’est tout. Et on teste tout et n’importe quoi, avec dans le lot plein de trucs qui sont de mauvaises idées, et un certain nombre qui peuvent nous faire disjoncter méchamment (les solutions foireuses potentiellement explosives incluant les psychologues diplômés qui continuent à déblatérer sur Freud et à induire des souvenirs). À tout prendre, l’alcool est plus problématique que les IA dans la plupart des troubles mentaux. Le souci est essentiellement politique, mais le traitement reste sensationnaliste.

    J’arrête ma tartine ici :D

  • # Où placer la subversion ?

    Posté par  (site web personnel) . En réponse au journal Libre est Queer. Évalué à 8 (+6/-0).

    J'ai beaucoup aimé ta conférence sur l'IA aux JDLL. Merci de l'avoir retranscrite au passage, ce qui m'a permis d'y accéder.

    J'avais un questionnement à sa lecture, qui se réactive ici : je comprends bien la détestation de l'IA en tant que projet politique, mais j'ai l'impression que tu ne l'applique pas forcément à tous les outils placés sous le nom "d'IA". S'il y a des modèles réellement libres qui émergent, c'est à dire avec des données acquises en respectant les licences, est-ce que tu considèrerais ça comme acceptable ? Encore que, il faudrait sans doute que cela se place aussi dans un projet politique suffisamment "à côté" aussi : s'il faut bétonner et faire des centrales nucléaires en plus pour un LLM libre, je ne sais pas trop s'il serait fondamentalement différent des autres.

    De même que le copyleft est effectivement basé sur le copyright pour le détourner de son objectif initial, est-ce que tu envisages que les outils et algorithmes associés à "l'IA" puissent être détournés pour un usage profitable ?

    À titre personnel je me questionne beaucoup. J'explore et expérimente (comme j'ai pu le faire avec d'autres produits capitalistes et d'autres copies de produits), pour essayer de comprendre les possibilités et limites. Il y a des aspects où c'est juste effrayant, comme les GAFAMS peuvent l'être. Une couche au dessus même, parce que le potentiel de destruction est exponentiel. Il y a aussi des usages possibles des outils (LLM et autres) qui peuvent être plutôt positifs, et d'autres enfin où s'en interdire l'usage risque de donner un avantage à un certain type de monde, et pas le meilleur à mon goût. Je n'ai vraiment pas de réponse à tout ça, il me faudra une dizaine d'année encore au moins pour me faire un avis tranché, mais ta lecture de tout cela m'intéresse et m'aide à comprendre certains mécanismes.

  • [^] # Re: Étonnant outil techno-solutionniste

    Posté par  (site web personnel) . En réponse au lien Motivator 3000, l’IA au service de la recherche de stage. Évalué à 3 (+1/-0).

    En effet, c'est aussi un problème, les deux ne sont pas exclusifs.

    C'est vrai, ça se cumule :D

  • [^] # Re: Étonnant outil techno-solutionniste

    Posté par  (site web personnel) . En réponse au lien Motivator 3000, l’IA au service de la recherche de stage. Évalué à 4 (+2/-0).

    Je partage l'avis qu'on est en face de techno-solutionnisme. Par contre je ne suis pas certaine de mettre le problème au même niveau. Le problème ne serait pas plutôt de contraindre des gamins à un exercice absolument inutile, justement parce qu'ils n'ont aucune expérience "professionnelle" ? Et en général aucune motivation pour des stages qui dépendent en réalité uniquement de l'entregent de leurs parents. Le "problème" me semble plus concerner le système, que les individus qui le subisse.

    Je doute vraiment que des entreprises prennent des jeunes en stage sur leur CV. Peut-être, à la limite, sur la lettre de motivation, si par miracle le réseau entre en résonnance avec les vraies motivations du jeune (certains arrivent encore à rêver un peu dans ce monde, et parfois leurs rêves ont une petite chance d'accéder à une existence… même si ça doit être une minorité). J'ai toujours trouvé assez stupide de demander CV+lettre de motiv pour des jobs sans qualification ni expérience requises : à part faire suer les candidats et faire bailler les RH… au final ce qui va compter c'est la rencontre et la recommandation par des tiers.

    Mais d'accord, l'exercice est obligatoire, faut que ces pauvres gamins y répondent, et oui, pour ça les LLM sont efficaces… Ils savent très bien combler les trous avec du bullshit. L'ensemble consiste quand même à brasser du vent et à faire perdre du temps à tout le monde, non ?

    Ceci dit, si le logiciel était présenté comme ça, ce ne serait sans doute pas du tout vendeur ;)

  • # Toujours autant de merci...

    Posté par  (site web personnel) . En réponse à la dépêche Nouvelles sur l’IA de juin 2025. Évalué à 9 (+7/-0).

    Pour cette veille qui permet à la fois un peu de synthèse et de mieux comprendre des concepts compliqués (quoi que ce mois-ci, c'est plus tranquille !). Je me contente généralement de juste cliquer sur "pertinent" mais ça ne rends pas hommage au boulot. Donc : mille merci !

    J'aurais bien creusé "l'analyse de l’usage par des acteurs identifiés comme malveillants", mais c'est en anglais ET en pdf. Mon niveau d'anglais étant laborieux, en général je m'en sors en copiant les morceaux trop touffus dans un traducteur automatique mais là, c'est pas facile. Un peu frustrant !

    Le papier sur l'automatisation des tâches est vraiment super intéressant aussi (et là y'a la version html, j'ai pu traduire un peu). À la fois déjà un peu trop difficile à lire pour moi et en même temps trop court… Voir où l'IA est attendue, et où les humains n'en veulent pas…

  • [^] # Re: Bailleur ou pas

    Posté par  (site web personnel) . En réponse au message Y'a t-il un propriétaire ou bailleur? SORTEZ MOI D'ICI JE VOUS EN SUPPLIE. Évalué à 8 (+6/-0).

    Arretons les clichés, l'AAH etant une rentre à vie,

    Ça c'est un cliché. L'AAH est à faire renouveller régulièrement dans la plupart des cas (tout les 1 à 10 ans suivant le bon vouloir des MDPH) ; même si sur le papier il est possible de l'avoir à vie, dans les faits c'est quand même bien rare que cet octroi soit donné. En fait, jusqu'ici je ne connais personne qui l'a "à vie", même parmi les potes en fauteuil (et bon sang ils ne vont pas en sortir comme ça, mais les MDPH semblent croire que Jesus se balade dans la rue pour soigner les gens). Les MDPH ont leurs politiques, leurs quotas, donc peu importe que tu aie déjà eu l'AAH, que ton état de santé ne se soit pas amélioré, tu n'es jamais à l'abri de te la faire sucrer "parce que". D'où l'importance de faire partie d'asso de défense des droits des personnes handicapées : régulièrement c'est auprès de l'organisme même qui est sensé nous porter secours qu'il faut faire des recours…

    L'AAH c'est un CDD renouvelable indéfiniment, dont le renouvellement dépend de l'humeur du patron.

  • # Où se situe la priorité ?

    Posté par  (site web personnel) . En réponse au message Y'a t-il un propriétaire ou bailleur? SORTEZ MOI D'ICI JE VOUS EN SUPPLIE. Évalué à 10 (+9/-0).

    Je lis deux choses, qui peuvent ne pas forcément être "ensemble". D'un côté le besoin viscéral de te barrer, et de trouver un logement pas trop cher, histoire de reprendre ton souffle.

    Et puis la mention des villes moyennes proches de grandes villes, sans doute pour pouvoir retrouver du taf, faire des formations, avoir accès aux gares.

    Trouver un logement sympa et pas trop cher dans ce genre de ville, c'est possible mais ça peut prendre du temps et être compliqué. D'un autre côté, si tu vas te perdre dans la cambrousse, les logements sympas et pas chers sont bien plus faciles à trouver (mais tu n'as plus accès aux gares par contre).

    De mon côté j'ai fait le choix de quitter les villes, de toute façon le boulot c'était mort (j'ai l'AAH aussi et je ne suis pas du tout en état de bosser). Ça m'a fait du bien côté santé ; même si j'ai un peu perdu espoir que ça aille "assez bien" un jour pour retrouver un job payé, au moins ma qualité de vie est plutôt bonne.

    Quand je suis venue dans mon coin de campagne, j'ai fait une demande à l'office HLM local, j'ai été accepté de suite. Les HLM en question ne sont pas plein (environ 1/4 des apparts vides en moyenne), donc ils acceptent tout le monde, tout le temps, c'est un autre confort d'être loin de tout.

    Je ne dis pas que c'est la solution absolue, il y a des inconvénients à être dans les déserts, et suivant tes problèmes de santé c'est gérable ou pas. Et aussi : suivant les départements les MDPH sont plus ou moins pénibles (et dans mon département elle est bien pénible, le renouvellement de l'AAH est compliqué).

    Pour avoir une idée des coins pas cher, le site https://explore.data.gouv.fr/fr/immobilier donne une bonne idée du prix de l'immobilier. Ce sont les prix de vente mais ça se ressent aussi en location. Sans grande surprise si tu superpose avec https://carto.tchoo.net/ les coins pas cher sont ceux loin des gares actives (et plus c'est loin moins c'est cher).

    Peut-être l'idée est donc de te barrer dans un premier temps dans un coin calme. Et quand tu auras récupéré, trouver le logement idéal.

    Après, si tu as un peu de sous encore, peut-être aussi que prendre 2 semaines de "vacances" dans un gite dont le principal critère est le calme est une idée : histoire de pouvoir souffler un peu et retrouver de l'énergie pour trouver où déménager. Mais faut avoir les sous, c'est une solution de riche.

    Si besoin de discuter plus concrètement de certaines choses, y'a de quoi me contacter sur mon profil, je ne vais pas trop entrer dans les détails en public sur la gestion de la santé et détails du quotidien.

    Bon courage.

  • [^] # Re: Retour d'expérience

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 3 (+2/-1).

    Bannir des plages entières d'IP c'est le plus sûr moyen empêcher des utilisateurs légitimes d'accèder aux services.

    Ça dépend un peu de comment et sur quoi tu bannis, non ?

    Bannir sur la localisation des ip (genre : bannir tous les USA), c'est sûr que c'est pas forcément idéal. Encore que, si tu as un petit site franco-français (petit trafic, sur un sujet limité), il est peu probable qu'un utilisateur légitime d'un pays lointain passe là par hasard. Mais là dessus, je suis d'accord : je n'aime pas bannir aussi largement, parce qu'on ne sais jamais, parce que les ip sont réattribuées, parce qu'on peut utiliser un vpn pour naviguer, parce que bannir un pays ça reste du racisme primaire, etc.

    Par contre quand tu as un rang d'ip qui a de nombreuses occurrences qui t'ont posé souci, je ne vois pas trop le souci à bannir ce qui ressemble très fortement à un acteur dont soit le réseau est infecté, soit est volontairement malveillant. L'idée n'étant pas non plus de bannir éternellement (les ip seront sans doute réattribuées à un moment), ni de bannir trop largement. Mais je suis curieuse : dans ce genre de cas précis, tu vois des usages légitimes qui pourraient être touchés par effet de bord, et qui sont statistiquement suffisament signifiants pour être pris en compte ?

  • [^] # Re: Retour d'expérience

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6 (+4/-0).

    J'ai prévu d'ajouter bientôt (disons d'ici septembre, j'espère) un mécanisme qui permette de détecter des trucs louches sur des ranges d'IP.

    Ho, ça fait envie, ça. Je suis curieuse de voir comment tu vas aborder le truc. Je me creuse la tête depuis un moment, j'ai quelques idées mais c'est tellement flou que je n'ai encore rien fait. Déjà rien que de détecter proprement les comportements problématiques liés à un range est pas forcément simple… et ensuite éviter d'avoir des faux positifs et de bannir trop largement des utilisateurs légitimes.

    Ça fait vraiment plaisir de voir comme Reaction évolue. Encore merci pour ton super logiciel, qui devient de plus en plus génial. Ouais, je suis fan, j'assume :P

  • [^] # Re: Retour d'expérience

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 4 (+2/-0).

    Une autre version plus bourrine serait d'ajouter un lien similaire mais invisible dans le pied de page des sites web, avec un titre du style "Ne cliquez pas sur ce lien, ou l'accès au site vous sera coupé" pour les personnes utilisant un lecteur d'écran.
    Les scrapers légitimes comme ceux des indexeurs de moteur de recherche devraient l'éviter, tant que le lien est interdit dans le robots.txt.

    Cette proposition est assez fun, facile à mettre en place et sans doute bien efficace sur tous les bots malpolis. Cela peut aussi rediriger vers du Iocaïne, suivant comment on veut s'amuser. J'adore !

  • [^] # Re: Fail2ban ne remplace pas une bonne sécurité

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 5 (+3/-0).

    En Outre une configuration excluant la connexion par mot de passe par défaut peut éviter une étourderie de l'administrateur système qui a créé un compte test, mot de passe test pour tester (situation similaire déjà vue en vrai)

    Je plussoie particulièrement ce passage : il y a toujours un risque qu'un compte aie été mal sécurisé. L'option "AllowUsers" ou "AllowGroups" dans la config ssh est vraiment utile pour compléter, afin que seules les administrateurs soient réellement autorisés à utiliser ssh.

  • # Retour d'expérience

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6 (+4/-0).

    Déjà, merci pour le partage.

    Quelle est votre expérience avec Fail2ban?

    J'ai toujours galéré avec Fail2ban… pas la configuration de base, qui se met en place assez facilement et est efficace, mais l'ajout de regex m'a souvent donné des résultats foireux. Je ne suis pas très bonne en regex, et Failban imbrique des trucs dans certains filtres par défaut si bien que je m'y perds complètement. Malgré tout, ça filtre quand même tout une base et c'est utile.

    J'ai découvert Reaction en alternative, ou plutôt dans mon cas précis, en complément… Avec Reaction, ajouter des motifs pour bannir m'a été carrément plus simple, par contre le logiciel étant jeune, il ne couvre pas autant de cas que Fail2ban dans ses exemples. Ce qui demande de "traduire" les règles fail2ban qui me sont utiles dans la syntaxe de Reaction. C'est faisable, c'est sur ma todolist, mais ce n'est pas encore fait pour tout. Avoir Reaction et Fail2ban en même temps, c'est redondant, hein. Mais je bénéficie d'un côté de l'énorme base de filtre de Fail2ban, et quand je détecte un comportement foireux, j'ajoute mes règles sur Reaction plus facilement. À terme je compte utiliser uniquement Reaction, qui est merveilleusement versatile :)

    Dans mon cas c'est surtout avec Postfix que c'est devenu vital. Il y a des domaines/des types de demandes en particulier qui sont liés à des pratiques foireuses, dès que ça arrive dans les logs, je bannis. Je ne fais pas dans la dentelle, mais jusque là ça ne semble avoir touché aucun utilisateur légitime.

    Un bon logiciel en complément est Logwatch. Cela peut aider à voir quand de nouvelles attaques apparaissent, qui ne sont pas assez filtrées. Logwatch ne fait rien en lui même, c'est juste un outil d'analyse des logs, mais il prémâche bien le travail.

    Là où je cherche encore le bon outil, c'est quand il y a plusieurs ip qui se succèdent, toutes avec un comportement problématique. Elles ne déclenchent pas les bans aussi vite, et ne sont pas forcément sur un comportement à bannir à la première occurrence. Quand on commence à analyser, elles sont généralement sur une même plage d'ipv4, venant sans doute de fermes de serveurs ; d'ailleurs quand je piste un peu, je tombe souvent sur des datacenters dans un coin du monde ou l'autre. Je n'ai pas trop de scrupule à bannir des plages d'ip mais je n'ai pas encore trouvé un outil qui permette d'analyser les ip bannies et d'en déduire la plage à bannir au besoin. Il y a quelques outils qui partagent des listes d'ip à bannir, mais je n'ai pas envie de faire confiance à autrui sur qui/quoi bannir, je préfère gérer ça avec mes propres politiques. Jusqu'ici, ce n'est pas trop un problème non plus. J'ai eu droit à un SYN flood qui utilisait ce genre de tactique, mais le SYN flood se combat autrement (ça reste une bonne galère). Dans le cas des DOS sur forge, bannir grâce aux "honeypot" a aussi suffit pour le moment. En gros il y a une adresse qu'ils vont demander et qu'aucun humain ne demande dans notre cas, dès qu'elle passe dans les logs, l'ip est bannie un bon moment. Ce n'est qu'un pansement léger qui ne fonctionnera pas éternellement et surtout qui est possible parce qu'on a peu de traffic, mais il faut que je monte en compétence et que je trouve du temps pour faire mieux (comme mettre Anubis ou équivalent en place).

    Par rapport à ta configuration, c'est assez bien vu de filtrer sur les codes. Mais pourquoi sur 301 et 302 ? Et j'aurais tendance à spécifier un retry un peu plus élevé sur les 4* ; un utilisateur humain peut faire une coquille assez facilement et se retrouver au moins sur une 404.

    Si tu arrive à quelque chose avec les regex de Fail2ban, tu peux essayer d'adapter ce genre de filtre : https://reaction.ppom.me/filters/web-crawlers.html, évidement si tu n'as pas de pages qui correspond aux motifs. Là, bannir à la première occurence n'est pas un souci, puisqu'il n'y a aucune raison pour un utilisateur légitime de chercher ces adresses.

    Tu peux mettre l'ip de ton routeur en allow liste (ignoreip = 192.168.1.1) ; cependant, si elle se retrouve bannie, c'est sans doute que son adresse transite au mauvais endroit, ce qui est peut-être lié à ta config nginx. Tu parle de reverse proxy, c'est peut-être là. Quand tu fais une recherche dans les logs sur l'ip, tu trouve les lignes qui ont déclenché son bannissement ? J'ai passé du temps de mon côté à comprendre que quand j'avais un proxy, les services derrière récupéraient l'adresse du proxy et non du visiteur initial, à moins de mettre la bonne configuration dans nginx… je ne sais pas si c'est ça, là, mais c'est une piste.

  • [^] # Re: Fail2ban ne remplace pas une bonne sécurité

    Posté par  (site web personnel) . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 8 (+8/-2).

    En fait, une bonne sécurité, ce n'est pas un seul mur qu'on croit solide. C'est un labyrinthe de murs qu'on espère aussi solide que possible. Donc, non, Fail2ban seul n'est pas suffisant, mais rien "seul" ne l'est. Par contre c'est un outil parmi les autres qui réduit la pression, et qui n'a rien d'inutile.

    De bonnes pratiques (comme la connexion ssh uniquement par clé, avec une robustesse suffisante, comme tu l'indique) sont une base nécessaire, mais à compléter, parce que les attaquants type bot essaient de rentrer par un peu tous les trous possibles. Je parle bien des bots, c'est à dire des attaques non ciblés qui concerne la majorité de nos serveurs ; si on doit faire face à une menace qui nous cible précisément, ça devient un autre niveau de complexité. Mais bon, sur les bots, on a des tas d'outils et de méthodes, trop pour se décider sur quoi mettre en place quand on n'y connait rien, et dire "Fail2ban ne remplace pas une bonne sécurité" c'est comme de dire "le sel ne fait pas les bons plats" : ouais, y'a du vrai mais c'est simpliste, c'est un élément qui y participe, et faut pas se priver de l'utiliser. L'erreur serait d'écarter l'outil parce qu'on a seulement entendu "ça ne sert pas à grand chose". Si si, ça sert. Ça ne fait pas tout, mais ça sert.

    Techniquement, on pourrait par exemple se croire protégé sur la partie ssh parce qu'on a une clé pour se connecter. Sauf qu'il y a des protocoles pourris, qui sont encore utilisés, des configs pourries aussi, et des gens qui suivent des tutos qui ont 20 ans d'âge, et donc la protection peut être assez relative. Si le débutant qui a mis ça en place a quand même aussi mis en place fail2ban paramétré à peu près potablement, il ajoute une couche qui limite énormément le débordement. Il améliore encore ses chances en passant sur un port non standard, en autorisant uniquement certaines ip, en utilisant un bastion, etc. Rien de tout ça, seul, n'est suffisant non plus.

    Fail2ban est un bon complément à un pare-feu qui doit, par ailleurs, être bien paramétré. Le pare-feu va laisser des trucs, c'est obligatoire. Certains seront arrêtés par Fail2ban. Qui va aussi laisser passer des trucs. Qui seront arrêtés par d'autres mécanismes, suivant les services ouverts. Et avec un peu de chance, on aura ajouté assez de couches dans la lasagne pour qu'aucun problème n'arrive à notre serveur. Bref, c'est toujours cool de voir des cas d'usage de Fail2ban.

  • [^] # Re: Le flood de bots

    Posté par  (site web personnel) . En réponse au journal Sécurité de linux. Évalué à 2 (+0/-0).

    Ha oui, c'est violent… Bon courage !

  • [^] # Re: Le flood de bots

    Posté par  (site web personnel) . En réponse au journal Sécurité de linux. Évalué à 2 (+0/-0).

    Désolé, je n'étais pas réveillée… Mais vraiment pas. Je ne prétendrais pas que c'est mieux aujourd'hui, en plus :P

    En effet 3 comptes qui ont donnés la preuve de leur légimité, 2 "peut-être", sur 48, c'est pas extra. Par curiosité, sur quelle période de temps ? Si c'est en une semaine ça fait beaucoup… Vous faites de la vérification à la main ou il y a des procédures auto, genre ceux qui ne se sont pas connectés depuis (qui peuvent devenir des comptes dormants pour spammer plus tard) sont virés automatiquement à un moment ?

  • [^] # Re: Le flood de bots

    Posté par  (site web personnel) . En réponse au journal Sécurité de linux. Évalué à 5 (+3/-0). Dernière modification le 07 juin 2025 à 20:20.

    Je ne pensais pas à ceux qui s'inscrivent, mais qui visitent. J'ai un serveur qui a bien morflé avec ça (bande passante assez basse, quelle idée aussi d'avoir un petit site web en html&css derrière une ligne en adsl :P), et sur les serveurs de mes assos, dans les datacenters, on a eu une bonne augmentation du trafic et des effets collatéraux ; rien de grave (on a géré en faisant du ban aggressif) mais des histoires comme ça j'en ai vu passer ces derniers mois. Je pense que cela impacte plus les "petits" qui n'ont pas une grosse bande passante ou des machines qui vont gérer le flux, pas sûr que ce soit aussi visible sur les sites qui avaient déjà un fort trafic et donc des ressources et gestions adaptées.
    Du coup je suis curieuse, sur Linuxfr vous avez une infra faite pour faire face à un gros trafic si j'ai compris, est-ce que vous avez quand même remarqué une augmentation importante des visiteurs, ou rien de perceptible ?

    Et c'est rassurant de voir que ça n'augmente pas trop les inscriptions ici. Ceci dit je n'ai pas non plus constaté plus d'inscriptions dans les services qu'on gère, ce qui est cool parce que nos mesures antispams sont à mon avis pas loin d'être obsolètes.

  • # Le flood de bots

    Posté par  (site web personnel) . En réponse au journal Sécurité de linux. Évalué à 7 (+5/-0).

    Je ne sais pas si c'est "le plus important" mais c'est d'actualité. Le flux des bots qui ne respectent rien et qui font tomber des sites, c'est devenu un peu le gros cheval de bataille ces derniers mois. Ça s'est senti particulièrement sur les forges, et ça a donné des outils comme Anubis, mais les forges sont loin d'être les seules touchées. Quelle que soit la véritable motivation des personnes derrière ses attaques (je penche pour des crawlers codés par des IA, pour des IA, et déployés par des crétins incompétents), l'impact sur le web est celui de DDOS non ciblés et ça impacte des sites qui jusque là n'avaient pas besoin de trop se poser la question de la quantité de trafic. Il y a plein d'implications, plein de possibilités (de solution, d'explication), le sujet est riche, bref si tu as envie de faire une série sur la sécurité, cela me semble un bon candidat.

  • [^] # Re: enfin une raison !

    Posté par  (site web personnel) . En réponse au message adresse compte mail sur domaine perso ou sur domaine du fournisseur ?. Évalué à 3 (+1/-0). Dernière modification le 15 mai 2025 à 09:34.

    Bien vu.

    Il reste possible d'utiliser un sous-domaine, mais utiliser le domaine du fournisseur d'emails évite de trop s'emmêler dans les configurations mails aussi. Et puis login@sous-domaine.example.org c'est long !

    Le moinssage, je ne comprends pas non plus, mais ça ressemble presque à une erreur de clic vu qu'il y a peu de votes. Ceci dit, vu les réactions, je me rends compte qu'on n'est sans doute pas nombreux à utiliser un compte "login" et fonctionner uniquement avec des alias pour le reste. Un jour, peut-être, je prendrais le temps de partager ce genre d'astuces mails dans un journal. Ou quelqu'un d'autre le fera :P

  • # Un vrai dilemne

    Posté par  (site web personnel) . En réponse au message adresse compte mail sur domaine perso ou sur domaine du fournisseur ?. Évalué à 3 (+1/-0).

    Je cherche, et je ne vois pas trop d'éléments pour décider.

    Ça dépend un peu du "login", (avant le nom de domaine) : je constate sur mon serveur mail que les adresses évidentes sont testées (admin, postmaster, les alias qui sont exposés sur le net…). Donc si tu as une adresse du type nom@fournisseur, ou quelque chose d'assez courant (admin@fournisseur), il y aura du bruteforce dessus (mais tout fournisseur le mitigera, ce serait vraiment pas de bol que le mot de passe associé soit trouvé). De mon côté mon login de connexion est un truc qui ne se devine pas facilement, et il n'y a bien que moi dans les logs qui tente de l'utiliser pour me connecter (ouf).

    Comme par ailleurs tu ne va jamais exposer l'adresse, sans doute que c'est aussi simple de rester avec le nom de domaine du fournisseur, ça fait une manipulation de moins. Si à un moment tu change de fournisseur, tu changera la redirection des alias.

    Peut-être, si tu as beaucoup d'alias, que ton propre domaine devient alors plus intéressant : dans ce cas en changeant de fournisseur tu ne modifie pas forcément la redirection des divers alias. Mais là aussi, ça dépend, parce que si les alias sont géré aussi par le fournisseur, tu pourras de toute façon tout refaire.

    Peut-être aussi qu'un des nom de domaine est plus sympa à taper pour se connecter : lequel est le plus court ?

    J'essaie de trouver des éléments, mais c'est bien faible ; aucun aspect fondamental ne me saute aux yeux ;)

    A priori, vu ce que tu expliques, je dirais que tirer à pile ou face est aussi valide !

  • [^] # Re: c'est bien, mais pas suffisant

    Posté par  (site web personnel) . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 10 (+9/-0).

    J'ai bien aimé cet article qui offre justement un point de vue plus nuancé sur ce marronier. Il date de 2023 et est toujours d'actualité, pfiou. Par contre, c'est moins vendeur qu'un tableau accompagné d'un petit résumé lapidaire.

  • # Peut-être un des besoins à négocier

    Posté par  (site web personnel) . En réponse au message groupe privé de conversation (genre jitsi, whatsapp, etc.). Évalué à 7 (+5/-0).

    Il y a effectivement divers logiciels qui répondent à la plupart du cahier des charges, mais "tout", ce n'est pas évident. Peut-être voir quel point est susceptible d'être négocié, suivant l'importance :
    - Gratuit => si Jitsi te convient, l'idéal serait d'héberger ta propre instance, mais forcément ce n'est plus gratuit, ça te demande un peu de maintenance et un serveur. Ou bien de payer un fournisseur qui offre ce genre de service. Note que ça permet qu'une personne paie (pas forcément très cher en plus) mais laisse l'accès au(x) salon(s) aux autres sans qu'eux aient forcément à débourser.
    - Création de compte => c'est souvent plus facile pour chiffrer, puisqu'on va valider qui peut voir ce qui est déchiffré. Créer un compte ne veux pas forcément dire "donner ses infos personelles ; par exemple sur Briar on crée un compte qui est interne à l'application, pas besoin de mail, juste un pseudo et son mot de passe (mais Briar ne correspond pas à d'autres de tes cahiers des charges).
    - Disponible en ligne, sans logiciel dédié : là aussi, si c'est un aspect négociable, alors ça ouvre un peu le champ des possibles.

    La question concerne donc aussi les curseurs des gens avec qui tu veux discuter. Peut-être que créer un compte, ou installer un logiciel, ne sont pas vu comme une contrainte trop grande pour eux par exemple. Il me semble que le plus simple est qu'une des personnes aie la contrainte "avoir un compte/payer" pour ouvrir des salons, qu'il permettra à d'autres de rejoindre ensuite (et là pour le coup : sans compte et sans payer pour eux). Ou auto-héberger :D

  • [^] # Re: pas prêt pour le grand public

    Posté par  (site web personnel) . En réponse au journal De la migration d’une instance Mastodon à une autre et ses effets secondaires. Évalué à 10. Dernière modification le 22 mars 2025 à 20:07.

    Au départ, je pensais comme toi que la possibilité pour les modérateurs de bloquer entièrement une instance entière était un peu trop.

    Puis j'ai aidé des modérateurs sur une instance mastodon, et cet a priori s'est assez violemment heurté à la pratique. Par exemple, il y a des endroits où ce n'est pas un problème de présenter des jeunes collégiennes de façon extrêmement sexualisées. Il y a des instances dont c'est la ligne éditoriale. À ce stade, ce n'est plus seulement "est-ce qu'on apprécie ou pas le contenu", mais le simple fait d'avoir certaines de ces images qui vont se retrouver sur notre serveur (à cause du cache, parce qu'on a quelqu'un qui a apprécié voir repartagé, s'est abonné…) nous rends coupable de recel de pédopornographie. En tant qu'hébergeur, il devient alors nécessaire de couper tout lien avec cette instance. Et tant pis si sur l'instance en question, il y a aussi des gens très bien, des fils passionnants. Ce n'est plus une question de morale, de préférence, mais simplement : ce que la loi permet dans certains pays n'est pas autorisé dans d'autres. Point.

    La ligne, là, me semble assez facile à tracer, cependant faut pas se faire d'illusion, ça casse aussi des liens sympas entre utilisateurs. Et une fois qu'on a fait le ménage là-dedans, on a mis le doigt dans un engrenage. On commence à gratter, et on trouve plein d'instances où la modération répond à des principes différent du cadre légal dans lequel tu es. Parfois ce n'est pas trop grave, mais parfois il y a des utilisateurs qui repouettent des trucs qui sont illégaux dans le pays où tu es. On vire les utilisateurs en question (qui râlent parce que "on ne peut plus rien dire") puis on finis par virer aussi l'instance parce que des pouets qui semblent anodins et qui sont repartagés attirent toujours des réponses par du tout anodines, et qu'en face la modération n'en a vraiment rien à battre d'héberger du contenu illégal, des harceleurs, etc.

    À ce stade, en général on ne fait plus dans la dentelle, parce que ça prends un temps dingue. De mon côté j'ai pris de la distance en voyant que la modération (épuisée) tirait à vue sur toute instance coupable d'avoir une modération trop peu réactive/avec des lignes plus souples, et cela reste pour moi la raison pour laquelle il faut fermer les grosses instances généralistes : elles sont juste un problème. Il est humainement impossible de satisfaire tes 1000 utilisateurs interagissant avec le fediverse entier.

    Par contre, tu parle d'être sur plusieurs instances… en réalité la solution n'est pas là, mais plutôt d'avoir "son" instance. Partagée à la limite avec quelques personnes dont tu es réellement proche, dont tu partage les valeurs (et je parle de 10-15 personnes, pas de 100 ou plus). Un groupe suffisamment petit pour que tout le monde soit OK quand il s'agit de bloquer une autre instance, sans risque de perdre le lien avec des gens sur des instances qui sont certes parfois modérées de façon un peu légères, mais quand même intéressantes à suivre.

    "Mais c'est compliqué de s'auto-héberger" : en général on vas sur Mastodon parce que on a un geek dans l'entourage, et ce dernier est en général capable d'installer un yunohost avec un truc pour aller sur le Fediverse. Et on est aussi en général capable de discuter en famille/entre groupe d'amis pour mutualiser ce genre de truc à une échelle… humaine, encore une fois.

    C'est vraiment la seule solution saine d'être sur le Fediverse : des petits groupes nucléaires.

  • # C'est surtout de la pub non ?

    Posté par  (site web personnel) . En réponse au lien Comment Google interprète vos photos. Évalué à 6.

    En voyant les descriptions associées à des images plus que neutres, je me questionne sur la méthodologie. Tout ce qu'on sait c'est que ça fait appel à "Google Vision API", ok : mais quels appels, comment ? Il n'y a pas grand chose pour savoir ça. Par contre le lien qui contient une info utile c'est "qui fait ça ?". Ho, surprise, quelqu'un qui vend une solution de stockage de photos dans le nuage.

    Ok c'est rigolo comme site, mais c'est surtout là pour jouer sur les émotions en disant "Google est méchant et détermine ce que vous votez en tant qu'américain (y'a-t-il autre chose sur terre ?) simplement en regardant un bout de brocoloi coincé dans les dents d'un chacal, venez plutôt mettre vos photos chez nous, parce que nous, on est gentil©".

    J'attends de voir une version un peu plus transparente sur ce qui est demandé et comment les infos sont traitées. Parce que là ça sent les biais dans la façon dont les appels sont faits. Je ne prétends pas que l'API est "bien" ou que Google respecte la vie privée et ne fait pas des suppositions à partir de maigres indices (on sait qu'ils n'ont aucune morale), mais ce qui pourrait être un bon outil de sensibilisation n'est en fait qu'un coup marketting créatif.

  • # Ce n'était peut-être pas si précipité de fermer l'instance

    Posté par  (site web personnel) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 10.

    Le retour est intéressant, pour autant je trouve un peu naïf de croire que la décision de fermer l'instance est juste à cause de ce drama. Peut-être, ou pas, et il faudra attendre le retour des gens de Zaclys pour savoir.

    Mais… il est quand même probable que cet incident aie surtout servi à décider les indécis sur une décision qui murissait depuis un moment. Je dis ça parce qu'après avoir tâté de la gestion de service mastodon… je n'ai aucune envie d'y retourner, et je porte la voix "on ferait mieux de fermer ce truc/ne pas y toucher" dans les collectifs qui ont un mastodon ou veulent en utiliser. Tant que ça amuse les gens de gérer ça, bah ok, mais c'est un tel nid à ennuis… Après à chacun ses petits plaisirs masochistes, j'en ai d'autres de mon côté ! Mais justement quand on a un service "générateurs de problèmes" (qu'ils soient humains ou technique, voir les deux), il y a toujours un équilibre fragile entre ce qu'on aime dedans et ce qui est lourd, et cette balance passe parfois le point de non-retour côté "ce n'est plus possible".

    Et sur Mastodon, peu importe ce qu'on voit en tant qu'utilisatrice, derrière les modératrices ont forcément un bon flux à gérer dès que l'instance est un peu grande, d'autant plus si elle est généraliste (ou très militante…), et cette charge de modération est très différente de ce qu'on a dans un système centralisé. Il ne s'agit plus de donner des lignes à une communauté, mais de naviguer entre les règles de milliers de cultures et de sensibilités et de savoir que le curseur ne sera jamais placé à un endroit qui satisfera "le plus grand monde".

    Plus le temps passe, et plus je me questionne sur la pertinence du fediverse. C'est compliqué, parce que je trouve l'idée belle… mais j'ai bien l'impression que l'humanité n'est pas prête à ça, et que faire tomber les frontières (techniques) en fait se lever d'autres (humaines).

  • [^] # Re: En dépêche(s) ?

    Posté par  (site web personnel) . En réponse au journal Nouvelles sur l’IA de février 2025. Évalué à 2.

    Je ne sais pas, rien n'oblige à avoir un avis "neutre" dans une dépêche. Les auteurs sont identifiés et restent responsables de leurs mots et de leurs avis. Après je comprends bien le sentiment, les dépêches ont un côté plus "officiel" et on a tendance à en attendre… trop. C'est intimidant. Plus de croyances en tant qu'auteurs que d'attente en tant que lecteurs, je crois : parce que justement je suis un peu frustrée de lire des dépêches "toutes pareilles" (certes intéressantes mais un peu plus de variété, dans la forme comme dans les sujets, c'est sympa). Mais je ne propose pas non plus de dépêches, donc…

    Le sentiment de "liberté" avec les journaux est en tout cas complètement entendable et une bonne raison de rester sur ce format.

    Et oui, je te confirme que c'est une perspective intéressante. À la fois sur l'illusion de contrôle, et le fait que finalement le contenu utilisé par les IA est un peu plus produit par des gens ayant certaines valeurs spécifiques. Sont-ils plus nombreux ou plus productifs que les rageux et les haineux autres ? Est-ce seulement lié aux biais lors de l'étiquetage humain des premiers jeux de données ? Je serais curieuse de mieux comprendre "pourquoi" (quand bien même certains de ces biais me conviennent). Je me demande aussi si les tendances seraient différentes avec une entreprise non-anglophone travaillant sur des corpus majoritairement dans d'autres langues. J'espérais un peu que Deepseek offre une perspective chinoise plus prononcée, mais vu qu'ils ont aussi tapé énormément dans le corpus anglophone… Ses instructions sont clairement plus adaptées à la culture chinoise mais ce n'est pas vraiment différent dans les types de réponses qui sont faites. Après je ne sais pas faire du "jailbreak" et mes tests avec les LLM sont assez basiques. C'est aussi pour ça que ce genre d'avis est intéressant, cela permet de voir ce que d'autres ont explorés et dans quelle direction.