Grant Slater, ingénieur de fiabilité pour le projet OpenStreetMap, fait face à des niveaux sans précédent de bots tentant de scraper les données OSM. Dans un post sur Mastodon le 27 janvier, il expliquait : « Nous voyons OpenStreetMap martelé par des scrapers se cachant derrière des réseaux de proxy résidentiels. Nous sommes un service géré par des bénévoles et les coûts sont réels. »
Pour comparaison, ces dernières années, Slater voyait 1 ou 2 adresses IP effectuant 10 000+ requêtes. Récemment, OpenStreetMap a fait face à plus de 100 mille IPs coordonnées pour scraper les données, chaque IP effectuant quelques requêtes pour échapper à la détection. Auparavant, il bloquait temporairement les 1 ou 2 IPs et passait à autre chose. Ce n’est plus possible.
OpenStreetMap, alternative libre à Google Maps, en a profité pour sensibiliser aux réalités techniques et financières des services « gratuits » sur Internet. Rien n’est perdu.
L’ironie : les données sont déjà gratuites
« L’ironie, c’est qu’OSM se fait piller par hammering de leurs serveurs, alors même que leur licence permet une réutilisation en téléchargeant toutes leurs données », nous confie Florian Daniel, directeur de projet open source chez Linagora, proche du collectif.
Et pour cause, les données OpenStreetMap sont gratuites et téléchargeables librement. Le projet propose en effet des exports officiels complets sur planet.openstreetmap.org. Ces attaques de bots sont donc un risque inutile pour l’ensemble du projet.
Dans un post du 28 janvier, l’équipe technique d’OpenStreetMap a annoncé avoir bloqué rien moins que 320 000 adresses IPv4 résidentielles en 24 heures (plus 100 000 IPv6 !) impliquées dans le scraping, pour maintenir OpenStreetMap.org opérationnel. « Si vous avez besoin de données OSM, ne scrapez pas le site web – utilisez les téléchargements officiels« , rappelle l’équipe.
Le vibe coding en cause ?
Plusieurs observateurs pointent du doigt le « vibe coding », cette pratique où des développeurs utilisent l’IA pour générer du code sans vraiment comprendre ce qu’ils font. Dans ce cas précis, des développeurs auraient utilisé des LLM pour générer du code de scraping d’OpenStreetMap sans savoir que le projet offre des téléchargements officiels gratuits et légaux.
Résultat : des coûts serveur inutiles pour un projet géré par des bénévoles, et une infrastructure mise sous pression pour rien.
Un réseau de proxy résidentiel identifié
Le 29 janvier, OpenStreetMap a annoncé avoir identifié « un grand réseau de proxy résidentiel » et examiner les options pour les faire cesser. L’équipe a également temporairement bloqué l’application de livraison indienne Delhivery, responsable de plus de 2 000 requêtes par seconde, avant de lever le blocage en attendant une réponse de l’entreprise.
« Désolé à tous leurs clients pour les livraisons retardées. Pourquoi ne pas cartographier votre quartier en attendant votre colis ?« , a ironisé l’équipe sur Mastodon, avec un lien vers openstreetmap.org/fixthemap.
