Mastodon : l’EFF analyse la sécurité et le respect de la vie privée

L’EFF (1) s’est exprimé à propos de Mastodon sur son site, et c’est très intéressant et pertinent.

L’EFF est une fondation américaine très puissante militant pour les droits des internautes notamment en matière de protection des données privées.

Il y a beaucoup d’éléments très pertinents qui rejoignent ma propre analyse : gageons que les développeurs de la communauté Mastodon aurons à cœur de réaliser ce que l’EFF recommande dans les meilleurs délais :

  • Sécurisation des communications réputées être « privées » : il existe des technologies qui fonctionnent pour cela.
    En attendant, pour communiquer avec les personnes que vous connaissez véritablement, je vous recommande pour ma part de n’utiliser qu’un logiciel de messagerie. (Si vous le souhaitez, voir « Pour aller plus loin » en bas de cet article).
    Mastodon pourrait mettre en place des choses, mais nous pouvons aussi apprendre à mieux gérer nos communications privées et ce avec UN outil ou deux de bonne facture. Il est très facile, si nécessaire, de disposer d’adresses de courrier électronique sous pseudonymat ou simplement d’alias pour éviter les spams ensuite (j’en parle dans ce blog).
    Bref, nous pouvons faire « comme des grands » ! 😉
  • Développement des fonctions INDISPENSABLES de contrôle de données personnelles qui manquent encore (et elles sont nombreuses).
    Je note par exemple qu’il est compliqué de comprendre ce que l’on supprime et où (voir ma vidéo à propos des communications visibles « uniquement des personnes mentionnées » où je fais réapparaître des messages « comme par magie » en passant par les notifications).
    Autre exemple, l’effacement automatique et immédiat de toutes les publications et de tous les messages n’est pas proposé (alors que c’est une fonction bien connue de TweetDelete pour Twitter et que cela devrait sembler évident qu’on doit donner cette possibilité à tout utilisateur, ce que ne fait, à ce jour, aucun outil de réseaux sociaux à ma connaissance sauf à supprimer le compte — et encore, rien n’est moins sûr —).
  • Sécurisation de la plate-forme et renforcement des capacités de développement, de surveillance et de recherche en la matière.
  • etc.

Bon, il est temps de vous laisser parcourir cette contribution à la communauté.
Simple, synthétique, claire et posée, elle s’adresse à nous : Bonne lecture !

Version originale (anglais) :

https://www.eff.org/deeplinks/2022/11/mastodon-private-and-secure-lets-take-look

Pour les non-anglophones, voici une traduction automatique (via Google malheureusement) :

https://www-eff-org.translate.goog/deeplinks/2022/11/mastodon-private-and-secure-lets-take-look?_x_tr_sl=auto&_x_tr_tl=fr&_x_tr_hl=fr&_x_tr_pto=wapp


Mon conseil en plus

Il est important de noter que l’EFF n’aborde que Mastodon (en tant que serveur et service Web).

Il faut bien avoir conscience que chaque application tierce peut présenter des défauts et des failles de sécurité.

De même, les extensions font peser des risques.

Parlons par exemple de glitch qui est justement installée sur une instance, infosec.exchange, utilisée par des nombreux professionnels intéressés par la sécurité informatique (dont votre serviteur à l’adresse @marcjestin@infosec.exchange).
Juste au moment de la sortie de la version 4.0.0 stable de Mastodon, un chercheur en sécurité a déclaré une faille qui a obligé toutes les équipes à sortir une version 4.0.1 en urgence : la faille découverte permettait de récupérer les mots de passes des autres utilisateurs sur la plate-forme.
Finalement, Mastodon a été mis hors de cause. C’était glitch le responsable de cette vulnérabilité. Glitch a bien évidemment été corrigé très rapidement.

À votre service,

Marc JESTIN

(1) L’EFF sur Mastodon, c’est ici : @eff@mastodon.social.

Pour aller plus loin : une messagerie bien gérée et sécurisée

Si nous souhaitons protéger nos communications, nous devrions faire appel à une technologie ouverte non propriétaire comme OpenPGP, et le faire dans un outil de messagerie riche et qui comporte toutes les fonctionnalités dont nous avons besoin.

Il est contre-productif de multiplier les outils ou d’utiliser des outils qui réinventent la roue et l’eau chaude. Ce faisant, nous prenons de mauvaises habitudes sans développer les bonnes, et nous nous contentons d’outils qui ne proposent pas le quart de ce qu’une messagerie digne de ce nom (Thunderbird par exemple) propose.

Thunderbird gère cela très bien OpenPGP et c’est très facile à mettre en œuvre. De même pour son petit frère K9-Mail sous Android (dorénavant soutenu par la fondation Mozilla).

TOUTES nos communications devraient utiliser OpenPGP ou un protocole équivalent depuis LONGTEMPS en fait.

Y compris parce-que la technologie fait beaucoup plus que chiffrer : elle authentifie l’auteur et elle permet de s’assurer que le contenu du message n’a pas été modifié.

Par ailleurs, elle fonctionne sur un jeu de clefs qui permet de n’avoir accès aux communications que sous réserve de disposer de ces clefs.


Première publication : 22 novembre 2022, 01 h 27.
Dernière révision : 25 novembre 2022, 14 h 59.


Articles similaires :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *