Le Fédiverse, un espace préservé du pistage?

Salut,

Ces derniers temps je fais une veille sur le fonctionnement d’ActivityPub (et du Fediverse). C’est en lien avec mes travaux sur la simplification du processus de sauvegarde de YunoHost.

Mais du coup, je me repose une question qui n’a rien à voir: en quoi les données sont mieux protégées du pistage sur le Fediverse que sur twitter? Je veux dire, qui ici a verrouillé son compte Fediverse et poste essentiellement à ses « abonné⋅es uniquement » ?

  • Je n’ai pas de compte personnel
  • Mon compte est verrouillé et je poste majoritairement à mes abonné⋅es uniquement
  • Mon compte est verrouillé, mais je poste « publiquement » ou en « non listé » la plupart du temps
  • Mon compte n’est pas verrouillé
  • Je ne sais pas

0 votant

Non parce que là j’ai sincèrement l’impression qu’en faisant une simple requête GET on peut dresser une quantité de metadata qui peuvent permettre de connaître le rythme de sommeil ou déconnexion d’une personne, son graphe social, les mots et hashtag qu’elles emploient le plus, etc.

Je trouve que l’option de verrouillage n’est clairement pas assez mise en avant. ET que nous n’avons probablement pas assez en conscience la facilité de crawler (parcourir) toutes ces métadonnées de tous ces profils personnels publiques.

Pour les technophiles, remplacez USER par un user de mamot par exemple:

curl --header "Accept: application/activity+json" https://mamot.fr/users/USER/outbox?page=true | jq '.'

A+,
ljf (qui n’a plus de compte Fediverse perso depuis déjà quelques temps)

2 Likes

Salut,

Je débute sur mastodon et j’ai mis du temps à comprendre de quel « verrouillage » il est question.

Mon interface était en anglais, et l’option

[ ] Verrouiller le compte
Nécessite que vous approuviez manuellement chaque abonné·e

est traduite par

[ ] Require follow requests
Manually control who can follow you by approving follow requests

Ce qui n’a pas tout à fait le même sens. Pas de promesses de « sécurité » dans celà, juste une approbation des followers.

Est-ce que ça affiche vraiment moins de choses dans le curl ?

image

Tu peux essayer de cocher|décocher les options. Mais ça n’affiche pas moins de chose dans le curl. Tu y trouves tous tes pouets et tous tes followers. De fait, n’importe quel script peut établir un «graphe social» qui, comme dit @ljf , explique parfaitement qui tu es. En même temps, c’est un peu le but d’un réseau social.
Ceci dit, comme @ljf , je n’ai aucun compte de réseau social personnel.

Peut être que le verrouillage ne s’opère que pour les messages postés après avoir coché la case.

Hier soir on a fait des essais à ce sujet pendant la Stammtisch du Hackstub, sans aucune authentification, il est possible d’accéder aux toots envoyés en Listé et non listé, mais pas aux messages direct, ni aux « follower only » (qui sont juste envoyé dans la inbox des destinataires).

Reste un flou non exploré, si le compte n’est pas verrouillé, est-ce que le mode « follower only » est quand même publié dans la outbox ou pas…

Malgré tout, la conclusion reste qu’il est assez facile de dresser des listes de personnes issues d’une minorité ou de dessiner le graphe social à partir de la liste des followers, following, des retoot publique, des personnes mentionnées publiquement.

Tout ceci mériterait donc des petits tutos ou des modifs dans les logiciels pour aider les utilisateurices à paramétrer leurs comptes et à prendre conscience de la portée exacte de leurs écrits.

On s’est aussi intérrogé hier soir, sur la faisabilité pour un data broker de consolider les données issues d’un crawl du fediverse avec d’autres données et/ou profil. Par exemple, les personnes qui ont un jour bridgé leur compte avec twitter, ont créé de cette façon un lien entre une identité potentiellement consolidée (avec ip, fingerprint) et celles de mastodon qui ne fournit pas des données d’identifications précises facilement exploitables (si on se base sur la correspondance des messages pendant une période donnée).

Bon je suis désolé j’ai pas trop vulgarisé, ça pourrait faire l’objet d’un article.

2 Likes

+1 :slight_smile:

Ce qu’on fait sur internet est public.
Il faut le dire et le redire pour que ça rentre dans nos têtes.

1 Like

Pour ajouter de l’eau au moulin, ça me fait penser à ce post que j’avais lu il y a quelques temps

2 Likes

Ah mais milles mercis ! Cela illustre parfaitement nos précédents propos.

Je rajoute ce post issu du forum des chatons. . Finalement, informatique ubiquitaire → pharmakon ?

Oui lors de la Stammtisch du Hackstub nous avions bien en tête cette campagne transphobe.