Ces derniers temps je fais une veille sur le fonctionnement d’ActivityPub (et du Fediverse). C’est en lien avec mes travaux sur la simplification du processus de sauvegarde de YunoHost.
Mais du coup, je me repose une question qui n’a rien à voir: en quoi les données sont mieux protégées du pistage sur le Fediverse que sur twitter? Je veux dire, qui ici a verrouillé son compte Fediverse et poste essentiellement à ses « abonné⋅es uniquement » ?
Je n’ai pas de compte personnel
Mon compte est verrouillé et je poste majoritairement à mes abonné⋅es uniquement
Mon compte est verrouillé, mais je poste « publiquement » ou en « non listé » la plupart du temps
Mon compte n’est pas verrouillé
Je ne sais pas
0votant
Non parce que là j’ai sincèrement l’impression qu’en faisant une simple requête GET on peut dresser une quantité de metadata qui peuvent permettre de connaître le rythme de sommeil ou déconnexion d’une personne, son graphe social, les mots et hashtag qu’elles emploient le plus, etc.
Je trouve que l’option de verrouillage n’est clairement pas assez mise en avant. ET que nous n’avons probablement pas assez en conscience la facilité de crawler (parcourir) toutes ces métadonnées de tous ces profils personnels publiques.
Pour les technophiles, remplacez USER par un user de mamot par exemple:
Tu peux essayer de cocher|décocher les options. Mais ça n’affiche pas moins de chose dans le curl. Tu y trouves tous tes pouets et tous tes followers. De fait, n’importe quel script peut établir un «graphe social» qui, comme dit @ljf , explique parfaitement qui tu es. En même temps, c’est un peu le but d’un réseau social.
Ceci dit, comme @ljf , je n’ai aucun compte de réseau social personnel.
Hier soir on a fait des essais à ce sujet pendant la Stammtisch du Hackstub, sans aucune authentification, il est possible d’accéder aux toots envoyés en Listé et non listé, mais pas aux messages direct, ni aux « follower only » (qui sont juste envoyé dans la inbox des destinataires).
Reste un flou non exploré, si le compte n’est pas verrouillé, est-ce que le mode « follower only » est quand même publié dans la outbox ou pas…
Malgré tout, la conclusion reste qu’il est assez facile de dresser des listes de personnes issues d’une minorité ou de dessiner le graphe social à partir de la liste des followers, following, des retoot publique, des personnes mentionnées publiquement.
Tout ceci mériterait donc des petits tutos ou des modifs dans les logiciels pour aider les utilisateurices à paramétrer leurs comptes et à prendre conscience de la portée exacte de leurs écrits.
On s’est aussi intérrogé hier soir, sur la faisabilité pour un data broker de consolider les données issues d’un crawl du fediverse avec d’autres données et/ou profil. Par exemple, les personnes qui ont un jour bridgé leur compte avec twitter, ont créé de cette façon un lien entre une identité potentiellement consolidée (avec ip, fingerprint) et celles de mastodon qui ne fournit pas des données d’identifications précises facilement exploitables (si on se base sur la correspondance des messages pendant une période donnée).
Bon je suis désolé j’ai pas trop vulgarisé, ça pourrait faire l’objet d’un article.
