Getty Images
Alors que les critiques d’Elon Musk fuient Twitter, Mastodon semble être le remplaçant le plus courant. Au cours du mois dernier, le nombre d’utilisateurs actifs mensuels sur Mastodon a plus que triplé, passant d’environ 1 million à 3,5 millions, tandis que le nombre total d’utilisateurs est passé d’environ 6,5 millions à 8,7 millions.
Cette augmentation substantielle soulève des questions importantes sur la sécurité de cette nouvelle plateforme, et pour cause. Contrairement au modèle centralisé de Twitter et à pratiquement toutes les autres plateformes de médias sociaux, Mastodon est construit sur un modèle fédéré de serveurs indépendants, appelés instances. À cet égard, cela s’apparente davantage à un e-mail ou à Internet Relay Chat (IRC), où la sécurité dépend de la capacité et de l’attention de l’administrateur qui l’a configuré et gère chaque serveur individuel.
Le mois dernier, le nombre d’instances est passé d’environ 11 000 à plus de 17 000. Les personnes qui gèrent ces instances sont des bénévoles qui peuvent ou non être versés dans les nuances de la sécurité. La difficulté de configuration et de maintenance des instances laisse beaucoup de place aux erreurs qui peuvent exposer les mots de passe des utilisateurs, les adresses e-mail et les adresses IP au risque d’être révélées (plus à ce sujet plus tard). La sécurité de Twitter laissait beaucoup à désirer, mais au moins elle disposait d’un personnel dédié avec une solide expérience en matière de sécurité.
Inconvénients de la sécurité
“Je pense honnêtement que c’est la plus grande préoccupation en matière de sécurité dans l’espace”, a déclaré Mike Lendvay, un professionnel certifié de la sécurité de l’information et un professionnel certifié de la sécurité du cloud qui gère également l’instance Mastodon friendsofdesoto.social. “Surtout avec la diaspora Twitter, vous avez vu beaucoup de serveurs monter très rapidement, et le niveau de compétence des personnes qui les administrent sera très inégal.”
Publicité
Une autre préoccupation est le logiciel qui alimente la plate-forme Mastodon. Il n’a jamais fait l’objet d’un audit de sécurité formel, bien que la Commission européenne ait parrainé un programme de primes de bogues qui a abouti à des correctifs pour 35 soumissions de bogues valides. Plus tôt ce mois-ci, un chercheur a découvert une mauvaise configuration dans plusieurs cas qui permettait le téléchargement et la suppression de tous les fichiers stockés sur le serveur et le remplacement de la photo de profil de chaque utilisateur.
L’absence d’audit et des années de tests de sécurité robustes par des tiers signifient que de graves faiblesses de sécurité sont presque certainement présentes.
À ce stade, un chercheur distinct a découvert ce mois-ci un serveur qui avait réussi à extraire les données de plus de 150 000 utilisateurs d’un serveur mal configuré. Heureusement, les données étaient limitées aux noms de compte, aux noms d’affichage, aux images de profil, au nombre de suivis, au nombre de suiveurs et à la dernière mise à jour du statut. Une troisième vulnérabilité découverte ce mois-ci sur une instance permettait de voler les mots de passe en clair des utilisateurs en injectant du code HTML spécialement conçu dans le site.
Bien sûr, toutes les plates-formes présentent ce type de vulnérabilités, et les développeurs et administrateurs d’instances de Mastodon n’ont pas tardé à les corriger une fois signalés. Mais d’autres plates-formes ont des équipes d’ingénieurs en sécurité, de chercheurs et de spécialistes de la conformité qui examinent les vulnérabilités récemment corrigées pour s’assurer que leur plate-forme exécute des composants à jour. La structure fédérée de Mastodon ne peut pas reproduire cela. S’attendre à ce que les bénévoles agissent à la même échelle qu’une plate-forme centralisée est pour le moins irréaliste.
Le manque d’équipes de sécurité dédiées pourrait être un problème, en particulier en cas de vulnérabilité de haute sécurité dans l’écosystème logiciel sur lequel Mastodon s’appuie. La plate-forme est construite sur Ruby on Rails, Postgres et Redis. D’une part, la combinaison de ces trois applications open source a fait ses preuves, avec une utilisation par des plates-formes notables telles que GitHub, GitLab, Shopify et Discourse.
Mais les choses pourraient mal tourner si l’une de ces applications est touchée par quelque chose de grave comme HeartBleed, le bogue de 2014 dans l’application open source OpenSSL qui a provoqué la divulgation de toutes sortes de données sensibles provenant de sites Web bancaires et d’autres cibles de grande valeur.
Publicité
De plus, le logiciel Mastodon n’a pas de fonction de mise à jour automatique ni même de disponibilité des mises à jour.
“Vous devez vérifier personnellement les versions de GitHub”, a déclaré Lendvay. “J’essaie de faire ça chaque semaine. Mais pour beaucoup, j’imagine qu’ils entendraient à travers la vigne. J’ai vu des versions disparates fonctionner, alors qui sait quelle sera la cohérence.
Mastodon, ou du moins les instances hébergeant des utilisateurs largement connus ou influents, est également susceptible d’être beaucoup plus sensible aux attaques par déni de service distribuées (DDo), qui mettent les sites hors ligne en bombardant les serveurs avec plus de trafic ou de commandes qu’ils ne peuvent en gérer. Les plates-formes centralisées avec des poches profondes considèrent les serveurs d’atténuation DDoS comme un coût de base. Les instances gérées par des bénévoles ne disposent probablement pas des mêmes ressources. Si la base d’utilisateurs de Mastodon poursuit sa poussée de croissance actuelle, cette susceptibilité sera probablement utilisée pour faire taire les critiques de tous bords.
Outre le vol de données, les pirates peuvent également être tentés de pirater les comptes de personnes influentes ou de prendre le contrôle de fonctions administratives. Dans les deux cas, le pirate pourrait se faire passer pour des utilisateurs influents.
“Je parierais de l’argent qu’il y a des vulnérabilités dans le protocole ActivityPub qui permettront à quelqu’un de diffuser un faux toot attribuable à une poignée célèbre”, a déclaré un utilisateur. “Ou il y aura un autre problème de protocole trouvé.”
Enfin, Mastodon est probablement plus sensible aux campagnes de harcèlement et de désinformation, en supposant qu’elles se déroulent à grande échelle.
“Sur la sécurité personnelle, il n’y a pas beaucoup de protections contre le harcèlement”, a déclaré Jon Pincus du Nexus of Privacy. “De nombreuses instances ne sont pas bien modérées (y compris mastodon.social, qui [Mastodon creator] Eugène [Rochko] s’exécute). Même les instances bien modérées peuvent être submergées par des attaques déterminées.
