Nous vivons une période passionnante pour les utilisateurs qui souhaitent reprendre le contrôle des principales plateformes comme Twitter et Facebook. Cependant, ce nouvel environnement comporte des défis et des risques pour la confidentialité des utilisateurs, nous devons donc bien faire les choses et nous assurer que des réseaux comme Fediverse et Bluesky tiennent compte des leçons du passé.
En mai, le serveur Mastodon Kolektiva.social a été compromis lorsque l'un des administrateurs du serveur s'est fait perquisitionner par le FBI pour des accusations non liées. Tous leurs appareils électroniques, y compris une sauvegarde de la base de données d'instance, ont été saisis.
C'est une histoire effrayante et familière qui devrait servir de rappel aux hébergeurs, utilisateurs et développeurs de plates-formes décentralisées : si vous vous souciez de la confidentialité, vous devez faire le travail pour la protéger. Nous avons une chance de faire mieux dès le début dans le fediverse, alors saisissons-la.
Un appel au réveil de Fediverse
Une histoire où "tous leurs appareils électroniques ont été saisis" fait écho à de nombreuses histoires de droits numériques. L'affaire fondatrice d'EFF il y a plus de 30 ans, Steve Jackson Games v . tchat. Cette saisie a failli conduire la petite société de jeux à la faillite. Cela a également stimulé l'action de l'EFF nouvellement formé. Nous avons gagné l'affaire , mais l'approche de l'escroquerie des forces de l'ordre se poursuit jusqu'à aujourd'hui.
Cette approche trop large de la police qui «saisit tout» des flics doit changer. L'EFF soutient depuis longtemps que la saisie d'équipements tels que les serveurs ne devrait être effectuée que lorsque cela est pertinent pour une enquête. Tous les objets numériques saisis qui ne sont pas directement liés à la perquisition doivent être rapidement restitués, et des copies des informations doivent être supprimées dès que la police sait qu'elles n'ont aucun lien, comme elle le devrait également pour les objets non numériques qu'elle saisit. L’EFF continuera de plaider en faveur de cela devant les tribunaux et au Congrès, et nous devrions tous continuer à l’exiger.
Les forces de l'ordre doivent faire mieux, même lorsqu'elles ont un mandat (comme elles l'ont fait ici). Mais nous ne pouvons pas raisonnablement nous attendre à ce que les forces de l'ordre fassent ce qu'il faut à chaque fois, et nous avons encore du travail à faire pour faire évoluer la loi plus fermement dans la bonne direction. Cette histoire devrait donc également être un signal d'alarme pour les milliers d'hôtes du Web décentralisé en pleine croissance : vous devez également avoir le dos de vos utilisateurs.
Pourquoi protéger le Fedivers est important
La protection de la vie privée des utilisateurs est une priorité vitale pour Fediverse. De nombreuses instances fédiverses, telles que Kolektiva, se concentrent sur le service aux communautés marginalisées qui sont ciblées de manière disproportionnée par les forces de l'ordre. Beaucoup ont été construits pour servir de refuge à ceux qui se retrouvent trop souvent suivis et surveillés par la police. Pourtant, ce raid a mis les milliers d'utilisateurs servis par cette instance dans une situation terrible. Selon Kolektiva, la base de données saisie, désormais en possession du FBI, comprend des informations personnelles telles que des adresses e-mail, des mots de passe hachés et des adresses IP datant de trois jours avant la date à laquelle la sauvegarde a été effectuée. Cela inclut également les publications, les messages directs et les interactions impliquant un utilisateur sur le serveur. En raison de la nature du fedivers, cela implique également des messages d'utilisateurs et des publications d' autres instances.
Pour aggraver les choses, il semble que l'administrateur ciblé dans le raid était au milieu de travaux de maintenance qui laissaient du matériel potentiellement crypté sur le serveur disponible sous forme non cryptée au moment de la saisie.
La plupart des utilisateurs ne savent pas qu'en général, une fois que le gouvernement collecte légalement des informations, en vertu de diverses doctrines juridiques, ils peuvent les utiliser et les utilisent pour enquêter et poursuivre des crimes qui n'ont rien à voir avec l'objectif initial de la saisie. La vérité est qu'une fois que le gouvernement a l'information, il l'utilise souvent et la loi le soutient trop souvent. Les accusés dans ces poursuites pourraient contester l'utilisation de ces données en dehors du champ d'application du mandat d'origine, mais c'est souvent une piètre consolation.
Que fait un hébergeur de serveur décentralisé ?
Les recommandations «Qui a votre dos» de l'EFF pour protéger vos utilisateurs lorsque le gouvernement frappe à la porte ne concernent pas uniquement les grandes plates-formes centralisées. Les hôtes de réseaux décentralisés doivent inclure des possibilités telles que la saisie par le gouvernement dans leur modèle de menace et être prêts à réagir d'une manière qui correspond à leurs utilisateurs.
Tout d'abord, les pratiques de sécurité de base qui s'appliquent à tout serveur exposé à Internet s'appliquent également à Mastodon. Utilisez des pare-feux et limitez l'accès des utilisateurs au serveur ainsi qu'à la base de données. Si vous devez conserver des journaux d'accès, ne les conservez que pendant une durée raisonnable et examinez-les périodiquement pour vous assurer que vous ne collectez que ce dont vous avez besoin. Cela est vrai plus largement : dans la mesure du possible, limitez les données que votre serveur collecte et stocke, et ne stockez les données que le temps nécessaire. Restez également informé des éventuelles menaces de sécurité dans le code Mastodon et mettez à jour votre serveur lorsque de nouvelles versions sont publiées.
Deuxièmement, assurez-vous que vous avez adopté des politiques et des pratiques pour protéger vos utilisateurs, y compris des rapports de transparence clairs et réguliers sur les tentatives d'application de la loi d'accéder aux informations des utilisateurs et des politiques sur ce que vous ferez si les flics se présentent – des choses comme exiger un mandat pour contenu et combattre les ordres de bâillon. Surtout, cela devrait inclure une promesse d'informer vos utilisateurs dès que possible de toute action d'application de la loi où les forces de l'ordre ont eu accès à leurs informations et communications. Les pages Who Has Your Back d'EFF détaillent ces protections et d'autres protections clés. EFF a également préparé une introduction juridique à prendre en compte par les hôtes fédivers.
Dans le cas de Kolektiva, les hôtes ont été assez lents à donner un préavis. Le raid a eu lieu à la mi-mai et l'avis n'est arrivé que le 30 juin, environ six semaines plus tard. C'est un délai assez long, même s'il a fallu un certain temps à Kolektiva pour réaliser le plein impact du raid. En tant qu'hôte de communications d'autres personnes, il est essentiel de donner un avis dès que vous le pouvez, car vous n'avez généralement aucun moyen de savoir à quel point ces informations représentent un risque pour vos utilisateurs et devez assumer le pire. L'avis supplémentaire aux utilisateurs est essentiel pour qu'ils prennent toutes les mesures nécessaires pour se protéger.
Que peuvent faire les utilisateurs ?
Pour les utilisateurs rejoignant le fediverse , vous devez évaluer la page à propos d'un serveur donné, pour voir quelles précautions (le cas échéant) ils décrivent. Une fois que vous avez rejoint, vous pouvez profiter de la plus petite échelle de la communauté sur la plate-forme et soulever ces problèmes directement avec l'administrateur et les autres utilisateurs de votre instance. Insistez pour que les obligations de Who has Your Back, y compris de vous informer et de résister aux demandes des forces de l'ordre dans la mesure du possible, soient incluses dans les informations d'instance et les conditions d'utilisation. Rendre ces engagements contraignants dans les conditions de service n'est pas seulement une bonne idée, cela peut aider l'hôte à lutter contre les demandes d'application de la loi trop larges et peut soutenir les requêtes ultérieures des défendeurs pour exclure les preuves.
Un autre avantage du fedivers, contrairement aux principales plates-formes verrouillées, est que si vous n'aimez pas leur réponse, vous pouvez facilement trouver et passer à une nouvelle instance. Cependant, étant donné que la plupart des serveurs de ce nouveau Web social décentralisé sont hébergés par des passionnés, les utilisateurs doivent aborder ces réseaux en tenant compte des problèmes de confidentialité et de sécurité . Cela signifie ne pas utiliser ces services pour des communications sensibles, être conscient des risques de la cartographie des réseaux sociaux et prendre quelques précautions supplémentaires si nécessaire comme utiliser un VPN ou Tor et une adresse e-mail temporaire.
Que peuvent faire les développeurs ?
Bien qu'il n'aurait pas protégé toutes les données saisies par le FBI dans ce cas, le chiffrement de bout en bout des messages directs est quelque chose qui a malheureusement été absent de Mastodon pendant des années, et aurait au moins protégé le contenu le plus privé susceptible avoir été sur le serveur Kolektiva. Il y a eu quelques propositions pour activer cette fonctionnalité, et les développeurs doivent donner la priorité à la recherche d'une solution.
Le raid Kolektiva devrait être une sonnette d'alarme importante pour tous ceux qui hébergent du contenu décentralisé. Les descentes de police et les saisies peuvent être difficiles à prévoir, même si vous avez pris beaucoup de précautions. Les recommandations de l'EFF Who Has Your Back et, plus généralement, notre Legal Primer for User Generated Content and the Fediverse devraient être lus obligatoirement. Et s'assurer que vous avez le dos de vos utilisateurs devrait être un principe fondateur pour chaque serveur du Fedivers.
Mise à jour : le titre de cet article a été mis à jour pour clarifier que le FBI a saisi les données du serveur Mastodon, et non le contrôle du serveur lui-même.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/07/fbi-seizure-mastodon-server-wakeup-call-fediverse-users-and-hosts-protect-their le Tue, 25 Jul 2023 19:39:54 +0000.