Avant propos: une courte présentation
Mastodon est une nouvelle tentative de réinventer Twitter et les réseaux sociaux, les sites de micro blogging « commerciaux », à base de composants open source construits sur une infrastructure ouverte et décentralisée.
Je vous confie ce billet du blog Framasoft pour une bien meilleure description si vous voulez en savoir plus, car ce n’est pas directement le sujet ici.
Le code est libre, les données le sont un peu moins
La nature distribuée de l’infrastructure constituant le reseau mastodon fait que les données sont éparpillées sur divers serveurs, donc partout sur la planète et avec un administrateur et un hébergeur différent à chaque fois.
Voyons le bon côté des choses en matière de libertés : difficile de censurer ou de faire fermer un tel réseau. Plus d’autorité centrale, pas de de siège social dans la silicon valey qu’elle soit americaine, russe ou chinoise (à chacun ses reseaux sociaux et ses règles du jeu).
De plus côté utilisateur la visibilité des messages et le contrôle du contenu affiché à été plutôt bien pensée par l’auteur.
Ensuite ça se complique un peu… L’intégrité, et j’ajouterai aussi la neutralité du trio administrateur-hébergeur-operateur est critique. Il est commun de considérer que « big brother » vous observe sur les réseaux sociaux majeurs.
Mais soyons réaliste, big brother, c’est l’automate qui lit, enfin qui parse vos messages, fait du big data pour se rémunérer et offrir un service en apparence gratuit. Jusqu’à présent, beaucoup s’en acomodent n’est-ce pas ?
Dans le cas d’un serveur mastodon, on est généralement face à une instance administrée bénévolement, avec un panorama de tout ce qui se fait en matière d’hébergement.
C’est bien, très bien même, et je salue le temps et les moyens que les administrateurs y consacrent. D’autant que c’est un peu délicat pour la montée en charge quand le succès arrive par surprise.
Du coup la notion de confidentialité des messages (« toot », ou en français « pouet ») est celle qui correspond à la sensibilité de l’administrateur local, ou aux moyens investis dans l’administration/hébergement/sécurité. Idem pour la sécurité intrinsèque des développements, et la disponibilité du service. L’emploi de chiffrement est prévu (communications, basée de données, webservices), mais pas obligatoire.
Le recours au stockage cloud d’Amazon S3 est recommandé, à moins de vouloir gérer soi même la pérennité des données… Même chose pour l’envoi des e-mails aux abonnés. C’est un peu déroutant tout ça, ce réseau social vise à éviter les réseaux commerciaux, tout en conseillant aux administrateurs un stockage et une messagerie dans le cloud commercial ? J’imagine que c’est pour faciliter les choses, mais heureusement les administrateurs restent plutôt concentrés sur les ressources dont ils disposent localement… Et oui, S3 ce n’est pas gratuit.
Au passage, merci pour la transparence avec le up/down et taux de disponibilité des instances visibles ici https://instances.mastodon.xyz.
Dura lex, sed lex
Pour le moment, la réglementation en matière de protection des données, le droit à l’oubli, la CNIL, la portabilié… C’est un peu le désert. Comme dans tout bon concept lancé avec les méthodes d’ingénierie logicielle à la mode, on se concentre sur ce qui fait le succès, les contraintes et le reste on verra après. En général une fois arrivé à maturité, ça s’améliore, et il y à déjà pas mal de questions et requêtes qui remontent de la communauté.
En fait je me demande un peu si tous les administrateurs d’instances sont bien conscient des responsabilités (au moins morales) associées à ce réseau social. Car c’est bien à eux que sont déléguées ces contraintes et ces risques.
Autre point, techniquement il n’est pas prévu, donc pas possible simplement d’effacer soi même un compte utilisateur ou ses données.
Espérons que l’ordre 109 sera bientôt exécuté pour y remédier.
La nature même du réseau maillé d’instances sous une autorité indépendante ne facilite pas la tache : effacer en local, ok c’est un minimum, et envoyer une commande d’effacement à distance sur les centaines d’autres instances ? Il faudrait un mécanisme de relations d’approbation, une administration fédérale… Entre entités étrangères, c’est un challenge intéressant, ou plutôt un non sens.
Ce type de difficulté ne peux se résoudre que si c’est l’utilisateur et lui seul qui contrôle son compte et ses données. Chiffrement, PKI, blockchain… Il y a des pistes, mais ce n’est pas facile à implémenter dans un réseau social qui se met à jour, diffuse et synchronise en temps réel.
Donc en attendant, ce qui est publié est conservé, fossilisé dans les strates d’une infrastructure décentralisée. L’utilisateur lui aussi participe à ce phénomène à chaque changement d’instance. Ce qui ferait le bonheur d’un archéologue numérique.
Peut-on vraiment le reprocher ? Quand c’est publié sur internet…
L’identité n’est pas un concept fixe
Là aussi de part la conception distribuée de mastodon, l’unicité d’un compte, et donc l’identité d’un utilisateur n’est vraie que localement au sein d’une instance.
Il n’y a pas de solution native pour authentifier un compte (comme les comptes officiels, validés sur les réseaux sociaux majeurs).
Donc soit vous bricolez (un tweet pour confirmer un toot, un référencement croisé entre réseaux sociaux ou site web), soit vous créez votre propre instance (mauvaise réponse à une bonne question). Autre piste : https://keybase.io.
Au final
Un réseau social et les données de centaines de milliers d’utilisateurs, c’est compliqué. Surprenant ? Non pas vraiment puisque ça fait partie du jeu. Simplement mastodon propose un autre mode de fonctionnement, alternatif, de peu comme l’internet à ses débuts pour ceux qui l’ont connu avant les GAFAs.
A ce stade rien n’est vraiment garanti, c’est une somme de bonnes volontés plus un soupçon d’idéalisme qui le font fonctionner, pourvu que ça dure.
Enfin à lui seul le principe même de mastodon est une invitation à l’essayer… Vous avez toute liberté sur ce réseau, y compris ne de pas le rejoindre, c’est bien ça l’essentiel.
Voilà c’est toot: https://mamot.fr/@mathieu_lubrano
Mathieu Lubrano / Blog 