Fédivers

Dans un article précédent, je faisais un premier point sur les enjeux du fédiverse pour les enquêteurs. Aujourd’hui, je vous propose quelques éclairages sur le fonctionnement de ces plateformes pour l’utilisateur qui cherche à faire de la veille sur ces « nouveaux » réseaux sociaux ou en comprendre le fonctionnement.

Choix du serveur (ou instance)

La question pour laquelle beaucoup d’utilisateurs semblent achopper est celle du choix du serveur, qui en réalité est une richesse: quel que soit le serveur qu’on choisit parmi ceux qui sont intégrés dans le fédiverse (et donc qui utilisent le protocole ActivityPub), ils sont interconnectés et permettent d’interagir avec tous les autres. Dans le même esprit, vous choisissiez votre prestataire de courrier électronique soit chez votre fournisseur d’accès ou parmi des milliers de fournisseurs disponibles en ligne et vous pouvez échanger des courriels avec tout le monde.

Ensuite ces différents serveurs ont des spécificités: le logiciel utilisé et la communauté qu’ils regroupent.

Type de serveur

Le fédiverse regroupe différents types de serveurs qui ont chacun des spécificités, tous reposant sur le concept de micro-blogging:

microblogging simple / réseau social : mastodon, pleroma, misskey, firefish, friendica, hometown (pour des groupes plus privés), akkoma ;
blogging classique (longs articles) : wordpress, micro.blog, writefreely, plume ;
images : pixelfed ;
vidéos : peertube ;
agrégateur de liens et forum : lemmy, kbin ;
lecture de livres : bookwyrm ;
événements / meetups : mobilizon.

Si on veut commencer, le plus simple est indéniablement de choisir un serveur mastodon, mais n’ayez pas peur de vous lancer sur l’un des autres.

Communauté

Ensuite, en fonction du type de logiciel, on peut souhaiter rejoindre une communauté dont on se sent proche. Dans le champ de la cybersécurité, les services suivants sont disponibles [n’hésitez pas à m’en signaler d’autres] :

infosec.exchange (mastodon) ; infosec.town (firefish) ; meetups.infosec.exchange (mobilizon); infosec.pub (lemmy), administrés par Jerry Bell
cyberplace.social (mastodon), administré par Kevin Beaumont
ioc.exchange (mastodon), administré par « IOC Seb »
riin.fr, communauté de la réponse à incidents et de l’investigation numérique francophone, serveur mastodon de l’association CECyF organisatrice de la conférence CoRIIN et administré par moi-même

Parmi mes lecteurs, certains pourront être intéressés par la communauté scientifique francophone avec le serveur sciences.re, administré par Rémy Gumblatt.

En pratique, outre le fait de savoir qui administre son serveur, donc une démarche de proximité ou de confiance, être sur le serveur d’une communauté permet de bénéficier de façon naturelle d’un effet de groupe, au travers de la visibilité sur l’ensemble des comptes auxquels sont abonnés les utilisateurs de votre serveur. Vous pouvez retrouver un exemple sur le serveur réponse à incidents riin.fr en suivant ce lien (quand on est sur le site, menu Fil public global).

Enfin, tous les logiciels évoqués ci-dessus étant disponibles sous forme de logiciel libre, donc il vous est possible d’installer votre propre instance, pour héberger votre propre communauté au sein du fédiverse.

Mais BlueSky et Threads ce n’est pas la même chose ?

Non, pas en l’état. Quelques éléments rapides sur les alternatives privées émergentes: Threads de Meta (Facebook) qui promet d’être relié au fédiverse « bientôt » n’est actuellement pas disponible en Europe (pour des questions juridiques) et Bluesky est uniquement disponible sur invitation et surtout n’est pas compatible avec ActivityPub et donc le fédiverse, mais utilise un autre protocole (ATProtocol). Tumblr avait annoncé il y a quelques mois vouloir rejoindre le fédiverse et le protocole ActivityPub, ce n’est pas encore le cas non plus.

Identité sur le fédivers

Son identité sur le fédivers ressemble à celle que vous connaissez pour le courrier électronique, ou lorsque vous donnez l’URL vers un profil sur un réseau social traditionnel. Il est donc représenté de deux façons: @pseudo@serveur.social ou https://serveur.social/@pseudo. Le choix de son pseudonyme est important parce qu’il doit être unique sur chaque instance (mais plusieurs comptes peuvent utiliser le même pseudonyme sur des instances différentes), mais ce qui est important à comprendre c’est que cette version courte sera souvent la seule affichée dans les messages publiés quand vous êtes cité (avec un lien vers le profil complet).

L’autre partie de son identité est tout aussi classique: le nom public, que l’on peut changer autant de fois qu’on le souhaite, contrairement au pseudonyme, ainsi que sa biographie ou son avatar. Il est recommandé de modifier très vite ces différentes informations pour améliorer votre visibilité et vos interactions.

Transférer un compte

Le protocole ActivityPub, notamment tel qu’il est implémenté avec mastodon, permet de transférer très facilement son compte vers une autre instance.

Pour ce faire, une fois le compte créé sur la nouvelle instance, on configure en alias le premier compte (pour autoriser les données qui vont arriver en entrée), puis on initie le transfert depuis son premier compte. Le premier compte ne sera alors plus actif pour publier, conservera les anciens messages que vous avez publiés, et comportera un lien automatique vers votre nouveau compte.

Les utilisateurs qui vous suivent (vos « followers »), sont alors automatiquement transférés vers la nouvelle instance. Les utilisateurs que vous suivez en revanche doivent être exportés depuis l’ancien compte et réimportés dans le nouveau compte.

[Edit 17/11/2023 20:22] Petite spécificité du fédiverse, il n’est pas possible de changer son pseudonyme. Aussi, la seule solution serait alors de transférer son compte vers le nouveau pseudonyme.

Utiliser plusieurs comptes

Il y a différentes raisons d’utiliser plusieurs comptes dans le fédiverse :

tester simplement différentes plateformes ;
séparer ses usages personnels et professionnels ;
avoir une visibilité plus fine sur différentes communautés, notamment pour faire de la veille.

Les logiciels clients (sur votre téléphone mobile ou sur votre ordinateur) permettent en général de gérer une multiplicité de comptes, y compris plusieurs comptes sur le même serveur. Si vous voulez faire de la veille avec une vision par colonnes, plusieurs logiciels existent dont Sengi et Fedistar.

Construire sa liste de lecture

Au fur et à mesure de votre exploration, vous allez vouloir suivre des personnes. Si le compte est inconnu de votre instance (parce qu’il se trouve sur une instance externe), vous pouvez toujours copier-coller l’identifiant complet du compte ou son URL dans la barre de recherches et une fois qu’il s’affiche, cliquer sur le bouton de suivi.

Récupérer les comptes sur le fédiverse de vos contacts Twitter

Si vous le souhaitez, vous pouvez rajouter votre adresse fédiverse (soit sous forme d’URL, soit sous forme d’adresse @pseudo@serveur.social), afin de permettre à vos anciens contacts de vous retrouver facilement, qu’il s’agisse d’un test, d’une diversification de vos réseaux sociaux ou d’une migration définitive.

Plusieurs services permettent de récupérer les comptes du fédiverse qui sont publiés sur les profils twitter de vos contacts. Ils sont ensuite disponibles sous forme de fichier CSV que vous pouvez facilement importer dans votre compte (rubrique Import/Export des paramètres).

Fedifinder (seul ce site fonctionne aujourd’hui)
Movetodon (bloqué par X/Twitter, donc ne fonctionne plus)

Enrichir sa liste d’abonnements

Comme expliqué plus haut, si vous êtes connecté sur l’instance d’une communauté particulière, vous pouvez facilement accéder au fil de tous les messages publics vus par votre communauté. En réalité, même si vous n’êtes pas abonnés de cette instance, vous pouvez toujours visiter ce fil public (comme ici pour le serveur RI&IN).

De même, vous pouvez utiliser la fonction d’exploration (#Explorer) qui vous propose les messages, les comptes, les mots clés ou les sujets d’actualité populaires sur une instance.

S’abonner à un mot clé

Une des spécificités du protocole ActivityPub est qu’il vous permet d’être abonné à un mot clé (commençant par un caractère croisillon comme #fedivers). Ainsi, pour suivre l’actualité d’une conférence #Botconf, #CoRIIN, vous pouvez être directement abonné au mot-clé correspondant. Les messages que « voit passer » votre instance (parce qu’un des utilisateurs de l’instance est abonné à la personne qui publie ou rediffuse un message) et qui contiennent ce mot-clé s’afficheront alors dans votre fil d’activités principal, sans que vous ayez besoin de suivre tous les utilisateurs susceptibles de publier ces messages.

Suivre une communauté sur un serveur Lemmy [Edit 18/11/2023 10:00]

Lemmy implémente une fonction de groupe du protocole ActivityPub qui permet de suivre toutes les publications d’un groupe de personnes. Pour s’y abonner, c’est le même principe que pour suivre un compte. Ainsi sur le serveur Lemmy infosec.pub, on retrouve la communauté https://infosec.pub/c/cybersecurity. On peut la suivre directement depuis son compte Mastodon, en la cherchant dans la barre de recherche sur l’interface Mastodon.

Comment se passe la modération ?

Pour finir cet exposé rapide, vous vous posez peut-être des questions sur la modération des réseaux sociaux du fédiverse. L’un des intérêts d’une multitude d’instances est que la modération sur chacune d’entre elles est beaucoup plus légère pour leurs administrateurs qu’un grand réseau social monolithique. L’autre spécificité, est qu’outre le respect de la législation, chaque serveur décide de ses propres règles spécifiques. Par exemple, ils peuvent souhaiter mettre l’accent sur la protection des personnes vulnérables ou des minorités (un engagement à être intraitable sur les signalements reçus pour harcèlement), ou encore interdire certains types de contenus – notamment ceux qui ne correspondent pas à la thématique de l’instance pour en conserver la cohérence.

Ainsi, chaque serveur affiche ses règles sur une page dédiée accessible à tous et notifiée au moment de l’inscription. Le processus de signalement est classique, avec un formulaire accessible depuis chaque message ou profil. Pour l’administrateur ou les personnes à qui la modération est déléguée, outre des avertissements aux comptes concernés, il est possible de bloquer l’intégralité d’une instance, c’est-à-dire d’empêcher la reprise en local des messages de cette instance. Cela permet de gérer la question des instances qui seraient mal modérées par leurs propriétaires. Les règles peuvent être plus fines, par exemple en forçant l’affichage systématique de tous les médias de l’instance ciblée avec un avertissement de contenu (utile si on ne souhaite pas simplement relayer des contenus potentiellement violents ou pornographiques).

Dans Mastodon, il est aussi possible d’appliquer cette modération au niveau de l’utilisateur individuel, y compris le blocage d’un serveur, en plus des règles imposées par son serveur. Marcus Hutchins a publié un article intéressant (en anglais) sur le sujet de la modération et de son passage à l’échelle.

Il existe encore de nombreuses questions sur l’amélioration des outils de modération et pour les grosses ou petites communautés, il sera intéressant que se développent des bases documentaires et des outils dédiés pour leur permettre de se conformer aux lois locales et en Europe s’aligner avec le DSA (digital services act), même si les petites instances n’y sont pas soumises.

J’espère que cet article aidera un bon nombre d’entre vous à sauter le pas et à tester ces nouveaux réseaux sociaux, où vous pouvez me suivre sur @ericfreyss@mastodon.social.

Ce court billet vise à explorer les premiers enjeux que l’on peut évoquer pour les réseaux sociaux émergents (même s’ils existent depuis quelques années en réalité) qui constituent le fédiverse en matière d’investigation numérique. Beaucoup se sont déjà exprimés sur les questions de régulation des contenus, je n’y reviendrai pas, même si les ressorts sont similaires.

Quelques rappels sur le fédiverse.

Le fédiverse est une fédération d’espaces de publication (ou réseaux sociaux) reposant généralement sur des logiciels libres (exclusivement pour l’instant) et utilisant un protocole permettant l’interopérabilité par le rediffusion des activités entre les différentes plateformes. Le protocole majoritairement utilisé aujourd’hui est ActivityPub, officiellement publié comme recommandation du W3C le 23 janvier 2018.

Mastodon est le logiciel le plus couramment utilisé, mais il en existe d’autres du même type comme Pleroma. Ce protocole ActivityPub permet aussi de faire la passerelle vers d’autres modèles de publication d’informations que les microblogs comme la publication d’images (Pixelfed), de vidéos (Peertube qui repose sur une distribution pair à pair des contenus) ou d’événements (Mobilizon).

Applications et protocoles du Fédiverse

En pratique, on peut donc publier sur une plateforme des contenus qui seront accessibles dans les autres types d’applications (le rendu s’adaptera à l’application utilisée et bien entendu le client utilisé pour accéder au serveur et visualiser l’information), mais aussi suivre des comptes sur l’ensemble du Fédiverse. Par exemple, le présent blog WordPress est configuré avec une extension ActivityPub qui permet de le suivre sur l’adresse @ericfreyss.

Au-delà de ce premier niveau de fédération, chaque logiciel ne tourne pas sur un seul serveur, mais potentiellement sur autant de serveurs que d’initiatives individuelles qui le souhaitent. Ainsi utilisant Mastodon, on retrouve:

les serveurs hébergés par l’entreprise qui a développé originellement ce logiciel (Mastodon gGmbH en Allemagne, soutenu par des dons) avec plusieurs centaines de milliers d’utilisateurs (https://mastodon.social)
ou des instances plus petites locales (https://mastodon.top, https://piaille.fr en France)
au service d’une communauté (https://mamot.fr de la Quadrature du Net, https://mastodon.lol pour la communauté LGBT)
pour une collectivité publique (la Commission européenne dispose d’un serveur Mastodon https://social.network.europa.eu et d’un serveur de vidéos Peertube https://tube.network.europa.eu/)
ou encore par affinité thématique (https://social.sciences.re/ dédié au monde académique ou https://mapstodon.space/ cartographie et spatial, https://infosec.exchange/ à la cybersécurité).

Plusieurs annuaires de serveurs sont disponibles: https://joinmastodon.org/fr/servers et https://instances.social/.

Enfin, dernier aspect qui me parait intéressant que j’évoquerai dans cette introduction: la multiplicité des clients. Même si sur Twitter on a pu connaître plusieurs clients, sur Mastodon en particulier c’est la règle. Le mode d’accès classique reste d’abord le site Web – qui peut être installé comme application Chrome/Chromium par exemple sur son PC ou son téléphone/tablette. Mais il existe aussi de nombreux clients, avec souvent la possibilité de se connecter à plusieurs comptes en même temps. J’utilise pour ma part Tusky sur Android et Sengi sur mon PC.

Enfin, plusieurs services suivent l’évolution des statistiques d’utilisation de ces plateformes. On peut citer https://fediverse.observer/stats, https://fediverse.party/, et le compte @mastodonusercount@bitcoinhackers.org qui publie toutes les heures une mise à jour:

Statistiques Mastodon (utilisateurs, serveurs)

Premiers points d’intérêt pour l’investigation numérique.

Bien entendu, il est probable que nous soyons amenés à conduire de plus en plus d’investigation numérique sur le fediverse, il y en a sûrement déjà un certain nombre malgré le relatif faible nombre d’utilisateurs actuels.

Tout d’abord, un petit détail technique. On a compris qu’il peut y avoir de nombreux serveurs et donc parler de Mastodon ou de Fédiverse n’amènera pas les enquêteurs (ou les spécialistes en collecte d’informations en source ouverte), vers une seule société, mais bien vers une multitude d’acteurs. Mais c’est évidemment la même chose pour tous les services classiques du Web décentralisé que l’on connaît. Le détail technique que je souhaitais évoquer est que l’adresse d’un compte du type @nomutilisateur@serveur.tld ne donne pas forcément le nom complet du serveur sur lequel le compte est hébergé. Ainsi pour le serveur académique francophone https://social.sciences.re/, les adresses sont de la forme @utilisateur@sciences.re. Astuce: pour accéder au serveur facilement, on peut utiliser le client Web Mastodon classique et d’un clic droit sur le menu contextuel on choisira l’option « Ouvrir la page d’origine »:

Dans la plupart des cas, on retrouvera une page d’information sur le serveur (« A propos » …/about/) qui décrit les règles de fonctionnement du serveur, donne des informations sur le/les gestionnaires, le nombre d’utilisateurs. On ne trouve pas encore à ce stade d’information de contact pour les services d’enquête. Parfois, ce pourra être uniquement le serveur de publication d’une entreprise ou d’une famille.

Il est aussi important de comprendre que dans la très grande majorité des cas, les serveurs sont gérés par des bénévoles, y compris leur modération. En tout état de cause, de la même façon que les services d’enquête et la justice sont au côté des utilisateurs des grandes plateformes, nous devrons relever le défi des réseaux sociaux décentralisés et nous adapter à cette réalité, qu’elle devienne la norme ou ne reste qu’une niche. A suivre et au plaisir d’échanger avec vous sur @ericfreyss@mastodon.social !

Premiers pas sur le #fédiverse pour la communauté cyber / RI&IN