Réseaux sociaux – Investigation & transformation numériques

Un réseau social sur Internet c’est avant tout un moyen de garder le lien entre les personnes et d’échanger. C’est aussi un moyen pour développer des contacts et toucher un public plus large, c’est cela qu’exploitent ceux qui ont besoin de communiquer. C’est le cas notamment des services publics et bien évidemment des responsables politiques et des marques. Sur les réseaux publics commerciaux ce sont ces dernières qui financent classiquement le fonctionnement de ces réseaux, notamment par le biais de la publicité.

Évidemment la communication publique ne va pas sans dérives, qu’il s’agisse de diffusion de contenus illégaux ou menant à des contenus ou activités illégales (comme des liens vers des sites de hameçonnage), ou sans qu’elles soient explicitement illégales, des pratiques abusives qui peuvent nuire à la qualité des échanges, créer des tensions ou propager des informations erronées – volontairement ou non – ou pire, manipulatrices.

D’autres dérives sont nées des abus par les plateformes elles-mêmes dans leur exploitation des données des utilisateurs, directement ou indirectement – notamment au travers des capacités de ciblage qu’ils ont pu offrir aux annonceurs – et qui ont par exemple pu être utilisées pour tenter de manipuler l’opinion comme l’a révélé le scandale Cambridge Analytica (à ce sujet je recommande la lecture du livre Mindf*ck: Cambridge Analytica and the Plot to Break America par Christopher Wylie, un des lanceurs d’alerte les mieux placés pour en parler).

Un certain nombre d’événements récents ont beaucoup fait évoluer le paysage des réseaux sociaux

le développement des réseaux sociaux à consommation aléatoire tels que Tiktok ou Snapchat (leurs stratégies ont depuis été reprises par les autres réseaux commerciaux qui propulsent de plus en plus de contenus addictifs – courts et créant de l’engagement – dans les flux de lecture de leurs utilisateurs);
le rachat en 2022 de Twitter par Elon Musk (il a depuis renommé la société et son produit « X ») – sans compter la création quelques années auparavant de réseaux sociaux alternatifs qui voulaient répondre à la trop grande modération sur les plateformes telles que Twitter ou Facebook comme Gab, Parler ou Truth.social.
l’arrivée de nouveaux réseaux sociaux commerciaux reprenant le modèle de micro-blogging popularisé par Twitter: BlueSky et Threads (de la société Meta comme Facebook/Instagram/Whatsapp), mais cherchant à développer des modèles décentralisés, BlueSky avec son propre protocole (ATProto) et Threads en embrassant le protocole ActivityPub du fédivers (dont j’ai déjà parlé ici).

et des évolutions dans la régulation avec l’avènement du DSA et du DMA en Europe qui non seulement harmonisent la régulation des plateformes mais coordonnent l’action des différents pays européens dans cette régulation. La France était déjà bien engagée dans cette régulation depuis 2004 avec la Loi pour la confiance dans l’économie numérique (LCEN). On peut aussi citer parmi les événements marquants l’arrestation de Pavel Durov en France au mois d’août 2024 pour cause d’un fort manque de coopération avec les autorités judiciaires de nombreux pays – le réseau Telegram est une messagerie instantanée mais aussi beaucoup un réseau social au travers de ses fonctionnalités de groupes.

Il semble que nous ayons atteint les limites de l’auto-régulation

Pendant de nombreuses années, la régulation des médias sociaux c’est construite autour des concepts d’auto-régulation et de co-régulation. Les industriels en particulier ont défendu le premier modèle et ont beaucoup travaillé les concepts de « standards de communauté » (on pourra à ce sujet se référer à l’initiative Open Terms Archive qui en documente l’évolution) qui paraissaient nécessaires en particulier dans le pays de la liberté d’expression extrême qu’est les Etats-Unis, reproduisant les règles qui se sont mises en place petit à petit dans l’espace public, au sein des entreprises et dans les médias traditionnels en particulier.

Dans un contexte international, cette vision s’est heurtée à celle plus policée de l’Europe qui préfère souvent expliciter dans la loi les interdits, pour accompagner en particulier la protection des minorités ou des personnes victimes de discrimination – tout en retenant au passage les leçons de l’Histoire et réprimant comme en France l’apologie des crimes de guerre et contre l’Humanité. Le dialogue de co-régulation établi en Europe (entre les industriels, les Etats, mais aussi des représentants de la société civile) a permis d’aboutir à la conclusion qu’une législation à l’échelle du continent était nécessaire pour avoir un cadre commun de traitement, et c’est ce à quoi répond le DSA notamment. Au-delà de l’Europe, on peut aussi citer l’Appel de Christchurch qui vise à une échelle plus globale à prévoir des engagements forts contre l’apologie du terrorisme, sans prendre une forme légale contraignante à ce stade.

Ce texte impose notamment des obligations de transparence des plateformes sur leurs pratiques de modération des contenus, tout en leur imposant évidemment de répondre aux sollicitations du public et des autorités quant aux contenus illégaux – et non pas simplement interdits ou modérés dans les conditions générales d’utilisation de ces plateformes.

Mais très récemment, le ménage fait dans les équipes de modération de Twitter par Elon Musk, puis les annonces ces quinze derniers jours par Mark Zuckerberg laissent augurer un paysage beaucoup moins favorable au dialogue sur la régulation.

L’évolution de la situation chez Twitter a été beaucoup commentée ces deux dernières années et force est de constater que son trafic a fortement baissé. Mais analysons les points clés des déclarations du patron de Meta:

se débarrasser (en anglais, il utilise le terme « to get rid of ») des accords avec des services de fact-checking, et les remplacer par des notes de communauté dans le même style que sur X, d’abord aux USA puis dans le reste du monde.
déplacer la gouvernance de la régulation des contenus de la Californie vers le Texas, qui serait selon lui un Etat moins biaisé;
la simplification des règles de modération (en les limitant strictement à ce qui est illégal), l’assouplissement des modérations automatiques et l’introduction de nouvelles dispositions de gestion des suppressions de compte (la déclaration complète parle de reconnaissance faciale notamment)

Extrait de la déclaration de Mark Zuckerberg le 7 janvier 2025

Au passage, le texte reproduit sur le site Web ne reprend pas l’intégralité des déclarations faites dans la vidéo. Notamment le texte suivant:

Europe has an ever-increasing number of laws institutionalizing censorship and making it difficult to build anything innovative there.

Il fait ici référence aux textes évoqués plus haut. La Commission européenne a répondu assez fermement à cette déclaration, rappelant en particulier que ces textes ne font que réclamer la transparence et l’efficacité sur la régulation des contenus déjà illégaux en Europe et ne crée aucun type de nouvelle interdiction de contenu. Au passage, Mark Zuckerberg se contredit puisqu’il déclare vouloir limiter la modération aux contenus illégaux et quelques minutes plus tard critique les textes européens qui justement demandent de modérer ces contenus illégaux…

Un autre problème semble devoir être soulevé, si on regarde dans le détail, à savoir que les nouvelles règles ne seraient d’abord appliquées qu’aux Etats-Unis. En effet, Threads – le réseau concurrent à X de la société Meta – étant dorénavant interconnecté avec les milliers de serveurs du fédiverse, des contenus éventuellement illégaux seront diffusés largement au-delà du public américain.

Et cela d’autant plus que les nouvelles règles de modération ont été déjà mises en place dans la version américaine publiée par Meta et supprime de nombreuses protections contre les discours haineux.

Certaines associations de défense des libertés ont longtemps combattu les abus dans la modération mise en œuvre par les plateformes, en particulier Meta. L’Electronic frontier foundation reste très préoccupée par les dernières évolutions qui ne répondent pas aux enjeux et créent de nouveaux risques pour les personnes vulnérables.

Quel avenir pour la modération des réseaux sociaux ?

Même s’ils restent marginaux en volume, les réseaux sociaux déconcentrés sont de plus en plus répandus et le modèle a même été adopté par les grandes plateformes (Threads de Meta et en quelque sorte BlueSky nouvel entrant de taille financé par de gros investisseurs). Cette fragmentation des acteurs de toute taille va progressivement faire évoluer les réseaux sociaux vers un modèle très semblable à celui du Web en général ou du courrier électronique avec une grande variété d’acteurs responsables de l’administration des serveurs et de la modération.

Il est indispensable en particulier que les nouveaux entrants adoptent très vite des outils permettant à de petites équipes de jouer leur rôle de modérateurs dans de bonnes conditions. Il n’existe à ce jour qu’une seule initiative visant à fédérer les efforts dans ce sens, l’IFTAS. Celle-ci semble construite sur une vision américaine des enjeux, il me paraît nécessaire que les acteurs d’autres régions du monde – et donc en particulier Européens – s’investissent très vite dans ces réflexions, à la fois sur les objectifs et les outils. Renaud Chaput de l’équipe technique derrière Mastodon en parle par exemple ici.

Vous pouvez poursuivre la discussion sur @ericfreyss@mastodon.social.

Le CLUSIF présentait mercredi 13 janvier 2010 son panorama 2010 sur la cybercriminalité. Je n’étais pas sur la scène cette année, en effet nous avions invité Isabelle Ouellet de la Sûreté du Québec pour représenter les services d’enquête. A noter enfin les travaux présentés par François Paget sur une société Ukrainienne.

La présentation est disponible en téléchargement sur le site du Clusif et la vidéo le sera d’ici quelques jours.

Comme chaque année, il s’agit d’offrir un regard sur les événements de l’année passée en matière de cybercriminalité et de sécurité des systèmes d’information et d’envisager leur impact sur la France en particulier pour l’année ou les années à venir. L’ensemble des membres du groupe de travail ont alternativement pointé des faits d’actuailité de 2009 qui leur semblaient importants, en ont discuté, et ensuite un certain nombre d’entre nous ont été choisis pour les présenter. Le travail s’est donc enrichi cette année par l’apport de personnalités étrangères (notamment canadienne et roumaine) et par un rallongement de la présentation pour intégrer les risques numériques.

En italique mes commentaires personnels éventuels.

Sécurité du GSM: Alain THIVILLON (Consultant chez HSC) a présenté les risques autour de la confidentialité des communications GSM qui ont été dévoilés cette année. Une raison de plus de s’intéresser en 2010 aux risques inhérents aux terminaux mobiles (systèmes d’exploitation plus ouverts, logiciels malveillants, connexion permanente…).
Services généraux sur IP: sécurité périmétrique ou incendie, réseaux de commande industrielle, gestion de l’alimentation électrique, etc., l’ensemble des services généraux basculent dans le monde IP et il devient de plus en plus criant que la sécurité de ces services contre les atteintes classiquement rencontrées dans les réseaux IP n’est pas prise en compte. La présentation reprend des cas concrets d’atteintes à des systèmes de vidéo surveillance notamment.
Câbles et ruptures de service: Pascal LOINTIER (Président CLUSIF) reprend alors la parole pour rappeler les différents incidents survenus en 2009 sur des infrastructures de réseau ou d’énergie transcontinentales ou locales. Il conclut sur la nécessité de toujours prévoir une double adduction sur les sites critiques.
Cloud computing: Les offres d’hébergement mutualisé « dans le nuage » ont de plus en plus de succès, qu’il s’agisse de gestion complète de son courrier électronique, de son back office ou de sa présence commerciale. Le but de cette évocation est de rappeler qu’il s’agira toujours d’hébergement physique avec les risques inhérents et qu’il faudra toujours y regarder de près quant au lieu de stockage des données (risques juridiques et sécuritaires) ou aux garanties de reprise d’activité: la délégation de la sécurité ne veut pas dire sécurité absolue.
ANSSI – retour d’expérience sur une attaque en déni de service: après avoir présenté la nouvelle agence créée en juillet 2009, qu’il a rejointe à ce moment-là pour diriger le CERTA, Franck VEYSSET est revenu sur les enseignements de la gestion d’une attaque en déni de service contre un serveur Web de l’administration. L’impact sur l’ensemble des services de messagerie ou même d’accès Internet a été immédiat et la réponse a été tant technique que judiciaire. Ainsi, des règles de routage (blackholing) ont permis au bout de quelques heures de diminuer l’impact et l’enquête judiciaire a conduit dans les jours suivants à la saisie d’ordinateurs qui servaient en France – à leur insu – à relayer cette attaque. Virut semblerait être le logiciel malveillant exploité pour exercer cette attaque.
Réseaux sociaux, menaces opportunités et convergence: Yann LE BEL (SNCF). On ne peut plus en douter aujourd’hui, au-delà de leur usage classique, les réseaux sociaux sont le lieu de tous les phénomènes sécuritaires des années à venir (gestion des conflits sociaux, communication des groupes criminels, rencontre avec les victimes, atteinte à l’image ou à la vie privée, diffusion de logiciels malveillants et autres méthodes d’escroquerie, etc.). 2010 devrait confirmer cette tendance et on peut parier sur une explosion de l’actualité sécuritaire autour des réseaux sociaux.
Carte bancaire: Fabien DAVID (Telindus), la carte bancaire est l’objet de toutes les attentions en 2009. La carte à puce EMV n’est toujours pas universelle, le modèle de sécurité PCI est discuté, les malwares apparaissent sur les guichets automatiques de banque et certains schémas ne résistent pas au passage à l’an 2010… Beaucoup de travail en vue pour les spécialistes.
Web 2.0, le 5ème pouvoir: Isabelle OUELLET (Sûreté du Québec) questionne l’impact du WEB 2.0 sur la société et l’émergence d’un cinquième pouvoir qui vient remettre en cause le pouvoir des médias, des gouvernements, et notamment des services de police. Sont cités notamment des cas de justice populaire numérique.

Une entreprise criminelle au microscope

Petite particularité pour cette année avec la présentation de François PAGET (McAFEE Labs) des résultats de ses recherches (avec un autre expert Dirk KOLLBERG) sur une entreprise ukrainienne aux activités manifestement douteuses et parfois illégales.

I[…] – et les sociétés qui lui sont directement liées (I[…], V[…], W[…], K[…], …) – produit notamment des faux antivirus et autres spywares ou scarewares (voir par exemple cet article sur Wikipédia). Pendant plusieurs mois ces experts ont amassé des dizaines de gigaoctets de documents sur les activités de cette société et exploré sa présence sur les réseaux sociaux.

Les enseignements: cette société a pignon sur rue, est organisée comme n’importe quelle SSII, recrute dans les grandes universités ukrainiennes (et certains de ses anciens employés sont maintenant dans de grands groupes internationaux) et elle réalise un chiffre d’affaires ahurissant (180 millions de dollars en un an). Elle dispose même d’un support technique pour ses clients malheureux, destiné à les arnaquer dans la durée !

Affaire à suivre donc !

Enquête sinistralité

Dans l’actualité du CLUSIF, le lancement de son enquête 2010 sur la sinistralité. L’enquête se déroulera au cours des six semaines à venir auprès des grandes entreprises et des administrations. A partir de mars, un groupe de travail étudiera les résultats de cette enquête.