Blog.Iglou.eu

/ Home / 

Avoir un profil certifié sur Mastodon

🎤 Tu Vas Au Mastodon ?

Mon pote est mort de Musk
D’toute façon y m’gonflait
Voulait jamais d’la liberté
Y savait que r’vendre des données
Et ses utilisateurs un peu con

Alors j’l’ai enterré
Pi j’suis allé poueter
Avec des potes libérés
Dans une instance pas du tout privée
Et j’ai rien regretté
Mais alors rien du tout !

Image de presentation
Crédit : Christopher Mineses/Mashable – Mastodon

🧚‍♀️ L’écrasant poids de la liberté 🎱

λ Rise and shine Mr.Mastodon

Si vous arrivez sur ce post, c’est que, logiquement, vous connaissez déjà Mastodon. Donc pas besoin d’en expliquer le fonctionnement ou de tomber dans un débat sur la propriété des données, le logiciel libre, etc … Et encore, j’utilise le mot débat, mais le mot monologue serait plus approprié.

En gros Mastodon c’est cool, Fediverse est une tuerie et plus particulièrement ActivityPub qui est clairement le futur ! 😍

Entre nous, je ne crois pas réellement à la mort de Twitter. Mais à un engouement temporaire pour une alternative. Le fait que cette alternative soit décentralisée et issue du logiciel libre, me fait penser que l’engouement sera d’une courte durée en faveur de TwitterReborn ou un nouveau service propriétaire.

🪪 Pourquoi avoir un profil certifié ?

Il y a deux types d’attaques auquel un utilisateur de Mastodon peut être confronté et qui sont en rapport avec la certification de profil. Dans le milieu de la programmation, elles portent le nom de Dependency Confusion Attack et Typosquatting. En gros, ces attaques consistent à usurper l’identité d’une dépendance (ici un utilisateur) en usurpant son nom. Ce qui créer une confusion.

Possible sur Mastodon ?

L’une des plus grandes forces de Mastodon est son système de fédération de contenue, chaque branche est indépendante l’une de l’autre. C’est aussi son principal défaut pour usurper une identité.

Imaginons :

Cela ouvre un éventail de vecteurs d’attaques relativement important. Il est clair qu’il peut etre utilisé pour des campagnes de phishing, de spam, etc … Il est possible de vérifier la date de création du compte, mais cela ne garantit pas que le compte est celui de la personne en question.

📝 Avoir un profil certifié ?

Pour pallier à ce problème sans toute fois le résoudre totalement, Mastodon dispose d’un système de certification de lien. Cela permet de vérifier que le lien entre un utilisateur et un domaine est bien celui de l’utilisateur.

Si l’on a le choix entre plusieurs personnes qui se nomment @Mediapart, comment identifier le compte officiel ? Mediapart a forcément les droits sur son site mediapart.fr, ce qui lui permettrait d’afficher sur son profil que le lien vers son site lui appartient effectivement. Ainsi, nous pouvons savoir que le compte est bien l’officiel de Mediapart.

Contrairement aux grands groupes qui se “permettent” de réclamer des papiers d’identité et/ou de l’argent, les instances Mastodon ne peuvent pas le faire. Cela requerraient des moyens financier et humains, ainsi qu’une morale douteuse. Il est fort probable que de nouvelles procédures de “certification” voient bientot le jour.

Quel type de modification ?

Mastodon vérifie la légitimité de la cible en cherchant sur la page un “lien” de type rel="me". Il propose de mettre en place un <a>, mais il est aussi possible, de l’ajouter sous forme de balise link dans le header. J’ai personnellement choisi cette dernière.

Voir le bas de page pour des tutoriels, ajouter le lien sur votre site internet ou votre header.

Ajouter le lien sur votre profil :

Indication visuelle du site mastodon
Modifier le profil

Indication visuelle du site mastodon
Métadonnées du profil

Indication visuelle du site mastodon
Mon profil

Une fois fait, Mastodon va vérifier automatiquement que le lien vous appartient. Si c’est le cas, le lien sera affiché en vert sur votre profil.

À plus dans l’bus