Pourquoi les réseaux sociaux fédérés comme Mastodon ont-ils été visés par des attaques de spam orchestrées via Discord pendant le week-end ? Organisée sur Discord et exécutée à l’aide d’applications Discord, cette campagne n’a pas encore vu le serveur responsable fermé par Discord, et les chefs de la communauté Mastodon peinent à joindre l’entreprise.
Les attaques ont été rigoureusement coordonnées par le biais de Discord, avec une distribution de logiciels facilitée sur la même plateforme, a expliqué Emelia Smith, ingénieure logiciel chevronnée dans la sphère du fediverse. Utilisant des bots intégrés directement à Discord, les attaquants n’ont même pas eu besoin de configurer des serveurs personnalisés pour lancer l’attaque. Mais quelle a été la réaction de Discord à ces allégations ?
Après avoir tenté de contacter Discord le 17 février, Smith n’a reçu que des réponses automatiques. Bien que Discord offre des moyens de signaler les utilisateurs ou les messages individuels, il semble manquer d’une procédure évidente pour reporter des serveurs entiers. Cette lacune a-t-elle facilité la perpétuation des attaques ?
« Les attaques non seulement nuisent aux administrateurs de serveur mais mettent en lumière les vulnérabilités de la fédération. »
L’absence de mesure contre le serveur responsable a engendré des frais d’infrastructure considérables pour les administrateurs des serveurs Mastodon, Misskey, entre autres, a écrit Smith dans un courriel adressé à Discord Trust & Safety. La non-action de Discord a-t-elle contribué à ces coûts imprévus ?
Même si les responsables de Discord affirment surveiller la situation, leur inaction face au serveur responsable des attaques de spam suscite des interrogations. Eugen Rochko, le fondateur de Mastodon, souligne la difficulté de modérer ces attaques ciblant surtout les petits serveurs avec des moyens de modération limités. Ces attaques, en visant des serveurs ouverts à l’enregistrement gratuit, n’augmentent-elles pas la vulnérabilité du réseau ?
Quelle est l’origine de ces attaques automatisées ? Une confrontation entre adolescents sur deux serveurs Discord japonais distincts, selon des rapports sur Mastodon. Cette dynamique sociale étrange, comparable à celle des intimidateurs de cours de récréation, n’est-elle pas révélatrice d’une utilisation détournée de la technologie ?
En effet, le pouvoir technologique que ces jeunes possèdent dépasse nettement leur maturité émotionnelle ou psychologique, analyse Smith. Et cette puissance technologique, misant sur l’âge avancé des « adolescents persistants avancés », n’est-elle pas sous-évaluée en termes de risque potentiel ? Kevin Beaumont rappelle une attaque similaire de 2016, orchestrée par des adolescents pour le profit dans Minecraft, qui avait gravement impacté l’internet global.
Mastodon, en tant que réseau social décentralisé, se trouve dans l’incapacité d’intervenir directement dans les problèmes de modération sur les serveurs qu’il ne possède pas, ce qui expose le fediverse à des vulnérabilités spécifiques. Avec un modèle centré sur le logiciel libre et une gestion non lucrative, comment Mastodon peut-il renforcer sa sécurité tout en préservant sa philosophie d’ouverture ?
Le développement du fediverse repose principalement sur le travail volontaire d’à peine 100 ingénieurs, souvent mal rémunérés ou pas du tout, tout en servant jusqu’à 7,4 millions d’utilisateurs actifs mensuels. Cette balance précaire entre développement bénévole et défis techniques croissants n’est-elle pas un risque pour l’avenir du réseau ?
Source : Techcrunch