« C’est l’histoire d’une attaque de spam, qui traverse trois réseaux décentralisés. Et bam, ça fait des chocapics… ou presque ! »
On pourrait croire que les réseaux sociaux décentralisés, tels que Mastodon, Nostr et Bluesky, étaient à l’abri des vagues de spams envahissants. Eh bien, que nenni ! Un récent assaut de spam sur Bluesky nous montre que même ces bastions peuvent être vulnérables. Imaginez, des tonnes de messages « souvenez-vous de toujours voter Trump » envahissant Bluesky. Mais ce n’est que le début de l’histoire rocambolesque !
Avant d’arriver sur Bluesky, ces spams ont fait une petite randonnée numérique en passant par deux autres réseaux décentralisés : Mastodon et Nostr. Comment cela a-t-il été possible ? Grâce à des « ponts » ou « bridges » créés pour permettre l’interopérabilité entre ces réseaux. C’est astucieux, mais pas sans conséquences, comme vous pouvez le constater.
Le plus drôle, c’est que cet incident a été révélé bien après l’attaque elle-même, dans un rapport post-mortem par un scientifique des données. Selon le blog Conspirador Norteño, les comptes spammeurs ont été générés via le protocole Nostr. Et là, surprise ! Ce protocole est utilisé par les applications comme Damus et Nostur, et a même la bénédiction de Jack Dorsey, ex-patron de Twitter et maintenant fervent utilisateur de Nostr.
En résumé, même les réseaux anti-spam se font parfois prendre à leur propre jeu.
Ironiquement, même si Nostr, Mastodon et Bluesky sont tous décentralisés, ils ne se parlent pas directement. Mastodon utilise le protocole ActivityPub, adopté par des plateformes comme Instagram Threads et Flipboard. Pour que les messages circulent d’un réseau à l’autre, on crée des ponts. Et ces ponts sont souvent sujets à débat. Doivent-ils exister ? Comment doivent-ils être construits ? Voilà des questions qui divisent les utilisateurs.
Les détracteurs des ponts peuvent désormais pointer du doigt cet événement en disant « Vous voyez, c’est le problème des ponts ! ». Le botnet s’est servi intelligemment de ces passages pour inonder Bluesky de spams pendant plusieurs heures. D’autres ponts comme Momostr.pink et Bridgy Fed ont permis à ces messages de circuler d’un réseau à l’autre, laissant des « empreintes digitales » numériques derrière eux. En six heures seulement, le botnet a réussi à poster 470 messages à partir de 228 comptes.
Heureusement, Bluesky a rapidement pris des mesures pour contrer cette attaque et bloquer les comptes spammeurs. Cependant, l’événement soulève des questions plus larges sur la nature du « fediverse » ou réseaux sociaux décentralisés. Quand on rejoint Bluesky, accepte-t-on d’être exposé au contenu de Nostr ou Mastodon ? Cela reste à voir.
Alors, mesdames et messieurs, prêts à traverser les ponts numériques ? Mais attention aux trolls qui y rôdent !
Source : Techcrunch