Accueil » Actualité » Mastodon : vos mots de passe et messages privés ne le sont pas forcément

Mastodon : vos mots de passe et messages privés ne le sont pas forcément

Sur Mastodon, l’administrateur d’une Instance peut accéder à votre mot de passe et à vos messages privés. Chose qu’il est possible de faire sur n’importe quel autre serveur web. La polémique sur le réseau au mammouth a-t-elle ainsi vraiment lieu d’être ? Décryptage.

Image 1 : Mastodon : vos mots de passe et messages privés ne le sont pas forcément
© Mastodon

L’arrivée d’Elon Musk à la tête de Twitter a poussé certains utilisateurs à se frotter à Mastodon. Si ses fonctionnalités s’apparentent à celles de l’oiseau bleu, cette plateforme se distingue toutefois par son aspect décentralisé. Mastodon n’est pas chapeauté par une autorité unique. Il s’agit au contraire d’une constellation de serveurs différents nommés Instances, chacun ayant des règles, une communauté et une identité lui étant propres.

Pour commencer, il faut donc rejoindre l’une de ces fameuses Instances. Un choix qui doit être guidé par vos appétences avec les thématiques abordées dessus mais aussi par la confiance. Un impératif mis en exergue dernièrement par le développeur Mathis Hammel. Preuve à l’appui, il a souligné que l’administrateur d’une Instance peut tout à fait accéder à votre mot de passe et à vos messages privés.

D’ailleurs, Mastodon ne s’en cache pas dans son guide d’utilisation. « Vos administrateurs d’Instance peuvent lire tous vos messages, y compris les messages directs, comme sur tout autre grand réseau social », souligne Mastodon, renvoyant les internautes avides de confidentialité vers les messageries chiffrées de bout en bout.

Même combat pour les mots de passe. Dans un souci de prévention, Mathis Hammel a invité les internautes à rejoindre son Instance dont le code a été agrémenté d’une backdoor ; laquelle lui a permis de récupérer tous les mots de passe des cobayes.

Mastodon : comment l’admin peut intercepter votre mot de passe ?

Sollicitée par Tom’s Guide, l’association InterHop (qui promeut et développe des logiciels libres et open-sources pour la santé) nous explique la procédure à l’œuvre. Quand ils sont stockés en base de données, les mots de passe sont hachés. Autrement dit, ils sont stockés de manière chiffrée. Les données arrivent du navigateur vers le serveur en HTTPS (protocole qui sécurise les échanges serveur/client). Elles sont ensuite déchiffrées à l’arrivée et passent en clair. Avant d’être hachées à nouveau pour être stockées en base de données.

Il y a donc bien une étape lors de laquelle le mot de passe est en clair. Il est alors possible d’intégrer une fonction de type « imprime moi le mot de passe » pour que ce dernier soit imprimé avant d’être haché. Il ne faut pas avoir de compétences très élaborées en développement pour récupérer ce type de données.

Celui qui sait installer un serveur a généralement les armes pour intercepter des mots de passe de cette manière. Auprès de Tom’s Guide, Mathis Hammel confirme : « J’ai mis 4 heures à déployer mon instance Mastodon, et 10 minutes pour coder sans difficulté un outil qui me donnait le mot de passe de tout le monde sur cette Instance ».

Le risque de tomber sur un admin « qui nous en veut »

Qu’on se le dise, le côté omniscient de l’admin est loin d’être exclusif à Mastodon. On le retrouve sur Twitter et sur une flopée de services web. Mais contrairement à Twitter et consorts, les internautes peuvent avoir des liens étroits avec l’admin de leur Instance sur Mastodon (qui peut être leur patron, un ami, un collègue, une connaissance, etc). D’où le fait que l’accès aux mots de passe et aux messages privés y soit bien plus problématique, le risque d’abus étant décuplé.

« Le souci c’est la proximité entre les administrateurs et les utilisateurs, on a de bien plus grandes chances que sur Twitter de tomber sur un admin qui nous en veut, nous explique Mathis Hammel. En plus de ça, ils peuvent aussi bloquer une autre Instance qu’ils jugent contraire à leurs valeurs, ce qui a pour effet de rendre invisible tous les comptes hébergés sur l’Instance en question auprès de leurs utilisateurs ».

Se pose ainsi la problématique de la confiance. « Si on est sur une Instance Mastodon et que ce serveur est administré par quelqu’un qui nous veut du mal, il pourrait avoir accès à nos échanges et les divulguer. Chose qui est illégale mais techniquement possible. Il faut donc avoir confiance dans l’administrateur du serveur Mastodon que l’on rejoint”, souligne Adrien Parrot, président de l’association InterHop.

Comment reconnaître une Instance digne de confiance ?

Il n’y a évidemment pas de réponse absolue à cette question. Celle-ci doit d’ailleurs se poser pour tous les services numériques que nous utilisons constamment. Dans le cas de Mastodon, il faut creuser au cas par cas en mettant au jour les motivations qui guident chaque Instance et les personnes qui les détiennent. S’agit d’une association comme La Quadrature du Net qui défend les droits et les libertés sur Internet ? D’un collectif avec une sensibilité politique marquée ? D’un collègue que vous n’appréciez guère ?

Voici le conseil prodigué par Mathis Hammel : « Pour le choix de l’Instance, j’aurais tendance à conseiller d’héberger son propre serveur Mastodon (mais ça coûte plusieurs euros par mois et demande quelques connaissances techniques), ou alors de viser une très grande instance administrée par un collectif, sur laquelle il y aura moins de décisions prises à échelle individuelle. Comme sur Twitter paradoxalement… »