Une attaque de spam qui a frappé Mastodon, Misskey et d'autres applications, rivales de X, met en évidence la manière dont le Web social décentralisé, également connu sous le nom de fédivers, est ouvert aux abus. Ces derniers jours, des attaquants ont ciblé des serveurs Mastodon plus petits, profitant des journaux ouverts pour automatiser la création de comptes de spam. Eugen Rochko, fondateur et PDG de Mastodon a confirmé l'attaque dans une publication ce week-end, ajoutant que les administrateurs du serveur Mastodon devraient passer l'enregistrement en mode approbation et bloquer la suppression des fournisseurs de messagerie pour aider à lutter contre le problème.
Bien que ce ne soit pas la première attaque de spam à frapper fediverso, Rochko note que seuls les serveurs plus gros comme Mastodon.social avait déjà été attaqué. Étant donné que ce serveur est géré par la propre équipe de Mastodon, ils ont pu atténuer eux-mêmes ces attaques. Ce qui est différent cette fois-ci, c'est que les spammeurs ont ciblé des serveurs plus petits, voire abandonnés, qui proposaient une inscription ouverte, permettant aux acteurs malveillants de créer rapidement des comptes et de générer du spam.
Cette attaque particulière, qui a été entièrement automatisée lorsque les attaquants ont découvert qu'ils pouvaient créer des scripts de spam, a été causé par un litige entre deux parties sur Discord, où une partie tentait d'interdire le serveur Discord de l'autre partie, selon les rapports de Mastodon (plus de détails ici !). De nombreuses autres cibles des spammeurs Il ne s'agissait pas seulement de Mastodon : ils visaient aussi Clé manquée, une plateforme de blogs décentralisée open source qui utilise le protocole ActivityPub, comme Mastodon, Pixelfed, PeerTube et autres, permettant à ses utilisateurs d'interagir avec ceux d'autres plateformes sociales fédérées). Comme les origines du spam il semble que ce soit un forum japonais bon nombre des cibles se trouvaient également au Japon.
L'attaque de spam a mis en évidence l'une des faiblesses liées à la structure du fediverso. Mastodon est un logiciel open source que n'importe qui peut installer sur son propre serveur, établissant essentiellement sa propre instance ou nœud, qui se connecte à d'autres serveurs de médias sociaux fédérés, alimentés par le protocole ActivityPub.
Les petits serveurs de Mastodon étant souvent des projets de loisirs gérés par des passionnés, ils étaient vulnérables à ce type d'attaque. Si les administrateurs de serveurs ne prêtaient pas attention quotidiennement à leurs serveurs et ne proposaient pas de journaux ouverts, ils étaient probablement victimes de spam.
Ou en tant qu'administrateur de serveur, @Chris@mastodon.cosmicnation.co a commenté : « On a rappelé à certains administrateurs qu'ils disposaient d'une instance. Et nous avons également appris qu’il existe de NOMBREUSES instances abandonnées avec la porte ouverte à l’enregistrement sans approbation.
Ces derniers jours, le serveur administrateurs de serveur ils ont travaillé ensemble pour créer des listes d'instances abandonnées que les autres administrateurs qui pourraient servir de base à une liste de blocage pour protéger leurs propres utilisateurs contre les attaques de spam. De nombreux serveurs ont été simplement arrêtés parce que leurs administrateurs ont décidé qu'il serait plus facile d'attendre la fin de l'attaque ou d'abandonner complètement Mastodon.
L'application tierce populaire Mastodon Ivory, de Tapbots, a publié une mise à jour d'urgence qui comprenait un filtre personnalisé appelé « Spam potentiel » dans son onglet Filtre qui permettrait aux utilisateurs de faire taire les mentions de spam. Les utilisateurs concernés pouvaient activer ce filtre pour détecter la plupart des spams, mais ne pouvaient pas arrêter les notifications push de spam, a indiqué la société.
L'attaque semble s'atténuer. Technologue et chercheur Tim Chambers (@tchambers@indieweb.social) a noté qu'il commençait à avoir moins de 40 comptes spam à suspendre sur le serveur qu'il gère par exemple. Mastodon affirme que sur les serveurs actifs dotés d'une équipe de modération réactive, Mastodon dispose de plusieurs outils pour empêcher l'enregistrement automatisé des comptes, notamment le mode d'approbation, le CAPTCHA et divers outils de blocage, de sorte que l'attaquant a été traité très rapidement. Il a également noté que les attaques de spam diminuaient car les deux groupes de hackers avaient apparemment fait la paix.
Même si certains ont considéré l'expérience comme positive pour le réseau social et la diversité sociale en général, car cela révélait une faiblesse qui pouvait désormais être discutée et corrigée, d'autres étaient bouleversés par l'expérience et par l'absence de réponse de Rochko dans les premières heures de l'attaque.
« Cela gâche mon expérience avec Mastodon. Cela me donne envie d'arrêter et d'abandonner », a écrit un administrateur du serveur Mastodon.sam@urbanistas.social. "Et le silence persistant d'Eugen sur la question n'aide pas", ont-ils déclaré.
Renaud Chaput, directeur technique de Mastodon, a déclaré que l'attaque pousserait l'entreprise à améliorer ses logiciels.
« Pour le moment, il n'existe pas de bons outils intégrés pour gérer ce type de situation, car il s'agit d'une problématique complexe : les réseaux fédérés, ce n'est pas facile ! – mais nous avons beaucoup d’idées pour améliorer nos fonctions de combat contra spam et abus », a-t-il déclaré. « Nous y travaillerons au cours des prochains mois. Nous travaillons toujours à améliorer le logiciel (la dernière version a introduit la prise en charge facultative du captcha). Une autre mesure que nous avons prise aujourd'hui consiste à modifier la configuration des nouvelles instances afin qu'elles ne soient pas ouvertes par défaut, et nous avons ajouté une bannière pour rappeler aux administrateurs que les instances entièrement ouvertes doivent être activement modérées. Cela doit donc être une décision prudente de la part de l'équipe. administrateur. », a ajouté Chaput.
Depuis l’arrivée d’Instagram Threads, autre concurrent de Twitter/X qui envisage également de se fédérer via ActivityPub, l’usage de Mastodon est en baisse.
En octobre de l’année dernière, Mastodon comptait désormais environ 1,8 million d’utilisateurs actifs mensuels. Lorsque Threads a été lancé publiquement, ce nombre était tombé à 1,5 million. Depuis le lancement public de Bluesky ce mois-ci, un autre réseau social décentralisé basé sur un protocole différent (ce qui signifie qu'il ne fait pas partie du même fédiverse, du moins jusqu'à ce qu'un pont soit construit), l'utilisation de Mastodon avait en bas 1 million d'utilisateurs actifs mensuels.
L'utilisation de Mastodon reste là, selon la page d'accueil de l'entreprise. Le fediverse plus large, qui comprend Mastodon et d'autres applications, compte environ 2,9 millions d'utilisateurs actifs par mois. L'entrée de Threads dans cet espace éclipsera les autres serveurs Mastodon et pourrait apporter l'expertise technique de Meta dans des domaines tels que la prévention du spam, mais beaucoup craignent que le but ultime de Meta soit essentiellement de prendre le contrôle du fediverse en devenant le client par défaut que les utilisateurs choisissent et en utilisant leur des ressources importantes pour étendre l’adoption de l’application Meta.
