Les utilisateurs de Twitter se tournent vers le système communautaire fédéré établi de longue date connu sous le nom de Mastodon alors que l’ère Musk apporte le chaos au réseau social du «site d’oiseaux». Mais comment sécuriser au mieux un compte Mastodon ?
Alors que de plus en plus d’employés quittent Twitter après Elon Musk a 48 heures pour quitter son ultimatumet les comptes précédemment bannis reviennent, le réseau social pourrait être confronté à ses semaines les plus périlleuses depuis son entrée dans la propriété privée. Pour de nombreux utilisateurs de Twitter, la voie d’évacuation vers un autre réseau passe par Mastodon. La communauté Twitter infosec établit déjà une présence saine de Mastodon, mais de nombreux utilisateurs non-infosec demandent à quel point le réseau communautaire fédéré est sécurisé.
Mastodon est-il un réseau social sécurisé ?
La première erreur que font les personnes qui migrent vers Mastodon depuis Twitter est de s’attendre à ce qu’il s’agisse d’un remplacement similaire. Ce n’est pas le cas, et c’est tant mieux pour ça. Cet article n’est pas un guide de ce que Mastodon est et n’est pas ; il y en a déjà beaucoup. Regarde ça Tutoriel filaire pour savoir comment démarrer sur Mastodon et, bien sûr, le guide d’aide officiel de Mastodon.
OK, donc ce que cet article va couvrir, c’est comment sécuriser au mieux votre nouveau compte Mastodon. Il s’agit d’un guide de configuration en toute sécurité, pas autre chose. Des questions subsistent sur les problèmes de sécurité plus larges, en particulier sur les vulnérabilités qui pourraient se trouver dans des instances individuelles. Les instances Mastodon sont autofinancées, dépendent des dons des membres et de la bonne volonté de l’administrateur.
“Chaque instance est gérée par un administrateur, qui contrôle l’infrastructure et les logiciels exécutés sur les serveurs”, explique Melissa Bischoping, directrice et spécialiste de la recherche sur la sécurité des terminaux chez Tanium. “Cela signifie que vous faites confiance aux administrateurs pour sécuriser et maintenir leur instance et qu’ils protégeront votre compte. Étant donné que nombre d’entre eux sont de petites équipes ou des opérateurs individuels sans grands budgets ou équipes de sécurité, vous ne devez pas supposer qu’une instance est sécurisée ou privée.
Ce que vous devez faire, cependant, est de choisir soigneusement votre instance de Mastodon. Je suis membre du ‘infosec.exchange‘ communauté qui, comme vous pouvez l’imaginer, prend les questions de sécurité très au sérieux.
Sécuriser un nouveau compte Mastodon
OK, avec cela à l’écart, commençons au début de la création du compte Mastodon, et cela signifie sélectionner un mot de passe fort ou une phrase secrète. Allez les gens, si vous avez lu l’une de mes productions au fil des décennies, vous saviez déjà que j’allais dire ceci. Allez fort et longtemps, utilisez un gestionnaire de mots de passe pour utiliser des chaînes de mot de passe vraiment aléatoires et presque impossibles à mémoriser, ou prenez la voie de la phrase secrète si vous préférez. Si vous optez pour ce dernier, assurez-vous de ne pas tomber dans le piège Trump : des mots apparentés tels que Person Woman Man Camera TV ne constituent pas une phrase de passe forte.
Configurez l’authentification à deux facteurs pour votre compte Mastodon
Cependant, vos identifiants de connexion nécessitent plus de protection que ce mot de passe fort. ils ont besoin d’une deuxième couche. Ce qui, encore une fois sans surprise, signifie activer l’authentification à deux facteurs. Pour ce faire, rendez-vous dans Préférences|Paramètres du compte|Authentification à deux facteurs.
Activez 2FA pour Mastodon comme vous le feriez pour tout nouveau compte où il est disponible.
Davey Winder
Faites-vous vérifier sur Mastodon sans payer 8 $ à Elon Musk
Une autre fonctionnalité que j’inclurais dans le cadre général de la sécurité est la vérification de l’utilisateur. Étant donné que Mastodon est composé d’une myriade d’instances individuelles, qui sont des serveurs distincts supervisés par différents administrateurs, n’importe qui peut s’inscrire à n’importe lequel d’entre eux où vous n’êtes pas enregistré et prétendre être vous. Cela peut ou non être problématique pour vous, mais cela devrait vraiment l’être si vous êtes une personne d’intérêt ou non. L’usurpation d’identité peut être très nocive tant sur le plan personnel que professionnel.
Vous verrez des comptes avec des coches bleues de type Twitter sur Mastodon, mais ce ne sont que des images placées là par le titulaire du compte. J’ai à la fois une coche bleue et une cochée sur la mienne, par exemple. Je recommande donc d’utiliser la fonction de vérification des métadonnées de profil. Cela relie le lien Web de votre profil à votre site Web et vice-versa. Une fois le lien établi, l’entrée Web apparaît en vert avec une coche. Cela vous oblige à modifier un peu de code HTML sur votre site Web ou à utiliser quelque chose comme le bloc Social Icons sur un site WordPress exécutant l’éditeur Gutenberg. Essentiellement, vous devrez insérer un lien quelque part sur votre page d’accueil sous la forme :
Comment définir un indicateur de vérification Mastodon-to-site
Davey Winder
Oui, je comprends qu’un escroc déterminé puisse créer un site Web avec une URL proche de la vôtre et créer un lien vers celle-ci pour obtenir une vérification de cette façon. Ce n’est pas parfait, mais c’est mieux que l’apparence d’être vérifié en payant 8 $ par mois à mon humble avis. Oui, Twitter apporte une nouvelle granularité aux comptes vérifiés, mais le problème de la “coche bleue” payante ne disparaîtra probablement pas. Comme vous pouvez le voir sur mon profil Mastodon, il existe également des services de vérification tiers dans certaines niches. PressCheck a été créé par Dave Lee, un journaliste très respecté couvrant la technologie pour le Financial Times.
Le profil Mastodon de l’auteur a vérifié le site Web et les liens de presse
Davey Winder
— to news.google.com
Jeu de briques
Snake
Pacman
Bubble