Avoir plusieurs identités protège vraiment?

https://framablog.org/2019/10/15/mobilizon-on-leve-le-voile-sur-la-beta/ nous dit « Le principe d’avoir plusieurs identités est une idée qui nous enthousiasme beaucoup. Avec un seul et même compte, vous pouvez séparer divers aspects de votre vie sociale […] C’est le genre d’outil que ne proposeront jamais des géants tels que Facebook, qui ont bien trop intérêt à ce que tous les aspects de votre vie sociale se fondent en un seul et unique profil publicitaire »

Mais je ne comprends pas. Vis-à-vis de l’extérieur, j’ai plusieurs identités distinctes mais mon instance Mobilizon sait bien, elle, qu’il y a un même compte pour toutes ces identités. Alors, en quoi est-ce que ça protège contre le profilage ?

[Je dis ça aussi parce que je trouve la gestion des identités multiples compliquées et sujette aux erreurs.]

2 Likes

Je rejoins @bortzmeyer : il me semble également que c’est une erreur d’approcher le problème du profilage par ce biais. En effet, tout l’intérêt de séparer des identités est de les maintenir séparées.

La problématique des « multiples identités » est qu’il ne s’agit absolument pas d’identités et a fortiori multiples, mais bien de « profils » ou, en termes d’ActivityPub des « Acteurs ». Ainsi, si « mon » serveur attache à « mon » utilisateur un ou plusieurs acteurs, il reste que celui en charge de « ma famille » et celui en charge de « ma cellule de crise » n’ont conceptuellement aucun lien entre eux et ne devraient donc pas du tout faire partie du même « compte » : l’un et l’autre sont très probablement attachés à une adresse de courrier électronique différente et certainement restent découplées l’une de l’autre : dans le cas contraire, on saurait instantanément que Stéphane Bortzmeyer, le type qui parle de DNS, est aussi le terrible polyfax, organisateur des grèves du samedi. Rien à voir avec de « multiples identités », mais bien avec des filtres pertinents à la personne qui utilise ce compte, et seulement dans ce cadre-là : ainsi « mon » compte pourrait avoir un volet «professionnel» et un volet «personel», voire un volet «parent d’élève»… Dans cas, on le voit bien, il ne s’agit absolument pas d’identité : chaque «volet» utilise la même identité mais se consacre à des aspects différents de cette identité.

Par ailleurs, la problématique de « gérer des identités multiples » ne relève pas du serveur mais du client : c’est à l’utilisateur seul de décider si le souci de séparation des identités requiert l’usage de plusieurs machines ou si elles – ou certaines d’entre elles – peuvent co-exister sur une même machine ; et dans ce cas, il est encore du ressort de l’utilisateur de fonctionner avec un client qui supporte plusieurs identités non-correllées (c-à-d qui ne partagent pas le même identifiant, et peut-être même pas le même serveur) pour atteindre l’exigence de convivialité qui semble être l’objet de la proposition de Mobilizon sur ce plan.

Il me semble important et critique de ne pas confondre les prérogatives du serveur, du client, et surtout ne pas confondre les problématiques d’identité avec celles d’anonymat. Ainsi, Mobilizon devrait revoir cette notion des « identités multiples » afin de lever ces ambiguités.

1 Like

Je suis d’accord avec @how que c’est au client et pas au serveur de gérer les identités multiples (et puis ça simplifierait le serveur, ce qui est toujours bon pour la sécurité).

Je note aussi qu’aujourd’hui, aussi bien pour Twitter que pour le fédivers (je n’ai pas essayé pour Facebook…) la gestion de comptes multiples est très pénible (voire impossible) dans les clients actuels. Sur le Web, ça va à peu près. Pour les apps, j’ai fini par avoir des applis différentes, une par identité…

Euh… Je ne comprends pas. Où as-tu vu qu’on disait que ça protégeait de quoi que ce soit ?

On dit que ça permet de cloisonner, pas de protéger.
On précise bien (dans le passage tronqué par @bortzmeyer) :

vous pouvez séparer divers aspects de votre vie sociale : utiliser une identité pour vos entraînements sportifs, une autre pour vos retrouvailles familiales, encore une autre pour vos actions militantes, etc.

C’est une fonctionnalité qui nous paraît très intéressante par rapport à ce que propose Facebook (par exemple).
Par exemple, ici (et dans pas mal de coin d’internet), on me connait sous l’identité “pyg”, et je ne souhaite pas que mon nom soit affiché sous “Pierre-Yves Gosset”.
Mais si je vais à l’anniversaire de ma cousine, je ne veux PAS y aller sous l’identité “pyg”, mais bien sous celle de “Pierre-Yves Gosset”.
Et comme j’ai d’autres passions dans ma vie que les anniversaires et internet, si je veux participer à des sorties mycologiques sous le pseudo Mushr00mL0ver, il ne sera pas possible pour les participant⋅es à la sortie de faire le lien avec le “pyg d’internet”.
Ce que permet Mobilizon, c’est donc d’apparaître sous ces 3 identités là, pour ces 3 événements là. Pas plus. Et pas moins non plus.

Bref, Mobilizon n’est pas un outil qui permet de protéger son identité face aux “méchants” (entreprises ou gouvernements, par exemple) qui auraient accès aux données du serveur.

Désolé si ça n’était pas clair (on peut amender l’article Framablog pour clarifier, mais là je ne vous cache pas qu’on est sur les rotules, alors je vous laisse nous proposer des patches).

Pour ce qui concerne le message de @how :

c’est à l’utilisateur seul de décider si le souci de séparation des identités requiert l’usage de plusieurs machines ou si elles – ou certaines d’entre elles – peuvent co-exister sur une même machine ;

On est d’accord là dessus.

et dans ce cas, il est encore du ressort de l’utilisateur de fonctionner avec un client qui supporte plusieurs identités non-correllées (c-à-d qui ne partagent pas le même identifiant, et peut-être même pas le même serveur) pour atteindre l’exigence de convivialité qui semble être l’objet de la proposition de Mobilizon sur ce plan.

On est d’accord aussi.
Mobilizon ne t’empêche absolument pas de créer 15 comptes différents si c’est ce que tu souhaite (et là encore, je ne vois pas où on aurait dit le contraire). C’est au choix de l’utilisateur⋅ice.

Par contre, si tu crois qu’on va développer la spec ActivityPub pour permettre au client Mobilizon de gérer des identités non-correllées, tu te plante complètement sur ce qu’est Framasoft (et j’espère sincèrement que ça n’était pas ton idée).

Bref, « Puis-je gérer des identités de façon non-correllées dans Mobilizon ? » Oui, tu fais comme sur Facebook, et tu te crées plusieurs comptes :stuck_out_tongue:

Enfin, sur la partie sécurité, il y a un point que vous n’avez pas abordé, et qui pourtant reste central, c’est que Mobilizon, en tant qu’outil fédéré, gère les comptes/identités au niveau de l’instance. Donc, d’une part il faut avoir confiance dans l’admin de l’instance (vaste sujet que je n’aborderai pas ici, j’ai une vie :slight_smile: ), et d’autre part le risque de compromission est rendu diffus par la multiplicité des instances (avec du bon et du moins bon : accéder aux données d’une instance peut être relativement simple (faille de Mobilizon, faille du serveur, ingénierie sociale, etc), les données de 1000 instances, c’est potentiellement plus long ou complexe mais paradoxalement ça n’en rend pas la compromission moins possible, juste plus chère.
C’est à la fois une force et une faiblesse d’un système fédéré, mais pas propre à Mobilizon.

Donc, je peux aussi créer @pyg@mobilizon.org (chez Framasoft), et @Mushr00mL0ver@gilles-et-john.com (chez mes potes Gilles et John). Ce qui permet une autre forme de cloisonnement.

Bref, j’ai peut être raté un truc : vous semblez dire l’un comme l’autre que la gestion des identités multiples sous un même compte serait “vendue” par Mobilizon comme une forme de protection de ton identité. Or, ce n’est absolument pas ce qu’on a dit.

On a dit (et jusqu’à ce qu’on me démontre le contraire, je le maintien) que Mobilizon permettait le cloisonnement des identités. Ce cloisonnement est évidemment relatif (ici à ce que peuvent en voir les autres utilisateurs et aux rapprochements qu’ils pourraient faire), et non absolu (le serveur connait les identités liées à ton compte, donc ton adminsys aussi, donc toute personne ayant les droits suffisants - légalement ou pas - sur le serveur aussi).

A la limite, l’erreur ou le raccourci qu’on a pu faire dans l’article pourrait se trouver dans cette phrase : « C’est le genre d’outil que ne proposeront jamais des géants tels que Facebook, qui ont bien trop intérêt à ce que tous les aspects de votre vie sociale se fondent en un seul et unique profil publicitaire… ». Car effectivement, Facebook pourrait proposer le même mécanisme et toujours construire le même profil publicitaire (puisqu’il pourrait faire le lien entre Pierre-Yves Gosset, pyg et Mushr00mL0ver). Cependant, le fait est que pour ces entreprises, proposer de l’identité multiple, c’est forcément nuire à l’engagement des utilisateur⋅ices, qui est pour elles la notion-clé de développement de leur business model.

Je veux bien, mais l’article du Framablog dit le contraire, en affirmant que Facebook ne pourrait pas le faire. (Alors que la fin de ton message dit que, si, Facebook pourrait.)

Je te cite citant le Framablog :

c’est moi qui ai écrit cette phrase et je maintiens le sens que j’ai voulu lui donner : c’est pas dans l’intérêt de FB de faire un truc pareil (même si iels le peuvent), alors que c’est une fonctionnalité qui a une utilité sociale évidente.

Si le Framablog est mal formulé, on peut reformuler, hein (là j’ai tout un site à vérifier en FR+EN et une news + mini newsletter à faire partir, donc je veux bien de l’aide là dessus)…

Mais on ne dit pas qu’ils ne peuvent pas. On dit que c’est pas leur culture de nous faciliter la vie (ici nous = utilisateurices), en gros.

(edits multiples : je formule assez mal ajd, j’ai fait des anglicismes, donc j’ai reformulé)

1 Like