Les communautés minoritaires et dissidentes sont confrontées à un défi déroutant dans les pays dotés de gouvernements autoritaires. Ils doivent rester anonymes pour éviter la persécution, mais doivent également établir une identité digne de confiance dans leurs communications. Un groupe interdisciplinaire de chercheurs de l'UC Santa Barbara a conçu une application pour répondre à ces deux exigences.

Des chercheurs en informatique et en communication affiliés au Center for Information Technology &Society de l'université se sont rendus dans trois pays pour évaluer les défis auxquels les groupes minoritaires sont confrontés pour maintenir un présence digne de confiance sur les réseaux sociaux. Sur la base des commentaires des communautés, l'équipe a conçu une application pour le système d'exploitation Android qui protégerait l'anonymat des membres du groupe et vérifierait la fiabilité des messages provenant du groupe. Un article détaillant la technologie est apparu dans le Journal des services et applications Internet .

L'équipe, dirigé par le professeur d'informatique Elizabeth Belding, voyagé en Mongolie, la Zambie et la Turquie, où des collègues des institutions locales les ont mis en contact avec des membres de communautés marginalisées. À l'époque, ces pays offraient une alternative relativement sûre à d'autres nations avec un discours restreint, comme la Russie, Chine et Egypte. Environ deux semaines après la visite du groupe en Turquie, cependant, une tentative de coup d'État a incité le gouvernement à réprimer la dissidence politique.

Des entretiens et des enquêtes auprès du grand public et des membres de groupes marginalisés dans ces pays ont confirmé que le maintien de l'anonymat est crucial pour la protection. Mais cela a des inconvénients, comme l'équipe l'a vite appris. "Le problème avec la communication anonyme, c'est qu'on ne sait pas si c'est crédible, " a déclaré Miriam Metzger, professeur au département de communication, et l'un des co-auteurs de l'article. "Si vous recevez juste un message et que vous ne savez pas de qui il vient, vous n'allez probablement pas faire ce que ce message vous dit de faire. Surtout si c'est risqué."

C'est là qu'intervient SecurePost. L'application permet aux communautés de créer des groupes sécurisés sur Twitter et Facebook qui leur permettent de maintenir une cohérence, présence visible sur les réseaux sociaux. Cela leur permet de construire la confiance avec leur lectorat au fil du temps, a expliqué Michael Nekrasov, doctorant en informatique et auteur principal de l'article.

Ce qui est révolutionnaire, c'est que SecurePost permet à un groupe de fonctionner sans aucune liste de ses membres individuels. En outre, l'appli vérifie les posts du groupe, signalant tout contenu qui ne dispose pas des informations d'identification appropriées. De cette façon, chaque membre est protégé par son anonymat même si le groupe est infiltré ou piraté, tandis que les communications du groupe lui-même sont vérifiées comme étant dignes de confiance.

Naturellement, ces communautés veulent un endroit pratique, encore un moyen sûr d'étendre les invitations d'adhésion. L'équipe de recherche a appris que de nombreux groupes utilisaient des mots de passe pour cela, cependant, le partage d'un mot de passe met toujours le compte en danger. "Ce que nous avons trouvé, c'est les gens ne diraient pas simplement le mot de passe à quelqu'un, " a déclaré Nekrasov. " Ce qu'ils feraient, c'est de l'écrire ou de l'envoyer dans un message, et c'est incroyablement dangereux."

Au lieu de cela, l'équipe a développé une méthode beaucoup plus sûre pour inviter un nouveau membre dans le groupe. Le processus consiste à échanger des codes QR sécurisés visuellement ou via une connexion de confiance, une technique qui utilise une paire de visible, clés publiques et une deuxième paire de clés cachées, clés privées pour envoyer et recevoir des informations cryptées. Cela garantit la sécurité de l'invitation même si un tiers assistait à l'échange, dit Nekrasov, car la clé privée est cachée sur l'appareil de la personne rejoignant le groupe.

Une fois que le nouveau membre rejoint le groupe, ils reçoivent une nouvelle paire de clés. La clé privée leur permet de signer des messages au nom du groupe. La clé publique, que tout le monde peut voir et utiliser, permet à tout utilisateur de médias sociaux, y compris ceux qui ne font pas partie du groupe, de vérifier les publications. Cela garantit que si un message est falsifié ou modifié par un réseau social ou un gouvernement, tout utilisateur pourra l'identifier comme un faux.

Le contenu téléchargé à partir d'un compte via SecurePost apparaît comme s'il avait un seul auteur sans aucun moyen d'identifier les affiches individuelles ou la liste des membres d'un groupe. Il y parvient en hébergeant le groupe sur un serveur proxy tiers, qui masque l'adresse IP de l'individu du réseau social. "Cela signifie que vous n'avez pas à faire confiance à une partie extérieure, ", a déclaré Nekrasov. "Un groupe peut gérer son propre serveur et vérifier tout ce qui se passe."

Quoi de plus, SecurePost attache une signature cryptographique au courrier, généré à partir de la clé privée du membre du groupe. L'application vérifie alors automatiquement l'authenticité de cette signature pour toute autre personne exécutant le programme, indépendamment de leur statut d'appartenance à un groupe particulier. Étant donné que le serveur proxy ne reçoit jamais réellement la clé privée des utilisateurs, la fonction de vérification peut signaler le contenu tel que les messages publiés par un imposteur ou quelqu'un qui a piraté le proxy.

L'équipe a conçu SecurePost en gardant à l'esprit les réalités de ses utilisateurs. Ils ont produit l'application pour le système d'exploitation Android, qui représentait 86 pour cent de la part de marché mondial à l'époque. Ils l'ont également rendu compatible avec les appareils plus anciens, de sorte qu'à partir d'octobre 2017, 99,9% des appareils Android enregistrés auprès de Google pouvaient exécuter l'application. Ceci est important car de nombreuses personnes dans les groupes d'utilisateurs ciblés utilisent des téléphones avec des systèmes d'exploitation plus anciens, qui sont moins chers à l'achat.

SecurePost peut également fonctionner sans connexion Internet continue, une nécessité dans de nombreuses régions où il trouvera son utilité. Au lieu de télécharger immédiatement du contenu, l'application le stocke sur l'appareil et le publie lorsque la connectivité Internet reprend. Pour contourner la vulnérabilité que cela crée si les autorités confisquent l'appareil, SecurePost crypte également toutes les données avec un mot de passe à l'échelle de l'application. Si l'utilisateur est sous la contrainte, il peut fournir un faux mot de passe qui efface les données de l'application, y compris les clés de groupe.

L'équipe espère que le logiciel sera finalement développé en un produit à part entière avec une portée plus large. "À la fin de la journée, nous ne sommes pas une entreprise, nous sommes des chercheurs, " a déclaré Metzger. " Nous pouvons développer des applications, et nous pouvons les mettre dans l'App Store, mais nous n'avons pas de budget pour les commercialiser."

"Mais nous pouvons créer de nouveaux systèmes autour desquels une entreprise pourrait bâtir une entreprise et commercialiser, " a-t-elle ajouté. " Et c'est ainsi que ces technologies peuvent avoir un grand impact. "