Abus sur Jitsi, notre réaction à chaud

Des abus ont été constatés sur des instances Jitsi récemment, nous prenons des mesures pour les endiguer si elles venaient à arriver, ces mesures pourraient avoir un impact sur vos usages.

Jitsi est une outil de visio-conférence libre, dont une instance est mise à disposition par l’association à l’adresse suivante : https://jitsi.deuxfleurs.fr. Comparativement à nombre de solutions commerciales (comme Zoom) ou libres (comme Big Blue Button), Jitsi ne vous demande jamais de créer de compte ou de payer pour lancer une conférence. Un clic et vous êtes en ligne. Un lien à partager et vous discutez avec des gens. Autrement dit, la simplicité d’utilisation est au cœur de la proposition de cet outil.

Récemment, d’abord l’instance principale de Jitsi puis plusieurs hébergeurs alternatifs ont eu connaissances d’abus sur leurs services Jitsi pouvant avoir des conséquences légales, et Deuxfleurs pourrait être concernée. Je ne rentre volontairement pas dans les détails pour le moment, mais j’espère très sincèrement pouvoir rendre compte plus tard des évènements exacts. Ces abus, de par leur nature, nous sont intolérables.

En l’état, nous pensons pouvoir identifier rapidement ces abus d’après les métadonnées de la conférence (adresse IP, nombre de participant-es, nom de salon, heures & lieu de connexion, types d’activités sur le salon, etc.). Si d’après ces métadonnées, il y a un doute raisonnable, un-e opérateur-ice, ayant signé une charte, se réserve la possibilité de se connecter sur le salon pour constater l’abus et y mettre fin. Dans ce cas, il rejoindra le salon comme n’importe quel utilisateur, et vous serez donc notifié de sa présence. Nous pensons qu’il est très peu probable que cela vous arrive : si je ne peux pas entrer dans les détails pour le moment, les conférences abusives sont très identifiables depuis les métadonnées.

Parce que la visualisation de ces métadonnées a un impact sur la confidentialité et de la vie privée de nos usager-es, il nous semble important d’être pleinement transparent sur ce que voit réellement un-e opérateur-ice. Voici donc un extrait de ces dernières pour une conférence “exemple” rejointe par un-e utilisateur-ice anonyme à l’adresse IP 192.0.2.1 le 10 mars 2024 à 9h57 :

::ffff:192.0.2.1 - - [10/Mar/2024:09:57:00 +0000] "POST /http-bind?room=exemple HTTP/1.1" 200 1068 "https://jitsi.deuxfleurs.fr/exemple" "Mozilla/5.0 (X11; Linux x86_64; rv:120.0) Gecko/20100101 Firefox/120.0"
JVB 2024-03-10 09:57:14.196 INFO: [63405] [confId=f80aa09a51052b17 conf_name=exemple@conference.jitsi meeting_id=ebb27647 epId=c85a683b stats_id=Burdette-qcE] AbstractEndpoint.expire#289: Expiring.

Cette solution de surveillance des métadonnées par les opérateur-ices a été déployée en urgence, elle ne satisfait pas tous les membres de Deuxfleurs aujourd’hui. En effet, elle demande un travail supplémentaire à des équipes bénévole, elle expose ses équipes à des contenus potentiellement choquants, elle mélange un travail de modération avec celui d’opérateur-ice, elle interroge la raison d’être même de notre service, elle reste - malgré les gardes fous mis en place - une atteinte à la confidentialité des échanges de nos usager-es. D’autres solutions sont possibles : exiger un compte pour créer une conférence - et laisser la possibilité de rejoindre anonymement, désactiver seulement les fonctionnalités qui rendent les abus possibles aux utilisateur-ices non authentifiée, etc. Une consultation sur les mesures à prendre sur le long terme est envisagée dans les mois à venir.

Si vous êtes usager-e du service de visio-conférence de Deuxfleurs, vous pouvez réagir ici en commentaire ou en écrivant à moderation@deuxfleurs.fr. Votre avis est précieux.