Publié par Pierrot le Chroniqueur

Les empoignades débats autour de la récente et seconde candidature de Nemoi se sont focalisés sur la potentielle dangerosité des comptes des administrateurs pas ou peu présents. Le risque étant que, en cas d'usurpation de son compte, l'administrateur absent ne soit, par définition, pas là pour signaler la dépossession de son compte. Et que des dégâts soient causés, via l'utilisation des outils, par le pirate. Le risque de piratage n'est pas purement théorique, bien évidemment : par le passé, le compte de Gdgourou a ainsi été détourné. Pour mémoire, depuis cette prise de décision, les sysops aux abonnés absents sont "automatiquement" (en fait, il faut penser à faire la demande sur meta en temps voulu) suspendus de leurs fonctions au bout de six mois d'inactivité, et perdent définitivement leur statut un an plus tard.

 

À cause de ce risque, mais pas seulement (il invoque également le déphasage avec la communauté actuelle et l'impossibilité d'évaluer le lien de confiance entre celle-ci et l'intéressé, je vais y revenir), Nemoi a entamé depuis quelques mois une campagne visant à réduire le délai de suspension en cas d'inactivité prolongée, et même à faire desysoper les administrateurs encore présents mais très peu actifs (il a d'ailleurs entrepris de les démarcher sur leur page de discussion pour les inciter à renoncer d'eux-mêmes à leur mandat, sans succès à ma connaissance). Pour appuyer sa démarche, il a été jusqu'à tenter de pirater quelques comptes d'administrateurs à l'assiduité très incertaine et a réussi son coup avec celui de Gronico, qui a en conséquence vu ses outils lui être retirés. Autre conséquence, tout aussi prévisible : l'épisode a valu à Nemoi une volée de bois vert sur sa candidature. Plus grave encore (ou pas), il a été, pour l'anecdote, le 58 256ème utilisateur à être déclaré persona non grata par Hégésippe Cormier . Gageons qu'il s'en remettra. Reste que le danger pointé par Nemoi est à mon sens très limité. En cas de piratage d'un compte administrateur et de mésusage conséquent des outils, il suffit de contacter rapidement un steward (en se rendant sur le canal IRC dédié, de préférence) qui agira immédiatement. Encore faut-il, il est vrai, constater assez rapidement les utilisations problématiques mais, a priori, il y a suffisamment de patrouilleurs pour cela. Surtout qu'un vandale tout heureux de soudainement se retrouver administrateur devrait plutôt se livrer à des actes spectaculaires aisément identifiables (suppression de l'article sur Nicolas Sarkozy, blocages d'administrateurs ou que sais-je encore...). Un réel petit risque serait alors que le pirate ne commette justement pas ce genre d'actions, mais plutôt des utilisations sournoises de ses outils (suppressions d'articles admissibles mais peu suivis et sur des sujets confidentiels, par exemple). L'hypothèse me semble toutefois très peu probable.

 

Plus pertinents, en revanche, sont les arguments sur la perte des liens (confiance, connaissance des arcanes, maîtise des règles et usages communautaires) entre l'administrateur absent ou quasi et Wikipédia (et sa communauté). Concrètement, un sysop qui vient une fois tous les six mois depuis des années est devenu un inconnu et n'est pas au fait des dernières prises de décision ni de l'actualité communautaire. De toute façon, de ce que j'ai pu constater, un tel profil n'utilise pas (plus) ses outils. Du coup, même si on ne fait que du bénévolat sur Wikipédia, et qu'on n'a donc aucune obligation particulière de contribuer, et même si la fonction administrative n'est théoriquement que technique, il me semble permis de se demander pourquoi ces administrateurs le sont toujours. Ce n'est en soi pas dramatique, mais tout de même un peu incongru. Toutes proportions gardées, imaginons un député élu indéfiniment mais qui ne siège jamais à l'Assemblée nationale. Fatalement, à moyen terme, apparaissent un réel déficit de légitimité, de compétence et surtout une méconnaissance par le député de la législation sur laquelle il est censé se prononcer. Le tout au grand dam des nouveaux citoyens de la circonscription qui n'ont pas eu leur mot à dire mais doivent subir les conséquences de la situation. En ce sens, un an et demi d'inactivité complète avant perte définitive du statut d'administrateur, cela peut légitimement apparaître trop long aux yeux des utilisateurs actuels. La réduction du délai de retrait automatique, à défaut de celui de la suspension, ne serait donc peut-être pas un luxe, après tout. Il n'y a de toute façon rien à perdre à lancer une nouvelle prise de décision...

 

Nemoi, lui, propose plutôt de limiter dans le temps le mandat d'administrateur. C'est aussi une solution à ce problème, effectivement, mais d'autres enjeux plus délicats sont ainsi impliqués... D'après ce que je vois sur les candidatures, c'est toutefois une revendication qui revient avec de plus en plus d'insistance. Il faudra que j'y revienne un jour.

Commenter cet article

Lebob 07/09/2010 15:57



Dressons une liste de "ci-devants", administrateurs qui n'utilisent plus (ou très peu) leur compte et hop! dans la charrette.    Ca va plaire à certains que je ne ne nommerai pas!


Plus sérieusement, il me semble en effet qu'un administrateur qui n'utilise que peu ses outils et ne suit pas ou de très loin les discussions
communautaires risque en effet d'utiliser ses outils à contretemps par ignorance de décisions ou positions récentes.  Est-ce suffisant pour racourcir le délai?


 


 


 



Pierrot le Chroniqueur 07/09/2010 16:04



Chacun peut évidemment se faire son opinion mais, pour ma part, pour toutes les raisons que j'ai données, oui cela me semble suffisant.



Moyg 07/09/2010 13:48



@ Darko : d'ailleurs Gdgourou était actif quand ça lui est arrivé. Et il y a d'autres façons de pirater un compte...


En tout cas, si je voulais vandaliser avec un compte admin, je ne m'intéresserais pas aux blocages d'admin ou à la suppression de Sarko. Mais heureusement on n'a pas vu de vandale intelligent
depuis longtemps sur WP.



Pierrot le Chroniqueur 07/09/2010 13:52



Oui, justement, j'ai pris en compte la bêtise chronique des vandales pour imaginer ce qu'ils feraient avec un compte admin !


 


Ne parle pas de malheur : un vandale intelligent est évidemmment très difficile à gérer. Les actuels me conviennent, il ne faut pas en changer.



Darkoneko 07/09/2010 13:11



Pour moi, la dangerosité n'est pas tant que le compte soit inactif mais le fait qu'un compte admin ai un mot de passe devinable avec quelques tentatives à la main (il n'est plus possible de faire
de l'attaque brute-force depuis qu'il ont mis un capcha)


il y a sans doute un peu d'éducation à refaire sur les conduites à risque, de ce côté là.



Pierrot le Chroniqueur 07/09/2010 13:46



Tout à fait d'accord. Du reste, c'est ce que Nemoi n'a eu de cesse d'expliquer : il n'a pas craqué le compte de Gronico, il a deviné le mdp car c'était semble-t-il facile. Je pense effectivement
que les admins devraient se protéger par des mots de passe assez élaborés, et surtout les changer assez régulièrement.