Dans une installation par défaut de Discourse, le panneau d’inscription demande une adresse e-mail. Il indique que cet e-mail n’est « jamais affiché au public ». Cependant, une fois le processus d’inscription terminé et l’utilisateur inscrit, avant même qu’il ait la possibilité de modifier son profil ou d’effectuer la moindre action, son adresse e-mail est utilisée pour récupérer un avatar auprès de Gravatar.
Je considère cela comme une fuite d’informations permettant d’identifier personnellement un individu. Un avatar Gravatar pourrait, en principe, être corrélé à l’identité d’une personne et donc à son adresse e-mail. Bien que l’utilisateur ait la possibilité de changer son avatar, il est possible, en principe, que quelqu’un voie le compte et l’avatar associé avant que l’utilisateur n’ait fait quoi que ce soit, en utilisant la liste publique des « Utilisateurs ». Le support de Gravatar est une excellente fonctionnalité, mais le problème réside dans le fait que Discourse crée spécifiquement l’attente que l’adresse e-mail reste privée, en utilisant le libellé même de la boîte d’inscription : « jamais affiché au public ».
Je pense que la meilleure façon de résoudre ce problème serait soit de modifier le texte de la boîte d’inscription pour créer une attente différente, soit d’ajouter une case à cocher ou une confirmation pour « récupérer l’avatar via Gravatar ».
J’ai rencontré ce problème sur les forums de Letsencrypt, mais mes tests confirment que ce comportement est également présent sur try.discourse.org et sur ce forum (meta.discourse.org).
Vous ne pouvez pas définir « le public » comme étant Gravatar, d’autant plus que la requête est envoyée directement du serveur vers un serveur Gravatar via HTTPS chiffré. Et n’utilise-t-on pas le hachage de l’adresse e-mail ?
Je suppose que les données à caractère personnel (PII) ici sont le contenu de l’image elle-même. Vous ne voudriez peut-être pas que le public sache qui vous êtes lorsque vous vous inscrivez sur un site Discourse avec votre adresse e-mail, d’autant plus qu’il est indiqué que votre e-mail restera privé.
En d’autres termes, je m’inscris sous un nom d’utilisateur aléatoire pour protéger ma vie privée, mais j’utilise mon adresse e-mail habituelle. Compte tenu de la mention « jamais affichée publiquement », je ne m’attendrais pas à ce que mon image soit instantanément associée à ce compte et visible par tous.
Vous avez téléchargé votre image sur Gravatar, associée à votre adresse e-mail, parce que vous voulez qu’elle vous suive partout où vous utilisez Internet. Si vous ne voulez pas qu’elle vous suive, ne la téléchargez pas sur Gravatar.
Un gravatar n’est pas par définition une information personnellement identifiable (IPI) — c’est une IPI publique, ce qui constitue une catégorie distincte. Le hachage est, par définition, à sens unique.
Toute personne soucieuse de sa vie privée n’utilise pas la même adresse email partout, liée à un gravatar. Même l’ajout de suffixes (plus addressing) le rend inefficace.
Les adresses email sont également considérées comme des IPI publiques, car elles peuvent, dans certains cas, révéler le genre, l’âge et la localisation, en plus du nom.
Comme compromis, serait-il trop difficile d’ajouter une option facultative de désinscription (ou d’inscription) pour que l’avatar soit recherché dans Gravatar ?
Le risque de sécurité standard lié au hachage inversé et au risque de suivi des visiteurs par Gravatar est évité dans Discourse car le serveur télécharge réellement l’image.
Si vous avez plusieurs adresses e-mail associées au même avatar (comme c’est mon cas), il n’est pas possible de déterminer avec laquelle je me suis inscrit à un forum, sauf si vous êtes Gravatar. Discourse ne conserve ni ne publie l’historique des avatars, ce qui rend la solution de contournement utilisateur assez simple (revenir à une lettre ou télécharger une nouvelle image). Et vous pouvez toujours télécharger manuellement l’avatar de quelqu’un d’autre.
Cela ne semble pas être une attaque fiable à exécuter.
