Qu'est-ce qu'un tripcode ?

Les commentaires de ce blog ont un champ relativement inhabituel, appelé tripcode. À quoi peut-il bien servir ? Probablement pas à grand chose, sinon il serait présent aussi sur les autres blogs...

En deux mots : le tripcode est un système d'identification sans inscription.

Le concept du tripcode vient des forums orientaux, comme 2channel ou Futaba Channel (je ne donne pas de lien parce que je ne comprends pas la langue). Il semble que dans cette culture la liberté d'expression ne peut passer que par l'anonymat ou le pseudonymat. Les forums orientaux sont donc beaucoup plus orientés vers le message que vers l'auteur, contrairement aux forums occidentaux où l'auteur occupe une place importante, avec un grand degré de personnalisation, comme des avatars, des signatures automatiques, éventuellement des informations géographiques, le nombre de posts, etc. Ce n'est pas vraiment surprenant si on réfléchit à la différence de culture, entre la culture occidentale où la gloire personnelle et l'individualisme priment même sur la vérité et le respect de l'autre, par rapport à une culture orientale où l'honneur et le protocole sont si important que l'on ne peut vraiment parler librement que sans identité.

Si je voulais suivre complètement l'idée initiale du tripcode, ce serait le seul champ dans le formulaire de commentaire, avec bien sûr le texte du commentaire, pour avoir vraiment des commentaires complètement anonymes. Mais comme malgré tous les défauts de la culture occidentale, j'appartiens à cette culture, et l'immense majorité, sinon la totalité, de mon lectorat y appartient également, j'ai laissé les champs traditionnels.

Mais avec tout ça, je n'ai pas répondu ce qu'est exactement un tripcode. Techniquement, l'utilisateur entre un mot de passe de son choix dans le champ « tripcode », et le serveur utilise ce mot de passe pour générer un code qui sera affiché à côté du commentaire. De plus, ce code est généré de façon à ce qu'un même mot de passe (même avec un nom différent) donne toujours le même code, mais qu'il soit pratiquement impossible de deviner le mot de passe à partir du code.

À quoi cela peut-il servir ? Déjà, ce système ne nuit pas à l'anonymat, car l'utilisateur n'a pas besoin de s'inscrire où que ce soit, et le serveur ne sauvegarde rien de plus que dans un post aussi anonyme que possible. Le tripcode permet par contre de résoudre le plus gros problème de l'anonymat, à savoir l'identification. En effet, dans un système complètement anonyme, il n'est pas facile de suivre une conversation, vu que n'importe qui peut s'y immiscer en se faisant passer pour un des intervenants précédents. Vu qu'il est pratiquement impossible de deviner le mot de passe à partir des informations publiées, seule la personne qui connaît le mot de passe peut aboutir au même tripcode. Donc des tripcodes identiques garantissent que c'est la même personne qui a posté, mais sans donner aucune information supplémentaire sur l'identité de la personne.

Prenons un exemple dans les systèmes occidentaux traditionnels de commentaires de blog. Alice poste un commentaire assorti d'une question, à laquelle Bob répond, et ensuite Charlie insulte Bob en prenant le nom d'Alice. Du coup, Bob croit qu'Alice le déteste et c'est la fin d'une belle histoire. Alors que si Alice poste avec un mot de passe, un tripcode sera affiché, mais quand Charlie poste, il n'y aura pas de tripcode, ou bien un tripcode différent (sauf si Charlie connaît le mot de passe d'Alice), et donc Bob saura qu'il y a quelque chose de louche.

Je suis d'accord que c'est un scénario peu vraisemblable. Le tripcode est en effet justifié dans un environnement de type forum, alors que dans des commentaires c'est beaucoup plus douteux, essentiellement parce qu'il y a une personne privilégiée (l'auteur du blog) qui lance tous les sujets et qui modère toutes les réponses, et qui accessoirement peut déjà poster des réponses de manière infalsifiable (et violette).

Donc en vrai, le principal intérêt des tripcodes sur ce site c'est d'avoir permis à l'auteur de jouer avec les HMAC. Cela étant, si le lectorat arrive à y trouver une utilité, ce ne sera pas plus mal.

Source: http://en.wikipedia.org/wiki/Tripcode

Publié le dimanche 10 juin 2007 à 12:32.

Catégorie : FAQ

Commentaires

1. Le mardi 12 juin 2007 à 16:33, par Lani Katan :

oh my god... Je suis pas sur d avoir tout compris.. mais je relirais plus tard^^

2. Le mercredi 13 juin 2007 à 1:12, par Martin :

J'ignorais ce terme de "tripcode", mais si je comprends bien, un plug tel que :

WP_MonsterID
http://scott.sherrillmix.com/blog/blogger/wp_monsterid/

permettant de faire apparaître un monstre aléatoire à partir de l'email du commentateur, ou encore le service :

Gravatar
http://www.gravatar.com/

qui permet d'afficher une icône à partir de l'email du commentateur se rapprochent, même s'ils n'en sont pas, du système des tripcodes. Bon à savoir !

3. Le mercredi 13 juin 2007 à 6:50, par Natacha :

Martin, ces deux services se rapprochent effectivement du tripcode dans le sens où en imposant respectivement pas ou peu d'inscription ils permettent quand même une identification. Je dirais que la différence principale est le côté anonymat, car ces deux servicent passent par l'e-mail, qui est donc une donnée personnelle à fournir obligatoirement. On peut aussi s'interroger sur la sécurité d'utiliser une adresse e-mail en guise de mot de passe, car la première me semble plus facile à deviner par quelqu'un de malveillant qui connait un peu sa victime. Quoique, vu la quantité de mots de passe faibles en circulation...

J'aurais sans doute dû citer la source dans l'article, à savoir la version anglaise de Wikipedia. Je me demande dans quelle mesure une partie de cette article pourrait être repris pour en faire une version française, d'ailleurs.

4. Le samedi 16 juin 2007 à 0:22, par Martin :

En fait, le système Gravatar dans sa version 1 (je ne connais pas la version 2, ayant abandonné le service pour cause de fonctionnement aléatoire) souffrait d'un gros défaut : l'adresse email étant "bêtement" encodée via une fonction de hashage (en l'occurrence, un MD5), chaque site l'encodant de la même manière, il suffisait d'identifier un seul commentaire d'une personne pour pouvoir repérer par la suite l'ensemble des commentaires qu'elle laissait ailleurs, en regardant le code source HTML.

Plus simple et plus embêtant : même si la personne changeait volontairement de pseudo pour devenir anonyme (ce qui était arrivé une fois sur l'un de mes blogs), elle voyait son Gravatar apparaître, trahissant son identité !

Bref, un Gravatar n'est pas un bon moyen de garder l'anonymat sur le Net, bien au contraire. Un Tripcode, à condition qu'il soit régulièrement modifié (ce qui ne doit pas arriver souvent quand on le saisit soi-même, question de mémoire limitée), peut, quant à lui, préserver un semblant d'anonymat. Cela étant, rien que la manière d'écrire permet d'identifier un individu...

5. Le samedi 16 juin 2007 à 19:25, par Natacha :

Je crois qu'on perd un peu de vue le but du tripcode, là : c'est un système d'identification, donc il sert naturellement à identifier un individu. Plus précisément, il permet de prouver qu'un ensemble de posts ont été faits par le même individu. Mais il permet cette identification sans que l'utilisateur doive fournir la moindre donnée personnelle, dont son nom, il s'agit donc bien d'un anonymat, au moins au sens strict.

Alors comme d'habitude, la solidité d'une chaîne est celle du maillon le plus faible, et donc quelqu'un qui poste de manière anonyme et non-anonyme avec le même style s'expose à ce que le recoupement soit fait. Mais ce genre de faille dans l'anonymat n'affaiblit pas la partie identification, c'est au moins ça.

En fait les tripcodes originaux utilisaient le même principe que Gravatars 1, c'était juste un hash du mot de passe et le même hash d'un site à l'autre, pour élargir la zone d'identification (le coup du HMAC, c'est personnel, juste pour jouer).

6. Le vendredi 18 janvier 2008 à 18:59, par Anonyme :

depuis quelques annees je n'arrive plus a faire la sieste ou pendant un moment de la journee lorsque j'ai comme on un coup
de barre et que je m'assoupi a chaque fois pendant ces moments la ou pendant une petite sieste je sursaute violement comme si le coeur aller s"arreter et pourtant la nuit cela ne m'arrive pas

Copyright © 2007-2008 Natacha Kerensikova

Lithium Blog - commit dad867adc7a3fc6476990c37fcfa09685831b7d9 - Thursday 7 February 2008