SOLUTIONS POUR BYPASS LA MODERATION MICROSOFT
Les raisons sont nombreuses de vouloir bypass le système de Chat Report, peu importe, voici des solutions :
PLUGINS (Côté Serveur)
Pour les serveurs, le minimum est de désactiver l'option "enforce-secure-profile" dans le serveur.properties. Cette option conditionne la connexion au serveur à la présence de signature pour ses joueurs. Passer en "False" l'option permettra aux joueurs souhaitant sécuriser leurs compte (par des mods par exemple) de pouvoir se connecter.
- No Chat Reports (NCR)
Installé côté serveur, le plugin va empêcher toutes les signatures de tous les joueurs de filer chez Mojang, rendant sans garantie de l'expéditeur les reports effectués.
(également disponible en mod côté client)
Ce n'est pas une garantie de sécurité, Microsoft pourrait très bien décider de bannir quand même dans une future MàJ.
- Freedom Chat
Une alternative à No Chat Report (seulement en plugin), qui, en supprimant les signatures des joueurs, transforme tous les msg du chat en msg du serveur, évite pour la plupart du temps des conflits avec d'autres plugin de style de chat.
Dispo sur Spigot, Bukkit, et Paper, avec des compatibilité spéciales pour ce derniers (Le serveur sera indiqué comme safe pour les joueurs avec le mod NCR)
- Mod Offline + Plugin d'Authentification interne
La solution la plus radicale : Laissez le choix aux joueurs de se passer de Microsoft !
Permet également d'accepter les versions craquées.
Dans le serveur.properties, passer la ligne "Online-mode" à "false".
Afin d'éviter tout problèmes de permission ou d'inventaires (vol de pseudos d'opérateur par exemple), vous pouvez utiliser un plugin comme EasyAuth (fork de SimpleAuth), qui demande un mdp à la première connexion.
Vous pouvez ensuite ajouter un plugin comme Fabric Tailor pour récupérer les skins, capes etc... (ce dernier mod n'est pas nécessaire côté client non-plus, même s'il permet une plus grande intégration.
MODS (Côté Client)
- Delayed Reports:
Contrairement à No Chat Reports, ce mod vous permet de vous connecter aux serveurs ayant l'option enforce-secure-profile à true (Option dans le serveur.properties pour conditionner la connexion au serveur à la signature des messages).
Vos messages seront bien signés et pourront être reportés, en revanche, leur date d'envoi sera faussée, ce qui rendra probablement le report invalide. Pour les serveurs n'ayant pas défini l'option enforce-secure-profile à true, No Chat Reports reste bien plus efficace.
- No Chat Reports
Vous pouvez également l'installer côté client en MOD pour enlever les signatures uniquement sur votre compte, et quelques fonctionnalités bonus, comme l'affichage des serveurs aillant le plugin (ou son alternative Freedom Chat sur un serveur Paper)
NEWS : Une nouvelle fonctionnalité de No Chat Report permet de choisir de CRYPTER ou non les messages que l'on envoie dans le Tchat. Seuls ceux à qui on a donné la clé de déchiffrement pourront les lires.
(le tchat, le serveur et Microsoft ne verront que du charrabia).
Cette nouveauté à fait suite au besoin d'agir face aux bans multi effectués SANS REPORTS sur Bedrock et les serveurs Java Realms. En effet, Microsoft ont une modération automatisée et proactive sur ces plateformes.
MODS+PLUGINS (nécessaires côtés client et serveur)
(ces solutions étant très contraignantes, il est peu optimal de les proposer sur le serveur)
- antimsban:
Ce mod est dans un état expérimental et doit en théorie permettre de se connecter à un serveur même en étant déjà banni des services de Mojang. Il doit être installé côté client et serveur.
En revanche attention, il crée certaines grosses failles de sécurité quant à votre compte, je vous invite à lire le readme sur Github pour plus d'informations. N'UTILISEZ CE MOD QUE SI VOUS SAVEZ CE QUE VOUS FAITES.
(le mod a besoin de votre token pour fonctionner, déconnectez-vous régulièrement de votre luncher et n'allez que sur des serveurs de confiance pour limiter un peu les risques)
- Trustless Authentification:
Par le développeur de No Chat Reports, ce mod est un Proof-Of-Concept permettant aux joueurs bannis des serveurs de Mojang de se connecter à un serveur online. Comme antimsban, ce mod présente certaines grosses failles de sécurité. Je vous encourage vivement à lire le readme sur Github. Encore une fois, N'UTILISEZ CE MOD QUE SI VOUS SAVEZ CE QUE VOUS FAITES.
- Decentralized Auth:
Ce projet est très différent des autres mods dont nous avons pu parler. Si antimsban ou Trustless Authentification utilisent les services de Mojang pour authentifier votre compte, Decentralized Auth se veut être un système d'authentification tiers ne dépendant pas de Mojang. Les motivations de ce projet sont de rendre leurs serveurs aux propriétaires, en luttant contre les Chat Reports et contre l'EULA très controversée de Minecraft.
Maintenant que des solutions ont été proposées, pourquoi ont-elles été rendues nécessaires ?
Dangers et Abus du Chat Report en 1.19.1+
Si vous pensez que le Chat Report possède des avantages, nous ne referons pas ce débat ici.
(je vous propose de lire ici le détail des points présentés comme positifs de ce système si jamais : https://play-mc.fr/forum/d/2266-donnez-votre-avis-concernant-larrivee-de-la-1191-sur-nos-serveurs/2)
Dans cet article, nous allons nous concentrer sur les abus / danger et failles du Système repertoriées par la communauté.
SOMMAIRE
I - ABUS : CGU Liberticides.
II - DANGERS : Comment faire ban du multi n'importe qui en 1.19.1 et 1.19.2
III - Modération Proactive de Microsoft, Bans sans report, déjà sur Java.
I - Abus - Des CGU Liberticides.
A - Fin des Messages privés, et fin de l'intimité des serveurs
- Fin des Msg privés : Désormais, avec le système de report, les métadonnées des messages privés (/msg "joueur" "msg"), sont envoyés à TOUS les joueurs connectés. Un mod ou Ressource-Pack peut aisément afficher dans le chat qui envoit à qui et quand des msg privés.
-> Girlboss : Girlboss est un nouveau mod qui tire parti de la chaîne de discussion nouvellement implémentée pour permettre d'espionner les messages privés. Vous pouvez voir quel joueur a envoyé un message à quel autre joueur (bien que vous ne puissiez pas voir le contenu du message.) Citant les développeurs de Nodus, "Girlboss is a mod that lets you detect when someone sends a private message to another player and attempts to detect who the receiving player is. The detection of someone sending a message is achieved by listening to "header packets" which are sent whenever a private message is sent. The detection of who received it is achieved by comparing the "last message" field on the receiver's next chat message.".
- Surveillance généralisée : Sur Realm, les données chat sont déjà dans les mains de Microsoft, et sur les serveurs tiers, il suffit d'un report pour que de nombreuses données personnelles soient transmises à Microsoft. Données qui peuvent êtres utilisées contre vous, pour vous ban, mais également dans des opérations Marketing (profilage publicitaire, revente de données...) ou encore Judiciaires (Enquêtes, Mouvements sociaux etc...).
Derrière ces éléments, on s'apperçoit qu'en fait, c'est le principe même de la liberté promue par Minecraft à ses débuts qui est remis en cause : la Décentralisation. Un système décentralisé ou chaque serveur et client met en place ses propres règles de jeu (au travers de plugins mods, mais aussi de règles IG) est beaucoup plus résistant face à une censure universelle, à l'intrusion dans la vie privée, et autres joyeusetées.
Désormais, votre modération n'est plus maître à bord (mais elle doit quand même payer son hébergement !). De nombreux serveurs veulent autoriser des comportements interdits par Microsoft, le choix devraient appartenir au serveur et pas à microsoft.
Et si aujourd'hui l'épouvantail de la haine, du harcèlement et de l'insécurité sont agités, demain qui sait pour quelles raisons nos indépendances seront encore attaquées. Quelle sera votre limite ?
B - Reports et ban Naturels abusifs
1 - Infos personnels : les numéros de tel, adresse etc... Toutes les infos persos sont aussi concernés : vous pouvez vous faire ban pour avoir discutés sur votre serveur privé de potes IRL de trucs faits IRLs ! (Une fois encore, les conditions de ban sont très floues, et une fois report, ces infos peuvent très bien rejoindre les outils de profilage publicitaires)
2 - Harcèlement : Tous les harcèlements ne sont pas à mettre au même plan, l'échelle de sanction est très floue, et surtout ne prend en compte qu'un contexte de chat très restreint. Vous serez par exemple en tors si vous répondez violamment à quelqu'un qui ne signe pas ses messages ou qui utilise d'autres plateformes pour vous harceler.
3 - Appel à l'Illégal (Autorisé en France sauf exception - mais pas aux USA) : Exemple d'abus possible extrêmement probable ; ceux qui parlent de serveurs et comptes craqués seront sévèrement réprimés (sans pour autant en avoir). Ceux qui peuvent faire la promotion de l'Avortement ou de droits LGBT+ peuvent également se faire ban.
4 - Exception à la liberté d'expression : HAINE / Propos Raciste Ethniques et Religieux / Négationnisme : Il n'y a pas la même définition de la haine selon les pays, les gens et les serveurs : par exemple, certains pays considèrent l'antisionisme (le fait de ne pas supporter la colonisation et la répression violente de la Palestine par l'Israël et son modèle dictatorial) comme faisant partie de l'Antisémitisme (la haine des Juifs). Microsoft va donc modérer de fait, du politique.
C- Conclusion : L'Auto-censure.
Puisque vos messages privés ne le sont plus, et qu'à la moindre conversation un peu longue, mature, politique, vous risquez de perdre votre compte, la réaction naturelle est de ne plus avoir ce genre de conversations en jeu.
Le chat minecraft va devenir aceptisé, de gré, ou de ban.
De nombreux joueurs ont déjà annoncer publiquement ne plus vouloir utiliser le chat sur le serveur s'il passe en 1.19.1+
II - Dangers - Comment faire ban du multi n'importe qui en 1.19.1 et 1.19.2 (et peut-être +)
Comme nous allons le voir, il est très aisé de faire Ban quelqu'un du multi mc.
Je n'encourage personne à utiliser ces outils, c'est seulement là pour prouver que le système est dangereux. (D'ailleurs, c'est le but affiché des développeurs également)
A - Reporter un message ambivalent.
Les CGU étant tellement foireuses, que n'importe quel utilisateur finira un jour ou l'autre par poster un message rentrant dans les catégories. Peut-être a-t-il parlé de cannabis, de NSFW, d'avortement, de crack, peu importe, de politique ou juste une menace humoristique. Si le contexte ne dément pas clairement ledit message reporté, le joueur a de bonnes chances de se faire ban.
Si vous connaissez "Inconnu à Cette Adresse", nous y voilà.
B - Trafiquer les signatures, les Reports, et usebugs.
Et si le joueur n'a dit que "hello" ?...
La signature de la 1.19.1 est à ce que l'on sait bidon ; n'importe quel joueur pouvait signer pour n'importe quel autre compte, il n'y avait a priori pas de vérification autre que l'existance d'une signature. Ce qui a conduit à de nombreux ban abusifs puisqu'il suffisait de se faire passer pour autrui pour le faire ban.
La signature de la 1.19.2 n'est pas mieux : si la signature (alliance d'une Clé publique et d'une privée) est désormais "vérifiée" par microsoft, elle reste aisément re-traficable.
Les signatures font désormais parties des métadonnées envoyées à tous les joueurs (afin de retracer le "contexte" et éviter Gaslight 1), qu'à ne celà tienne, il devient aisé de se faire passer pour un joueur, de falsifier et de re-signer proprement tout un contexte.
...Microsoft perd clairement la guerre de la faille pour l'instant.
1 - Gaslight V3 https://github.com/nodusclient/gaslight
V1 & V2 :
À l'origine, l'exploit Gaslight abusait du fait que les messages contextuels n'étaient pas signés, et vous pouviez donc simuler le contexte de n'importe quel message pour encadrer les utilisateurs dans les rapports. En 1.19.2+, cela a été corrigé avec la chaîne de discussion susmentionnée.
Cependant, les développeurs de Gaslight ont créé une solution de contournement en utilisant des messages privés pour permettre de simuler le contexte malgré la chaîne de discussion.
Citant les développeurs de Nodus : "The workaround Gaslight uses is private messages. In order to keep the chain consistent for every player, Mojang added a new packet that sends only the signature of a message for any message a player cannot see. Mojang, however, forgot the one thing that got them in this mess in the first place, you can't trust the client. With just the chat chain, how do they know if you actually received a message, or if it was a private message that you couldn't see? Every message you can see on your client will appear to Mojang as if it was sent in public chat."
Un exemple terrifiant en 50 sec de ce que donne ce mod en plugin serveur : https://www.youtube.com/watch?v=Pz5iGzuNnNU
Désormais, très clairement LES SERVEURS SONT DANGEUREUX sans No Chat Report, ils doivent prouver qu'ils n'ont pas ce plugin.
2 - Guardian https://github.com/nodusclient/guardian
"Celui-ci est vraiment stupide, la collecte de contexte lors de la création de rapports a été rendue beaucoup plus complexe [chaîne de signature] dans le but de réparer Gaslight V1. Le dernier système essaie de rassembler le contexte en fonction de ce que votre client dit avoir vu, donc si vous prétendez simplement que vous avez bloqué tout le serveur, les joueurs peuvent toujours vous signaler, mais ils n'incluront aucun contexte."
Traduction : Blanc saint pour les joueurs toxiques qui auront ce mod, et repression pour les autres.
3 - Gatekeep https://github.com/nodusclient/gatekeep
Tous ceux qui rejoignent le serveur après l'expiration de votre clé seront déconnectés lorsque vous envoyez un message de chat. Cela peut se faire en vanille car la 1.19.1 est une mise à jour bien faite, mais Gatekeep gère vos clés et vous indique quand il est possible de kicker des gens. Cela pourrait être utilisé pour kicker l'ensemble du serveur, en ralentissant une connexion juste au moment où votre clé expire, mais cela dépasse le cadre de ce "proof-of-concept".
III - Modération Proactive de Microsoft, Bans sans report, déjà sur Java.
Sur Bedrock, il y avait déjà un système de pré-filtrage du chat pour "protéger" les joueurs des contenus problématiques (selon M.). On savait donc que déjà, sur cette version de Minecraft, des algorythmes automatiques fouinaient les serveurs et les données privées. Des joueurs ont affirmés êtres bannis sans avoir été Report.
Plus grave, des témoignages similaires ont été relevé sur Realm, le service d'Host MC de Mojang pour JAVA : des admistrateurs Realms ont été bannis de l'entièreté du Multi, étant sûr qu'aucun de leur amis / joueurs, ne les avait report. (Dans les logs, ont peut avoir le statut d'un message, s'il a été report ou non).
Beaucoup pensaient avant la 1.19.1 que ce genre de système ne toucherait jamais notre belle version Java. Haha. Après tous ça, si vous pensez encore que ça n'arrivera jamais sur les serveurs tiers, permettez-moi de vous traiter d'autruche. C'est la suite logique.
