Photo obligatoire pour être certifier


#1

En créant un compte membre, un humain peut se générer un gain de 730 DU sur 2 ans.
Partir dans un endroit où l’on est pas connu, participer à quelques apéros pour se faire certifier, peut donc être un “business” très rentable.
Bien qu’il y ait des choses mises en place pour lutter contre ça, je pense que ça reste trop facilement contournable.

Je propose de rendre la photo du visage obligatoire pour les comptes membres.
En effet, nos visages sont pour moi ce qui nous permet naturellement de nous identifier, nous êtres humains, les uns des autres.
Lorsque l’on crée un compte membre, techniquement, rien ne lie le compte membre à l’être humain.
La photo du visage servirait à cela. Ainsi, le certificateur, en plus de faire ce qui doit déjà être fait, devrait s’assurer que la photo correspond à l’être humain, et qu’elle soit claire. Aussi, il aurait de quoi vérifier que ce soit bien son seul compte membre.

On pourrait d’ailleurs aussi combiner ça à une phrase que l’on doit enregistrer vocalement sur son compte du genre “Ceci est mon seul compte membre”.

De ça, on peut imaginer des programmes qui iraient vérifier qu’il n’y ait pas de multi-comptes membres pour un même être humain, en comparant la numérisation de la voix et du visage. Ceci faciliterait le travail du certificateur.


#2

La question de la biométrie a déjà été abordée sur ce forum, pour résumer les arguments contre dont je me souviens :

  • La WoT permet d’établir une identité tout en conservant son anonymat ; seuls voisins proches dans la toile sont “obligés” de connaître la personne. Publier des données biométriques supprimerait cette possibilité d’anonymat.
  • Aujourd’hui, on peut générer de fausses données biométriques, ou bien en trouver en masse dans des bases de données anonymes. Un ordinateur pourrait se faire passer pour un humain. (le test de Turing a déjà été passé pour les visages, et les captcha sont obsolètes si on paye des centaines de personnes pour les résoudre à la chaîne)
  • Plusieurs personnes peuvent avoir le même visage, la même voix, naturellement ou grâce à des artifices.
  • En prenant des enregistrements photographiques et sonores d’une personne, on pourrait usurper son identité.

#3

Le problème avec cette proposition est qu’il faut stocker des données personnelles dans la blockchain sur l’identité présumée des personnes. Et ceci est évidemment hors de question pour des raisons de vie privée, de sécurité et de droit à l’oubli.

Tu remarqueras que seuls les profils Cesium+ contiennent des données personnelles sur l’identité des personnes et que c’est totalement optionnel. Rien de cela n’est stocké en blockchain Duniter.

Seuls les certificateurs doivent savoir l’identité présumée de la personne certifiée. Les algorithmes de détection de fraudes sur la toile de confiance et dans les comportements permettent déjà de détecter des fraudes et cela ira en s’améliorant.

Dans ma procédure de certification sécurisée je propose de montrer au certificateur une photo récente sur un document quelconque approuvé par celui-ci. C’est déjà un plus, non pas pour être certain que le document est authentique, mais pour que le certificateur connaisse bien l’identité réelle présumée du certifié.

Peu importe si celle-ci est fausse, les recoupements entre certificateurs et les logiciels d’analyses de la toile de confiance feront le reste.


#4

@tuxmain

  • La WoT permet d’établir une identité tout en conservant son anonymat ; seuls voisins proches dans la toile sont “obligés” de connaître la personne. Publier des données biométriques supprimerait cette possibilité d’anonymat.

Oui tout à fait, ça supprimerait cette possibilité d’anonymat pour les comptes membres. Rien n’empêche après de créer des comptes portefeuilles anonymes.
Mais pour que les certificateurs puissent s’assurer que c’est bien le premier compte membre de l’être humain qu’il certifie, il faut forcement que les comptes membres ne soient pas anonyme. Et à choisir entre :
_Donner la possibilité de créer plusieurs compte membre assez facilement, et donc potentiellement de détruire toutes la cohérence des junes (car du moment ou un nombre trop important font des multi-comptes membres, il n’y a plus d’équilibre).
Et :
_Ne pas permettre de compte membre anonyme, alors que justement, un compte membre Doit faire référence à un être humain.
Pour moi il n’y a pas photo, la volonté de créé un compte membre de façon anonyme ne me semble pas être un vrai problème comparé à la grosse faille qu’impliquerait cette possibilité d’anonymat.

  • Aujourd’hui, on peut générer de fausses données biométriques, ou bien en trouver en masse dans des bases de données anonymes. Un ordinateur pourrait se faire passer pour un humain. (le test de Turing a déjà été passé pour les visages, et les captcha sont obsolètes si on paye des centaines de personnes pour les résoudre à la chaîne)

Je ne suis pas sûr de comprendre ce que tu veux dire par là, mais concrètement, si tu prends une photo d’une autre personne, tu ne pourras pas te faire certifier, car le certificateur verra qu’elle ne correspondra pas à ton vrai visage.

  • Plusieurs personnes peuvent avoir le même visage, la même voix, naturellement ou grâce à des artifices.

Oui, mais ça ne pose pas de problème. La photo du visage et l’enregistrement ne seraient que des supports pour le certificateur sur lequel il pourrait s’appuyer pour vérifier que ce soit bien son seul compte. Donc, s’il voit un autre compte avec le même visage et la même voix, il aurait ensuite tous le loisir d’approfondir la chose, voir s’il s’agit d’un jumeau par exemple, ou non. Son choix de certifier ou non ne sera que plus éclairé.

  • En prenant des enregistrements photographiques et sonores d’une personne, on pourrait usurper son identité.

Si tu utilises ma photo et ma voix pour te faire certifier, le certificateur ne te certifiera pas car il verra que ce n’est ni ta voix ni ton visage.


#5

@vtexier

Le problème avec cette proposition est qu’il faut stocker des données personnelles dans la blockchain sur l’identité présumée des personnes. Et ceci est évidemment hors de question pour des raisons de vie privée, de sécurité et de droit à l’oubli.

Ce que tu dis sous entends que le visage est de l’ordre de la vie privé. Je ne suis pas d’accord là-dessus. Le visage sert à nous identifier les uns les autres. C’est un peu la “clé publique” de l’être humain non?
Concernant le problème de sécurité et de droit à l’oubli je ne vois pas à quoi tu fais allusion. Pourrais-tu développer s’il te plaît ?

Tu remarqueras que seuls les profils Cesium+ contiennent des données personnelles sur l’identité des personnes et que c’est totalement optionnel. Rien de cela n’est stocké en blockchain Duniter.

Oui, d’où l’objet de cette proposition ^^

Seuls les certificateurs doivent savoir l’identité présumée de la personne certifiée. Les algorithmes de détection de fraudes sur la toile de confiance et dans les comportements permettent déjà de détecter des fraudes et cela ira en s’améliorant.

Oui, mais il me semble qu’ils sont clairement insuffisantes. Et on aura beau continuer à mettre toute l’énergie qu’on voudra dans l’évolution de ces outils, ça restera clairement insuffisant. Tout simplement, car il n’y a Rien qui permet de faire le lien entre un compte membre et un être humain. Le business de multi création de compte sera super un business super rentable. Tu pourra facilement ne vivre que de ça. Voyageant de partout en France et dans le monde, pour te créer des dizaines de comptes.

Dans ma procédure de certification sécurisée je propose de montrer au certificateur une photo récente sur un document quelconque approuvé par celui-ci. C’est déjà un plus, non pas pour être certain que le document est authentique, mais pour que le certificateur connaisse bien l’identité réelle présumée du certifié.

Sauf erreur de ma part, ta procédure ne répond pas du tout au problème exposé. En quoi cela empêcherait-il le “business multi-compte” que j’ai décrit ?
Aussi, les créateurs des junes sont simplement des êtres-humains, ça ne concerne pas les citoyens, ou autres personnes morales. Donc demander une carte d’identité ou un passeport n’est pas approprié.

Peu importe si celle-ci est fausse, les recoupements entre certificateurs et les logiciels d’analyses de la toile de confiance feront le reste.

Probablement que non malheureusement. Si je vais à Lille, puis à Bordeaux, puis à Lyon, puis à Renne pour me faire certifier à chacun de ces endroits, crois tu sincèrement que je ne pourrais pas le faire?
Ça me ferait juste 4 compte membres à entretenir, pour que tous les 2 ans, je puisse renouveler mes certifications.


#6

Il y a aussi que nous vivons dans un monde où les dominants (États + GAFAM & cie) nous obligent ou nous poussent fortement à leur fournir des données biométriques, et récoltent ces données à notre insu pour les utiliser contre notre intérêt et pour le leur. La ML est une lutte contre ces institutions et leurs pratiques, entre autre en disant que nous sommes propriétaires des informations qui nous concernent (décentralisation et crypto asymétrique). Les données biométriques sont parmi les données qui appartiennent le plus à l’individu qu’elles concernent. Je ne veux pas donner ces données à Google, je ne les donnerai pas plus à Cesium+.


#7

Tu passeras probablement inaperçu pendant quelques temps. Le monde est petit. Tu prends un risque. Le jour où tu es démasqué il y a des chances que plus personne ne veuille te certifier. Es-tu prêt à te priver de création monétaire (en plus d’être pointé du doigt comme tricheur par toute la communauté) à vie, tout ça pour avoir quelques DU de plus, alors que la création monétaire n’est pas forcément très importante par rapport aux échanges ? C’est un calcul que chacun fera en conscience.


#8

@tuxmain

Je pense pas qu’il y ait de don à faire, et encore moins à une entité externe. Le compte que tu créé t’appartient. Et c’est seulement sur ce compte que la photo du visage serait renseigné.
En tout cas, s’il est impossible de faire un lien entre un compte membre et l’être humain, alors la création de plusieurs compte membre pour un seul être humain sera facile. J’aimerais me trompé là dessus, dans quel cas, je suis à ton écoute pour me le montrer, mais je ne pense pas. D’où ma proposition.

Pour moi cette faille est trop grosse pour que la monnaie puisse marcher à grande échelle. Pour l’instant, j’imagine que les junes touchent quasi seulement (voir seulement) des personnes bien intentionnées. Mais le jour où cette monnaie prend plus de valeur, qu’on puisse y vivre à 100% pour la plupart des gens, elle touchera n’importe qui, et malheureusement, des gens pas toujours bien intentionnés.
S’il y a un business rentable, il y aura des gens intéressés pour le pratiquer. Quant au risque de se faire “choper”, des business bien plus risqués son pratiqués. Et si un tel business commence à s’introduire dans les junes, ça sera la fin je pense.
C’est très simple en réalité, un compte membre, est le compte d’un être humain. Il faut donc que le lien existe quelque part, et soit accessible. Sinon ça devient n’importe quoi.
Comme une BDD où il manquerait une clé étrangère. Si dans une entité Produit tu n’as pas la référence boutique_id (faisant référence à l’entité Boutique), il te sera impossible de réaliser la règle : une Boutique ne peut avoir que n Articles. Et ce serait bizarre qu’une Boutique ne veuille pas créer de Produits sous prétexte qu’elle devrait dire qu’elle en est le propriétaire. La boutique doit s’assumer en tant que Boutique, propriétaire de produits. Comme nous devrions nous assumer en tant qu’être humain, propriétaire d’un compte membre.

Quant aux obligations des “dominants (États + GAFAM & cie)” dont tu parles, elles ne concernent pas les êtres humains, mais des personnes morales (citoyens, sociétés).


#9

Tout à fait, d’ailleurs rien ne répondra de manière fiable au problème de s’assurer du lien “humain” -> identité numérique.

L’illustration présentant des papiers de l’état est juste une illustration, dans le texte, je précise bien que n’importe quel document peut être présenté, privé ou publique, c’est le certificateur qui décide en quoi il a confiance.

Biométrie, photo, adn, etc, le sujet a déjà été abordé ici, j’ai fait un coup de loupe…:wink: :

Je ne m’étendrai pas plus dessus, j’ai déjà donné mon opinion.


#10

@jytou
Tu passeras probablement inaperçu pendant quelques temps. Le monde est petit

Oui pendant quelques temps, et ce temps là s’arrêterai probablement à mon décès ^^
Le monde n’est pas si petit que ça. Surtout si on passe de 1900 membres à des millions, voir milliards.

@jytou
Tu prends un risque. Le jour où tu es démasqué il y a des chances que plus personne ne veuille te certifier. Es-tu prêt à te priver de création monétaire (en plus d’être pointé du doigt comme tricheur par toute la communauté) à vie

Le risque en question dont tu parles est minime. Ce n’est rien par rapport à d’autres business bien plus risqué, et qui sont pourtant pratiqués. J’habite vers Beziers, si j’essaye de me faire certifier dans un petit patelin vers Lille par exemple, comment les certificateurs pourraient savoir que j’ai déjà créé un compte suite à des apéros sur Béziers ? La probabilité qu’ils le découvrent serait très proche de zéro.
Et quand bien même un certificateur aurait découvert la supercherie, crois-tu que ça m’empêcherait de recommencer, dans un autre patelin paumé en Bretagne par exemple ?

@jytou
tout ça pour avoir quelques DU de plus, alors que la création monétaire n’est pas forcément très importante par rapport aux échanges

Il s’agit quand même de 730 DU pour quelques certifications. Je ne pense pas que ce soit peu en rapport à la faible quantité d’énergie nécessaire pour y arriver. Autrement dit, comme je le disais, il me semble que ça serait un business très rentable :confused:


#11

Bonsoir, avez-vous bien compris la licence, et l’appliquez-vous ? Que faites-vous pour l’expliquer et faire en sorte qu’elle soit respectée ?

C’est peut-être par là qu’il faut commencer.

Pour info, avec les paramètres actuels, la toile de confiance comptera au maximum 16 millions de membres, en étant optimisée. Ca bloquera avant.

Et qui sait, la gestion de l’identité changera peut-être vite ?


#12

@matograine

Bonsoir, avez-vous bien compris la licence, et l’appliquez-vous ? Que faites-vous pour l’expliquer et faire en sorte qu’elle soit respectée ?

Bonsoir :slight_smile:

Je pense l’avoir bien comprise oui.
Concernant son application, je n’ai pas encore eu l’opportunité de la réaliser car je n’ai encore jamais certifié une personne non membre autre que ma femme (je suis membres depuis assez peu de temps).

Mais en effet, je me suis déjà imaginé entrain de faire cette démarche, et pour la partie suivante de la licence :

être en mesure de repérer un double compte effectué

je ne vois pas comment je pourrais le vérifier. S’il a créé un compte suite a des apéros d’une autre ville avec le pseudo “Tintin”, comment pourrais-je faire le rapprochement ?

C’est peut-être par là qu’il faut commencer.

L’idée de mettre une photo m’est en effet venu avant de connaître la licence, car je ne connaissais pas encore les junes. J’étais moi même entrain de créer une plateforme ressemblant à celle-ci.
En revanche, j’ai bien entendu lu la licence avant de poster ce sujet :slight_smile:

Pour info, avec les paramètres actuels, la toile de confiance comptera au maximum 16 millions de membres, en étant optimisée. Ça bloquera avant.

Dans le cas où on atteint les 16 millions de membres, c’est une limite qu’il faudra pourtant repousser si on veut continuer de proposer une monnaie ou Tous les être humains sont égaux vis à vis d’elle. Et j’espère bien que ça sera le cas.

Et qui sait, la gestion de l’identité changera peut-être vite ?

Tout à fait, et le jour où ça changera, ça commencera probablement par la création d’un sujet comme celui-ci ^^


#13

Je crois que ce que veux dire Matograine, c’est que si les personnes à Lille appliquent la licence, ils ne devraient peut-être pas renouveler des certifications tous les 2 ans alors que tu ne passe que pour ça.

Personnellement, autant j’ai été assez coulant pour les entrants, autant les renouvellements ne sont que pour les personnes en qui j’ai vraiment “confiance”, que j’ai vu actifs dans la ğ1 ou que je connais personnellement.


#14

Je sous-entend également que si la licence est respectée, alors il faut mener une double vie pour avoir deux comptes, OU constituer une association de malfaiteurices.


#15

Non pas besoin de mener de double vie, juste besoin de consacrer un peu de temps pour créer un compte et le faire certifier. Une fois fais, plus rien à faire là dessus. Car même pas besoin de le faire renouveler. Et au bout de 2 ans, tu peux recommencer autre part. Ou même avant si tu veux augmenter tes gains.

Combien de temps de “travail” ça te prendrait pour te créer un faux compte, et le faire certifier par 5 personnes? 20h? (perso, je pense beaucoup moins, mais admettons que ça te prenne 20h)
en 20h de “travail”, tu gagnerais 730,5 DU. Ce serait donc un business rapportant 36,525 DU / heure travaillé. Je trouve ça super rentable, beaucoup trop rentable.


#16

Attention, je ne dis pas qu’il faudrait que ça prenne plus de temps de se faire certifier. Au contraire même. Je propose simplement de se donner les moyens de combler cette faille. Et puisqu’il faut que l’entitié A n’ai que une seule entité B, il me semble logique de se donner les moyens de faire le lien entre B est A (A => être humain, B => compte membre)


#17

Voyons ce qu’en dit la licence :

Bien connaître une personne suppose que vous êtes en mesure de la contacter par plusieurs moyens différents (physique, électronique, autre…) mais aussi que vous connaissez aussi plusieurs personnes qui la connaissent tout aussi bien et sont donc aussi en mesure de la contacter de même. Notamment si vous ne connaissez pas bien aucun de ses autres certificateurs c’est une indication forte que vous ne connaissez pas bien la personne et une certification de ce type déclenche une alerte vers toute la communauté Ğ1. En cas de connaissance insuffisante il convient de ne surtout pas certifier.

Concrètement, il convient de certifier les membres de sa famille, ses amis, ses connaissances proches, ou ses connaissances un peu moins proches mais qui font partie d’un même groupe de connaissances membres de la TdC. Quelqu’un avec qui l’on commerce peut devenir une connaissance. Un double compte nécessite donc bien de mener une double vie.

Si vous venez parce que ceci n’est pas respecté, c’est une autre question, d’où :

Que faites-vous pour l’expliquer et faire en sorte qu’elle soit respectée ?

Mais ceci mérite peut-être un autre sujet sur le forum d’en face : “comment respecter la licence ?”, qui à mon sens contient la réponse dans la question.


#18

Ce que tu cites ne sont “que” des “Conseils fortement recommandés”.
Aussi, dans mon cas par exemple, où je ne connaissais personne dans la monnaie libre, mes certificateurs ne Pouvaient Pas connaître d’autres êtres humains me connaissant moi même.
Est-ce pour autant qu’ils n’auraient pas du me certifier ?

Cette monnaie est une monnaie libre. Tous les êtres humains peuvent se faire certifier, même ceux qui ne connaissent personne ou peu de monde (et il y en a).


#19

Oui. Ils auraient dû attendre de bien vous connaître, pour respecter scrupuleusement la licence. Un de mes certificateurs ne respectait pas cette condition également, je ne l’ai pas contre-certifié.

A présent que vous avez bien compris la licence, vous pouvez donc participer en pleine connaissance de cause à la sécurité de la June telle qu’elle est, OU participer à la construction d’un autre système de gestion d’identité. Voyez ceci, par exemple : BrightID - Identité unique décentralisée

Celleux qui vivent en anachorète n’ont pas besoin de monnaie. D’autre part, 5 personnes, c’est effectivement “peu de monde”, et atteint même si l’on vit isolé.e.

Vous observez qu’effectivement, tous les êtres humains peuvent faire certifier leurs comptes, mais que ceci n’est pas automatique et se fait au rythme de la confiance entre êtres humains, sans utiliser d’intermédiaires tels que l’etat ou la banque.

edit - d’autre part, la June est effectivement une monnaie libre, mais 1- elle est encore une expérimentation, et 2- en l’etat, elle ne peut pas accueillir toute l’humanité, photographie ou pas, et 3- ce système d’identification des comptes est imparfait, nous sommes d’accord.


#20

Ils auraient dû attendre de bien vous connaître

Le “bien” est très subjectif. A partir du moment où le certificateur pense me connaître suffisamment bien pour me certifier, il le fera probablement. Et dans la pratique, c’est ce qui se fait. Et ce “bien”, variant d’un membre à un autre, peut être très léger pour certains.

Celleux qui vivent en anachorète n’ont pas besoin de monnaie.

Pas besoin de vivre en anachorète pour ne pas connaître de monde dans la monnaie libre.
De plus, tu parles au nom des autres. Peut être que les anachorètes le sont parce qu’ils n’ont pas eu a disposition une monnaie libre par exemple. Bref, parlons de ce que l’on sait

Ce système d’identification des comptes est imparfait, nous sommes d’accord

Non seulement il est imparfait, mais je pense que la faille est trop grosse pour que la monnaie fonctionne à grande échelle. Une personne voulant détruire cette monnaie (et si elle fonctionne il y en aura surement), pourra aisément populariser ce business pour la détruire. C’est mon point de vue en tout cas.

Ma question est resté sans réponse, je la repose : Combien de temps de “travail” te faudrait-il, pour te créer un compte, et avoir 5 certifications ?