Soupçon de faux compte et/ou mauvaises certifications

Je redémarre ici une conversation mal partie hier, au sujet d’un faux compte potentiel.

Résumé

Un compte a été certifié par 5 personnes, et il se trouve que jusqu’à maintenant aucun d’entre eux n’a répondu qu’il ne la connaissait réellement, soit par absence de réponse soit dans le cas d’un des certifieurs « j’ai fait une erreur, je ne voulais pas le certifier ».

Désormais ce compte a une 6ème certification et en attend encore une 7ème, et en plus il en émet lui-même.

Problématiques

La question principale est la suivante : s’agit-il d’un vrai compte ?

Si oui, ses certifieurs devraient pouvoir répondre de leur signature sur cette identité, pour l’instant à ma connaissance seule une personne a répondu : qu’elle ne la connaissait pas. Il est donc pour l’instant inquiétant de voir ce compte, car déjà 20% de ses certifieurs ne le connaissent pas : est-ce qu’il s’est passé la même chose pour les 80% restants ?

De là découlent à mon avis 2 problématiques :

  • est-ce que la licence Ğ1 a bien été étudiée et comprise par ses certifieurs, mais aussi a-t-elle bien été transmise par leurs propres certifieurs à eux ? car si ce compte est un faux, on peut sérieusement en douter il y aura des leçons à en tirer.
  • dans le cas de la personne ayant certifié par erreur, comment a-t-on pu arriver si facilement à cette situation ? est-ce que les 4, 5, puis bientôt 6 autres certifieurs sont dans le même cas ? s’il y a des problèmes mécaniques menant à cette situation, alors il convient de les identifier pour tenter d’y remédier.

Dans ces 2 problématiques il y a véritablement des points à soulever, nous pouvons y travailler dans ce sujet.

Merci de vous contenter de soulever ces points et de ne pas vous attaquer aux personnes, même si ici l’erreur finale aura pu être humaine. Ce qui doit nous intéresser est le cheminement, pas l’erreur finale.

cc @leduigou @Galuel @elois @mmu_man @kimamila

5 « J'aime »

Je ferai une seule intervention sur ce sujet: je trouve dommage que le post parlant de ce “faux” compte a été fermé car il y avait plusieurs discussions intéressantes. Le post pouvait être gardé en supprimant uniquement ce qui posait problème.
Ce présent post ne reflète pas la discussion du post fermé.

1 « J'aime »

Idée d’UX toute simple :

Demander à l’utilisateur d’entrer le texte Je souhaite certifier [uid], et je reconnais m'être assuré qu'il connaissait et maitrisait la licence ǧ1 le [N°] [jour] [mois] [année] pour pouvoir appuyer sur Ok.

Ce texte ne serait publié et sauvegardé nulle part, mais l’aspect psychologique d’écrire ces mots peuvent peut-être supprimer l’aspect “léger” du “clic clic hop certifié!” ?

7 « J'aime »

yop, en vrac:

  1. une page qui reprend l’UX telle qu’elle est de “simulation” pour rappeler les enjeux puis amené sur la page qui elle effectue le job
    => tendre vers une interface de simulation a promouvoir en premier lieu a l’usage de ceux qui découvrent et se faire la main…

  2. systeme de mail, envois à l’ensemble des personnes certifiantes une notification que uidA certifie uidB <=> nécéssite d’avoir des adresses mails…
    on pourrait envisager que sur cette page de “certification” on soit dans l’obligation d’entrer des adresses mails de personnes connues…

A donner trop d’information nous pouvons nous retrouver avec des problèmes d’usurpation d’identité.

1 « J'aime »

pour rebondir sur ta réponse @stephane

le point 1 me semble être nécéssaire, répéter les étapes / recommencer le processus par la simulation pour aider et ancrer la compréhension

le point 2 , je ne suis pas d’avis - dans un 1er temps - avec toi,
j’ai une vision ancrée :wink: cela ne regle pas le probleme dans un 1er temps d’une eventuelle erreur de manip, de faux compte mails, cependant ca peut permettre de vite dissipé des doutes (c’est ce que je vois la, à chaud des réactions engendrées…)

Une question me viens à l’esprit: Si les certificateurs de ce compte demande la revocation de leurs comptes pour en créer un nouveau (en transférant leurs DU sur un compte intermédiaire pour ne pas les perdre). Est-ce que les certificats données à ce faux compte tombent?

Non, une fois membre, seule la limite des 2 ans permet de couper le compte de la TdC Ğ1 par non-renouvellement des certifications nécessaires (5 actuellement).

J’ai déplacé les posts qui ne contenaient pas d’invective personnelle vers ce topic. On est là pour résoudre un potentiel problème dans le fonctionnement du réseau (technique et humain).

Les points que je déplacé concernent avant tout un bout technique. Pour la partie humaine, c’est plutôt le post de @cgeek qui sera le point de départ du sujet.

2 « J'aime »

Je laisse à chacun la liberté de poster à nouveau ici ce qu’il juge intéressant, tu peux même rapporter les posts toi-même si tu le souhaites en citant leurs auteurs.

Respectons juste cette consigne : pas d’attaque ad hominem. Pas de jugement. Juste des constats de failles des parties fonctionnelles / techniques possiblement à revoir, rapport des faits en insistant sur la responsabilité fonctionnelle / technique menant à la situation.

Avec des précautions particulières pour ne pas blesser autrui, qui par ailleurs peut déjà se sentir mal de s’être fait avoir par un logiciel / une personne.

4 « J'aime »

Merci de l’avoir fait cependant il y a beaucoup d’autres posts de la discussion qui pouvaient être gardés.
Mon intervention sur ce point et sur ce thème s’arrête la.

7 messages ont été déplacés vers un nouveau sujet : Annulation de certification

Je tiens à préciser que Squeeek a contacté un des certificateurs, qui lui a dit avoir fait un skype avec le déteneur du compte lors d’un apéro.
On peut remettre en cause le respect de l’aspect “connaître suffisament”, mais par contre au moins pour cette certification, ça n’a pas été fait au hasard.

Il y a en effet 6 certifications sur ce compte + 1 en cours. Seulement à ma connaissance 2 certifieurs ont répondu à des questions sur le processus qui les mené à la certification, et dans les 2 cas les personnes ne connaissent pas la personne conformément à la licence Ğ1.

Par ailleurs les certifieurs sont éloignés les uns des autres, à tel point que c’est justement ceci qui a alerté les membres de la TdC Ğ1 quant à une possibilité de faux compte. En effet 5 certifieurs connaissant bien une personne chacun, ont une probabilité proche de zéro qu’aucun des 5 ne connaisse aucun des 4 autres. Quand on connaît bien une personne on connaît en partie son entourage.

  • Ce point pourrait être une alerte dans les clients en termes de relations => Avant que X valide une certification, si les autres certifieurs sont tous éloignés de X (distance > 1), alerter de ne pas valider seul, de prendre contact avec les autres certifieurs, de revoir la licence Ğ1.

Ce qui reste étonnant par ailleurs c’est que si il y a 2 certifieurs qui ont pu répondre assez vite, il en reste 5 autres dont on a aucune nouvelle, ni d’eux-mêmes, ni de leurs propres certifieurs qui pourtant devraient s’alerter du fait du non-respect potentiel de la licence Ğ1 alors qu’ils sont censés l’avoir transmise à leurs certifiés.

Point 3 : la durée de vie d’une certification initiale (piscine) est de 2 mois, ce qui est une borne haute de durée pour une anti-certification. Cette durée me semble cohérente pour qu’une certification soit définitivement validée. Une anti-certification ne devrait donc pouvoir avoir lieu que durant les 2 premiers mois d’inscription de la certification concernée en blockchain.

2 « J'aime »

Une petite précision suite à ce que j’ai pu lire ici où là d’une inquiétude liée à une surveillance que certains jugeraient malsaine.

Je ne juge pas utile de revenir sur l’importance de la WoT, ce qu’elle représente et les risques dont elle est censé nous protéger si la licence est bien suivie.

Par contre, les paramètres de toile définissent des sentinelles. Le pendant technique est qu’une personne doit être à moins de 5 degrés d’au moins 80% des sentinelles pour pouvoir devenir membre ou renouveler sa membritude. Il y a pour moi, clairement, un pendant humain. C’est afin de s’assurer qu’il y a des membres centraux, avec une très bonne connaissance de la licence qui peuvent repérer des mises en danger potentielles de la toile, et comprendre ce qu’il en est.

3 « J'aime »

Je remets une couche sur mon approche biométriqe, fût elle détestable à certains égards.
Si un membre de la toile/émetteur de monnaie ouvre un compte sur VK (facebook russe) avec sa photo+sa clé publique G1 alors :
il suffit de prendre une photo ou capture d’écran de lui (lors d’un skype par ex), et on peut utiliser cette photo (sans la publier) pour faire une recherche automatique sur VK (grâce à l’appli Findface).
On voit si la personne a déjà un compte VK/G1.
J’en reviens à dire : si une autre monnaie libre propose ça, c’est un risque pour G1 de se faire doubler.

Dès lundi, j’ai eu le retour de 2 certifieurs (merci à eux pour leur réactivité) qui ne le connaissait effectivement pas, et qui n’ont pas pris le temps de vérifier son identité. La 3ème que je connais, est a priori dans le même cas.

Pour 2 certifeurs que je connais, la license bien été transmise. En revanche, elle n’a sans doute pas été suffisamment étudiée, puisqu’elle n’a pas été comprise.
Je penses que c’est le point important. Quand on a compris et étudier le code de la route, on passe un examen pour vérifier notre compréhension.
Que pensez-vous d’un quizz (QCM) sur la license, par exemple avec des questions aléatoires ?
Le résultat pourrait être signé par la clé du compte et publié sur un site tiers (ex: sur les noeuds des données de profils Cesium+), consultables afin que les potentiels certifieurs puissent vérifier que la compréhension est bonne.
Ca me parait assez simple à réaliser…
EDIT: On pourrait même imaginer que les membres G1 puissent soumettre de nouvelle question de QCM.

J’ai eu confirmation que le mécanisme “d’invitation à certifier” de Cesium+ a été utilisé (d’ailleurs les messages privés ne gèrent pas le multi-destinataire).
Que pensez-vous de le rendre accessible seulement pour les personnes déjà membres ? Cela pourrait être utile pour ressérer la toile, ou alerter sur de nouvelle adhésion, mais sans autoriser les postulants à utiliser cette fonction.
Une autre possibilité est de limiter l’usage à quelques envois (par exemple 3 ou 5 invitations).

:+1: +1

@inso, ta solution sous-entend que ceux que tu cherches à former sont ceux qui sont déjà membres.
Or pour moi c’est à l’entrée de la toile de confiance que nous devrions être mieux formé, avec validation de notre formation.
Cela dit, ton idée permet de résoudre l’erreur de clic(s). Mais pour cette aspect, saisir en toute lettre le pseudo serait plus simple, non ?

Le création du compte a confirmé avoir fait un skype à quelqu’un de Toulouse qui l’a ensuite certifié.
Je confirme avoir eu au téléphone le créateur du compte, ce qui confirme qu’il est bien “une personne humaine vivante” :wink:

4 « J'aime »

Ce mécanisme je le trouve en effet dangereux et ce n’est pas nouveau :wink:
Je serais donc d’avis effectivement qu’il ne soit pas accessible aux personnes non membre, car elles n’ont probalbment pas encore étudié la licence.

Toujours le problème de démarage de l’itération je pense => si la personne certifie à l’aveugle, elle ne va pas aller vérifier que le code est passé.
Mais l’idée est bonne. L’ajouter en feature avant certification façon captcha / protection anti-bourrés ?

2 « J'aime »

Allez hop je fais ca.

Oui, je parlais pour les nouveaux.

#AuTravail #DansLaJoie !

#DémarrageCompliqué #AttentionLesSecousses !

Ca me semble tout à fait ce qu’il conviendrait de faire, oui.

7 « J'aime »