Soupçon de faux compte et/ou mauvaises certifications

Une question me viens à l’esprit: Si les certificateurs de ce compte demande la revocation de leurs comptes pour en créer un nouveau (en transférant leurs DU sur un compte intermédiaire pour ne pas les perdre). Est-ce que les certificats données à ce faux compte tombent?

Non, une fois membre, seule la limite des 2 ans permet de couper le compte de la TdC Ğ1 par non-renouvellement des certifications nécessaires (5 actuellement).

J’ai déplacé les posts qui ne contenaient pas d’invective personnelle vers ce topic. On est là pour résoudre un potentiel problème dans le fonctionnement du réseau (technique et humain).

Les points que je déplacé concernent avant tout un bout technique. Pour la partie humaine, c’est plutôt le post de @cgeek qui sera le point de départ du sujet.

Je laisse à chacun la liberté de poster à nouveau ici ce qu’il juge intéressant, tu peux même rapporter les posts toi-même si tu le souhaites en citant leurs auteurs.

Respectons juste cette consigne : pas d’attaque ad hominem. Pas de jugement. Juste des constats de failles des parties fonctionnelles / techniques possiblement à revoir, rapport des faits en insistant sur la responsabilité fonctionnelle / technique menant à la situation.

Avec des précautions particulières pour ne pas blesser autrui, qui par ailleurs peut déjà se sentir mal de s’être fait avoir par un logiciel / une personne.

Merci de l’avoir fait cependant il y a beaucoup d’autres posts de la discussion qui pouvaient être gardés.
Mon intervention sur ce point et sur ce thème s’arrête la.

7 messages ont été déplacés vers un nouveau sujet : Annulation de certification

Je tiens à préciser que Squeeek a contacté un des certificateurs, qui lui a dit avoir fait un skype avec le déteneur du compte lors d’un apéro.
On peut remettre en cause le respect de l’aspect “connaître suffisament”, mais par contre au moins pour cette certification, ça n’a pas été fait au hasard.

Il y a en effet 6 certifications sur ce compte + 1 en cours. Seulement à ma connaissance 2 certifieurs ont répondu à des questions sur le processus qui les mené à la certification, et dans les 2 cas les personnes ne connaissent pas la personne conformément à la licence Ğ1.

Par ailleurs les certifieurs sont éloignés les uns des autres, à tel point que c’est justement ceci qui a alerté les membres de la TdC Ğ1 quant à une possibilité de faux compte. En effet 5 certifieurs connaissant bien une personne chacun, ont une probabilité proche de zéro qu’aucun des 5 ne connaisse aucun des 4 autres. Quand on connaît bien une personne on connaît en partie son entourage.

• Ce point pourrait être une alerte dans les clients en termes de relations => Avant que X valide une certification, si les autres certifieurs sont tous éloignés de X (distance > 1), alerter de ne pas valider seul, de prendre contact avec les autres certifieurs, de revoir la licence Ğ1.

Ce qui reste étonnant par ailleurs c’est que si il y a 2 certifieurs qui ont pu répondre assez vite, il en reste 5 autres dont on a aucune nouvelle, ni d’eux-mêmes, ni de leurs propres certifieurs qui pourtant devraient s’alerter du fait du non-respect potentiel de la licence Ğ1 alors qu’ils sont censés l’avoir transmise à leurs certifiés.

Point 3 : la durée de vie d’une certification initiale (piscine) est de 2 mois, ce qui est une borne haute de durée pour une anti-certification. Cette durée me semble cohérente pour qu’une certification soit définitivement validée. Une anti-certification ne devrait donc pouvoir avoir lieu que durant les 2 premiers mois d’inscription de la certification concernée en blockchain.

Une petite précision suite à ce que j’ai pu lire ici où là d’une inquiétude liée à une surveillance que certains jugeraient malsaine.

Je ne juge pas utile de revenir sur l’importance de la WoT, ce qu’elle représente et les risques dont elle est censé nous protéger si la licence est bien suivie.

Par contre, les paramètres de toile définissent des sentinelles. Le pendant technique est qu’une personne doit être à moins de 5 degrés d’au moins 80% des sentinelles pour pouvoir devenir membre ou renouveler sa membritude. Il y a pour moi, clairement, un pendant humain. C’est afin de s’assurer qu’il y a des membres centraux, avec une très bonne connaissance de la licence qui peuvent repérer des mises en danger potentielles de la toile, et comprendre ce qu’il en est.

Je remets une couche sur mon approche biométriqe, fût elle détestable à certains égards.
Si un membre de la toile/émetteur de monnaie ouvre un compte sur VK (facebook russe) avec sa photo+sa clé publique G1 alors :
il suffit de prendre une photo ou capture d’écran de lui (lors d’un skype par ex), et on peut utiliser cette photo (sans la publier) pour faire une recherche automatique sur VK (grâce à l’appli Findface).
On voit si la personne a déjà un compte VK/G1.
J’en reviens à dire : si une autre monnaie libre propose ça, c’est un risque pour G1 de se faire doubler.

Dès lundi, j’ai eu le retour de 2 certifieurs (merci à eux pour leur réactivité) qui ne le connaissait effectivement pas, et qui n’ont pas pris le temps de vérifier son identité. La 3ème que je connais, est a priori dans le même cas.

Pour 2 certifeurs que je connais, la license bien été transmise. En revanche, elle n’a sans doute pas été suffisamment étudiée, puisqu’elle n’a pas été comprise.
Je penses que c’est le point important. Quand on a compris et étudier le code de la route, on passe un examen pour vérifier notre compréhension.
Que pensez-vous d’un quizz (QCM) sur la license, par exemple avec des questions aléatoires ?
Le résultat pourrait être signé par la clé du compte et publié sur un site tiers (ex: sur les noeuds des données de profils Cesium+), consultables afin que les potentiels certifieurs puissent vérifier que la compréhension est bonne.
Ca me parait assez simple à réaliser…
EDIT: On pourrait même imaginer que les membres G1 puissent soumettre de nouvelle question de QCM.

J’ai eu confirmation que le mécanisme “d’invitation à certifier” de Cesium+ a été utilisé (d’ailleurs les messages privés ne gèrent pas le multi-destinataire).
Que pensez-vous de le rendre accessible seulement pour les personnes déjà membres ? Cela pourrait être utile pour ressérer la toile, ou alerter sur de nouvelle adhésion, mais sans autoriser les postulants à utiliser cette fonction.
Une autre possibilité est de limiter l’usage à quelques envois (par exemple 3 ou 5 invitations).

+1

@inso, ta solution sous-entend que ceux que tu cherches à former sont ceux qui sont déjà membres.
Or pour moi c’est à l’entrée de la toile de confiance que nous devrions être mieux formé, avec validation de notre formation.
Cela dit, ton idée permet de résoudre l’erreur de clic(s). Mais pour cette aspect, saisir en toute lettre le pseudo serait plus simple, non ?

Le création du compte a confirmé avoir fait un skype à quelqu’un de Toulouse qui l’a ensuite certifié.
Je confirme avoir eu au téléphone le créateur du compte, ce qui confirme qu’il est bien “une personne humaine vivante”

Ce mécanisme je le trouve en effet dangereux et ce n’est pas nouveau
Je serais donc d’avis effectivement qu’il ne soit pas accessible aux personnes non membre, car elles n’ont probalbment pas encore étudié la licence.

Toujours le problème de démarage de l’itération je pense => si la personne certifie à l’aveugle, elle ne va pas aller vérifier que le code est passé.
Mais l’idée est bonne. L’ajouter en feature avant certification façon captcha / protection anti-bourrés ?

Allez hop je fais ca.

Oui, je parlais pour les nouveaux.

#AuTravail #DansLaJoie !

#DémarrageCompliqué #AttentionLesSecousses !

Ca me semble tout à fait ce qu’il conviendrait de faire, oui.

+1 pour les « dispositifs anti bourrés » (merci @florck pour la bonne rigolade sur le terme… ) dont l’histoire du QCM.

Mon avis, après avoir contacté Gbr, est que tu peux tester cela avec lui. Il est joignable par ce forum, puis en MP sur Facebook, Skype & Co.
Je t’encourage à mettre en oeuvre et expérimenter tes propres idées, plutôt que d’attendre que les autres s’en emparent, puis de témoigner des résultats.

• Je suis favorable à la solution de révocation d’une certification limitée à une durée de N premiers jours de son existence.
  La proposition de 60 jours (2mois) est logique et cohérente avec la viabilité de la demande en attente (2mois).

• Je suis favorable à la suppression de la fenêtre de demande de certification via césium+. La toile de confiance de Duniter est conçue par cooptation, de membres existants envers des personnes qu’ils “connaissent” de visu ou via internet, identité vérifiée selon les termes de la licence. Il est n’est pas souhaitable (pour la toile de confiance) de submerger les nouveaux (même membres) novices de demandes de certifications par des inconnus. On peut réactiver cette fonctionnalité si on implémente un système analogue à la double authentification dans le profil cesium+. Je vais proposer une issue…

Bonjour à tous les intervenants ici.

Je me permets d’intervenir car je fais partie des membres qui ont certifié Gabor.

Je passerai rapidement sur les accusations de potentialité de groupe organisé de faux monnayeurs que j’ai pu lire lors d’autres échanges qui me semblent, pour le moment, farfelues.
En ce qui me concerne, je n’ai aucune intention de nuire à la monnaie libre, et je suis même partisan d’une sécurité et d’une résilience à toute épreuve contre ce genre de tentative. Je conçois parfaitement que l’on soit méfiant par rapport à un compte tel que celui de Gabor (en Hongrie, peu de probabilité qu’il soit connu…) et par extension par rapport aux membres qui l’auront certifié. Cependant, je vois que le sujet s’est quelque peu enflammé alors que la seule personne qui m’aie contacté pour en discuter l’a fait hier soir à l’apéro monnaie libre et cette nuit par mail ; si les personnes qui ont de gros doutes sur la probité des certificateurs souhaitent démêler le vrai du faux, l’une des meilleures solutions eut été de contacter les personnes mises en cause pour leur demander des comptes, chose qui me semble parfaitement légitime. Donc j’interviens ici parce qu’une personne qui ne m’accuse pas m’a informé qu’on accusait certains membres dont je fais partie.

Donc j’en viens à ma certification et à mes propres erreurs. J’ai effectivement certifié Gabor que je connais mal je l’admets bien volontiers.
Qu’est ce qu’il s’est passé ?
Un soir lors d’un apéro monnaie libre au Farfadets en pays Cathare, cet été, Gabriel a reçu une demande de certification de Gabor qui réside en Hongrie. Je laisserai Gabriel expliquer le comment du pourquoi lui-même mais je raconte ce que moi j’ai vécu.
Donc Gabriel me dit qu’il va accepter un rdv via Skype pour voir et discuter avec ce Gabor et il me propose d’y assister.
La réunion Skype est lancée, on voit Gabor, on discute 10 minutes avec lui et la réunion s’arrête là puisque nous avons vérifié qu’il s’agissait bien d’un humain, quelqu’un que l’on aurait pu rencontrer lors d’un apéro monnaie libre, avec lequel nous aurions discuté 10 min pour valider l’idée qu’on pourrait le certifier.
Gabriel s’engage à le certifier et moi aussi, ce qui est chose faite rapidement. Fin de l’histoire en ce qui me concerne.

Ce que j’en retire, c’est que je n’ai pas respecté la rigueur qui semble exigée pour les certifications, à savoir vérifier que c’est un humain, connaître la personne physiquement, connaître des détails de sa vie voire connaître son entourage. Et par conséquent je veux bien faire amende honorable et être désormais plus rigoureux. Je mets toutefois en garde sur cette rigueur : cela fait peu de temps que je suis membre mais je suis présent quasiment à tous (sinon à tous) les apéros monnaie libre et je ne vois pas spécialement cette rigueur mise en place ; on m’a demandé de certifier des gens que je n’ai jamais rencontrés mais je l’ai fait car j’ai eu confiance dans la personne qui m’a fait cette requête (pas pour elle même mais pour faire avancer une candidature). Or, il ne m’a pas semblé que certifier une personne avec laquelle j’ai discuté durant 10 min par Skype était à ce point si tendancieux que certifier quelqu’un d’inconnu par foi dans la toile de confiance.
Donc si vous souhaitez augmenter la rigueur sur ce sujet, pas de problème en ce qui me concerne, je ne certifierai plus que des personnes que je connais personnellement. Mais autant dire que je n’accepterai plus de faire avancer les candidatures à l’aveugle, ni que les apéros soient suffisants pour avoir cette toile de confiance à ce point solide et fiable.

Un dernier mot : je resterai tout à fait disponible pour quiconque souhaiterait approfondir la question de ma probité dans le réseau dans les limites du raisonnable, mais je n’accepterai pas d’être jugé sans que l’on ait pris le temps de se renseigner correctement et qu’on me demande tout simplement de me justifier ce que je viens de faire.
Pour le reste je souhaite le meilleur à la monnaie libre.

Tu as bien résumé le type de démarche qui mène à des questionnements sur la légitimité d’un compte. A noter qu’il n’y a pas que le problème de savoir si X a certifié Y en vérifiant bien correctement la licence Ğ1, mais que Y devient à son tour certifieur une fois dans la TdC Ğ1. Donc quelqu’un qui à distance fera certifier un double, triple ou quadruple compte, aurait éventuellement (hors contrôles de distance), un potentiel de création de comptes démultiplié…

Or si une personne est “bien connue” comme spécifié dans la licence Ğ1, le fait qu’elle puisse créer un double compte est d’autant limité que la probabilité que 5 certifieurs d’un compte ne connaissent pas du tout les 5 autres certifieurs est proche de zéro. D’où la compréhension de ce que signifie “bien connaître”.

Ensuite il n’y a pas “d’accusation” nulle part, simplement le fait que certifier des comptes à l’aveugle, sans tenir compte de la licence Ğ1, peut laisser supposer qu’il y a un problème d’autant plus probable. Il convient juste de prendre conscience de ce fait au sein d’une communauté monétaire, qui co-produit la même monnaie.

Tout ceci revient in-fine à étudier, comprendre et transmettre correctement la licence Ğ1.

Le fait que tu te sois manifesté ici est positif, sur ce forum nous avons à ce jour un retour de 3 parmis les 7 certifieurs de Gbr. Pour le moment aucun ne le connaît conformément à la licence Ğ1… Mais qui sait, il en reste 4…

A l’échelle actuelle, certifier uniquement des connaissances bien connues aurait du mal à faire avancer la toile (pour des raisons évidentes, quelqu’un qui arrive ne peut pas bien connaitre 5 personnes dans la communauté, c’est hautement improbable)

Par contre, pour certifier rigoureusement tout en travaillant à l’extension de la toile, il est nécessaire d’après moi :

• De se rencontrer plusieurs fois (aperos par ex) ou d’échanger régulièrement avec (exemple : ceux qui sont actifs sur le forum depuis longtemps et que je rencontre, je peux considérer commencer à bien les connaitre…)
• D’échanger des coordonnées en dehors de Duniter (adresse mail par exemple)
• De s’assurer que tout le monde a bien pris conscience de la licence (point à améliorer aujourd’hui, par exemple via le système de quizz imaginé par Kimamila)