Soupçon de faux compte et/ou mauvaises certifications

7 messages ont été déplacés vers un nouveau sujet : Annulation de certification

Je tiens à préciser que Squeeek a contacté un des certificateurs, qui lui a dit avoir fait un skype avec le déteneur du compte lors d’un apéro.
On peut remettre en cause le respect de l’aspect “connaître suffisament”, mais par contre au moins pour cette certification, ça n’a pas été fait au hasard.

Il y a en effet 6 certifications sur ce compte + 1 en cours. Seulement à ma connaissance 2 certifieurs ont répondu à des questions sur le processus qui les mené à la certification, et dans les 2 cas les personnes ne connaissent pas la personne conformément à la licence Ğ1.

Par ailleurs les certifieurs sont éloignés les uns des autres, à tel point que c’est justement ceci qui a alerté les membres de la TdC Ğ1 quant à une possibilité de faux compte. En effet 5 certifieurs connaissant bien une personne chacun, ont une probabilité proche de zéro qu’aucun des 5 ne connaisse aucun des 4 autres. Quand on connaît bien une personne on connaît en partie son entourage.

  • Ce point pourrait être une alerte dans les clients en termes de relations => Avant que X valide une certification, si les autres certifieurs sont tous éloignés de X (distance > 1), alerter de ne pas valider seul, de prendre contact avec les autres certifieurs, de revoir la licence Ğ1.

Ce qui reste étonnant par ailleurs c’est que si il y a 2 certifieurs qui ont pu répondre assez vite, il en reste 5 autres dont on a aucune nouvelle, ni d’eux-mêmes, ni de leurs propres certifieurs qui pourtant devraient s’alerter du fait du non-respect potentiel de la licence Ğ1 alors qu’ils sont censés l’avoir transmise à leurs certifiés.

Point 3 : la durée de vie d’une certification initiale (piscine) est de 2 mois, ce qui est une borne haute de durée pour une anti-certification. Cette durée me semble cohérente pour qu’une certification soit définitivement validée. Une anti-certification ne devrait donc pouvoir avoir lieu que durant les 2 premiers mois d’inscription de la certification concernée en blockchain.

2 « J'aime »

Une petite précision suite à ce que j’ai pu lire ici où là d’une inquiétude liée à une surveillance que certains jugeraient malsaine.

Je ne juge pas utile de revenir sur l’importance de la WoT, ce qu’elle représente et les risques dont elle est censé nous protéger si la licence est bien suivie.

Par contre, les paramètres de toile définissent des sentinelles. Le pendant technique est qu’une personne doit être à moins de 5 degrés d’au moins 80% des sentinelles pour pouvoir devenir membre ou renouveler sa membritude. Il y a pour moi, clairement, un pendant humain. C’est afin de s’assurer qu’il y a des membres centraux, avec une très bonne connaissance de la licence qui peuvent repérer des mises en danger potentielles de la toile, et comprendre ce qu’il en est.

3 « J'aime »

Je remets une couche sur mon approche biométriqe, fût elle détestable à certains égards.
Si un membre de la toile/émetteur de monnaie ouvre un compte sur VK (facebook russe) avec sa photo+sa clé publique G1 alors :
il suffit de prendre une photo ou capture d’écran de lui (lors d’un skype par ex), et on peut utiliser cette photo (sans la publier) pour faire une recherche automatique sur VK (grâce à l’appli Findface).
On voit si la personne a déjà un compte VK/G1.
J’en reviens à dire : si une autre monnaie libre propose ça, c’est un risque pour G1 de se faire doubler.

Dès lundi, j’ai eu le retour de 2 certifieurs (merci à eux pour leur réactivité) qui ne le connaissait effectivement pas, et qui n’ont pas pris le temps de vérifier son identité. La 3ème que je connais, est a priori dans le même cas.

Pour 2 certifeurs que je connais, la license bien été transmise. En revanche, elle n’a sans doute pas été suffisamment étudiée, puisqu’elle n’a pas été comprise.
Je penses que c’est le point important. Quand on a compris et étudier le code de la route, on passe un examen pour vérifier notre compréhension.
Que pensez-vous d’un quizz (QCM) sur la license, par exemple avec des questions aléatoires ?
Le résultat pourrait être signé par la clé du compte et publié sur un site tiers (ex: sur les noeuds des données de profils Cesium+), consultables afin que les potentiels certifieurs puissent vérifier que la compréhension est bonne.
Ca me parait assez simple à réaliser…
EDIT: On pourrait même imaginer que les membres G1 puissent soumettre de nouvelle question de QCM.

J’ai eu confirmation que le mécanisme “d’invitation à certifier” de Cesium+ a été utilisé (d’ailleurs les messages privés ne gèrent pas le multi-destinataire).
Que pensez-vous de le rendre accessible seulement pour les personnes déjà membres ? Cela pourrait être utile pour ressérer la toile, ou alerter sur de nouvelle adhésion, mais sans autoriser les postulants à utiliser cette fonction.
Une autre possibilité est de limiter l’usage à quelques envois (par exemple 3 ou 5 invitations).

:+1: +1

@inso, ta solution sous-entend que ceux que tu cherches à former sont ceux qui sont déjà membres.
Or pour moi c’est à l’entrée de la toile de confiance que nous devrions être mieux formé, avec validation de notre formation.
Cela dit, ton idée permet de résoudre l’erreur de clic(s). Mais pour cette aspect, saisir en toute lettre le pseudo serait plus simple, non ?

Le création du compte a confirmé avoir fait un skype à quelqu’un de Toulouse qui l’a ensuite certifié.
Je confirme avoir eu au téléphone le créateur du compte, ce qui confirme qu’il est bien “une personne humaine vivante” :wink:

4 « J'aime »

Ce mécanisme je le trouve en effet dangereux et ce n’est pas nouveau :wink:
Je serais donc d’avis effectivement qu’il ne soit pas accessible aux personnes non membre, car elles n’ont probalbment pas encore étudié la licence.

Toujours le problème de démarage de l’itération je pense => si la personne certifie à l’aveugle, elle ne va pas aller vérifier que le code est passé.
Mais l’idée est bonne. L’ajouter en feature avant certification façon captcha / protection anti-bourrés ?

2 « J'aime »

Allez hop je fais ca.

Oui, je parlais pour les nouveaux.

#AuTravail #DansLaJoie !

#DémarrageCompliqué #AttentionLesSecousses !

Ca me semble tout à fait ce qu’il conviendrait de faire, oui.

7 « J'aime »

+1 pour les « dispositifs anti bourrés » (merci @florck pour la bonne rigolade sur le terme… :smiley: ) dont l’histoire du QCM.

Mon avis, après avoir contacté Gbr, est que tu peux tester cela avec lui. Il est joignable par ce forum, puis en MP sur Facebook, Skype & Co.
Je t’encourage à mettre en oeuvre et expérimenter tes propres idées, plutôt que d’attendre que les autres s’en emparent, puis de témoigner des résultats.

3 « J'aime »
  • Je suis favorable à la solution de révocation d’une certification limitée à une durée de N premiers jours de son existence.
    La proposition de 60 jours (2mois) est logique et cohérente avec la viabilité de la demande en attente (2mois).

  • Je suis favorable à la suppression de la fenêtre de demande de certification via césium+. La toile de confiance de Duniter est conçue par cooptation, de membres existants envers des personnes qu’ils “connaissent” de visu ou via internet, identité vérifiée selon les termes de la licence. Il est n’est pas souhaitable (pour la toile de confiance) de submerger les nouveaux (même membres) novices de demandes de certifications par des inconnus. On peut réactiver cette fonctionnalité si on implémente un système analogue à la double authentification dans le profil cesium+. Je vais proposer une issue…

4 « J'aime »

Bonjour à tous les intervenants ici.

Je me permets d’intervenir car je fais partie des membres qui ont certifié Gabor.

Je passerai rapidement sur les accusations de potentialité de groupe organisé de faux monnayeurs que j’ai pu lire lors d’autres échanges qui me semblent, pour le moment, farfelues.
En ce qui me concerne, je n’ai aucune intention de nuire à la monnaie libre, et je suis même partisan d’une sécurité et d’une résilience à toute épreuve contre ce genre de tentative. Je conçois parfaitement que l’on soit méfiant par rapport à un compte tel que celui de Gabor (en Hongrie, peu de probabilité qu’il soit connu…) et par extension par rapport aux membres qui l’auront certifié. Cependant, je vois que le sujet s’est quelque peu enflammé alors que la seule personne qui m’aie contacté pour en discuter l’a fait hier soir à l’apéro monnaie libre et cette nuit par mail ; si les personnes qui ont de gros doutes sur la probité des certificateurs souhaitent démêler le vrai du faux, l’une des meilleures solutions eut été de contacter les personnes mises en cause pour leur demander des comptes, chose qui me semble parfaitement légitime. Donc j’interviens ici parce qu’une personne qui ne m’accuse pas m’a informé qu’on accusait certains membres dont je fais partie.

Donc j’en viens à ma certification et à mes propres erreurs. J’ai effectivement certifié Gabor que je connais mal je l’admets bien volontiers.
Qu’est ce qu’il s’est passé ?
Un soir lors d’un apéro monnaie libre au Farfadets en pays Cathare, cet été, Gabriel a reçu une demande de certification de Gabor qui réside en Hongrie. Je laisserai Gabriel expliquer le comment du pourquoi lui-même mais je raconte ce que moi j’ai vécu.
Donc Gabriel me dit qu’il va accepter un rdv via Skype pour voir et discuter avec ce Gabor et il me propose d’y assister.
La réunion Skype est lancée, on voit Gabor, on discute 10 minutes avec lui et la réunion s’arrête là puisque nous avons vérifié qu’il s’agissait bien d’un humain, quelqu’un que l’on aurait pu rencontrer lors d’un apéro monnaie libre, avec lequel nous aurions discuté 10 min pour valider l’idée qu’on pourrait le certifier.
Gabriel s’engage à le certifier et moi aussi, ce qui est chose faite rapidement. Fin de l’histoire en ce qui me concerne.

Ce que j’en retire, c’est que je n’ai pas respecté la rigueur qui semble exigée pour les certifications, à savoir vérifier que c’est un humain, connaître la personne physiquement, connaître des détails de sa vie voire connaître son entourage. Et par conséquent je veux bien faire amende honorable et être désormais plus rigoureux. Je mets toutefois en garde sur cette rigueur : cela fait peu de temps que je suis membre mais je suis présent quasiment à tous (sinon à tous) les apéros monnaie libre et je ne vois pas spécialement cette rigueur mise en place ; on m’a demandé de certifier des gens que je n’ai jamais rencontrés mais je l’ai fait car j’ai eu confiance dans la personne qui m’a fait cette requête (pas pour elle même mais pour faire avancer une candidature). Or, il ne m’a pas semblé que certifier une personne avec laquelle j’ai discuté durant 10 min par Skype était à ce point si tendancieux que certifier quelqu’un d’inconnu par foi dans la toile de confiance.
Donc si vous souhaitez augmenter la rigueur sur ce sujet, pas de problème en ce qui me concerne, je ne certifierai plus que des personnes que je connais personnellement. Mais autant dire que je n’accepterai plus de faire avancer les candidatures à l’aveugle, ni que les apéros soient suffisants pour avoir cette toile de confiance à ce point solide et fiable.

Un dernier mot : je resterai tout à fait disponible pour quiconque souhaiterait approfondir la question de ma probité dans le réseau dans les limites du raisonnable, mais je n’accepterai pas d’être jugé sans que l’on ait pris le temps de se renseigner correctement et qu’on me demande tout simplement de me justifier ce que je viens de faire.
Pour le reste je souhaite le meilleur à la monnaie libre.

11 « J'aime »

Tu as bien résumé le type de démarche qui mène à des questionnements sur la légitimité d’un compte. A noter qu’il n’y a pas que le problème de savoir si X a certifié Y en vérifiant bien correctement la licence Ğ1, mais que Y devient à son tour certifieur une fois dans la TdC Ğ1. Donc quelqu’un qui à distance fera certifier un double, triple ou quadruple compte, aurait éventuellement (hors contrôles de distance), un potentiel de création de comptes démultiplié…

Or si une personne est “bien connue” comme spécifié dans la licence Ğ1, le fait qu’elle puisse créer un double compte est d’autant limité que la probabilité que 5 certifieurs d’un compte ne connaissent pas du tout les 5 autres certifieurs est proche de zéro. D’où la compréhension de ce que signifie “bien connaître”.

Ensuite il n’y a pas “d’accusation” nulle part, simplement le fait que certifier des comptes à l’aveugle, sans tenir compte de la licence Ğ1, peut laisser supposer qu’il y a un problème d’autant plus probable. Il convient juste de prendre conscience de ce fait au sein d’une communauté monétaire, qui co-produit la même monnaie.

Tout ceci revient in-fine à étudier, comprendre et transmettre correctement la licence Ğ1.

Le fait que tu te sois manifesté ici est positif, sur ce forum nous avons à ce jour un retour de 3 parmis les 7 certifieurs de Gbr. Pour le moment aucun ne le connaît conformément à la licence Ğ1… Mais qui sait, il en reste 4…

1 « J'aime »

A l’échelle actuelle, certifier uniquement des connaissances bien connues aurait du mal à faire avancer la toile (pour des raisons évidentes, quelqu’un qui arrive ne peut pas bien connaitre 5 personnes dans la communauté, c’est hautement improbable)

Par contre, pour certifier rigoureusement tout en travaillant à l’extension de la toile, il est nécessaire d’après moi :

  • De se rencontrer plusieurs fois (aperos par ex) ou d’échanger régulièrement avec (exemple : ceux qui sont actifs sur le forum depuis longtemps et que je rencontre, je peux considérer commencer à bien les connaitre…)
  • D’échanger des coordonnées en dehors de Duniter (adresse mail par exemple)
  • De s’assurer que tout le monde a bien pris conscience de la licence (point à améliorer aujourd’hui, par exemple via le système de quizz imaginé par Kimamila)
1 « J'aime »

La version 2.3 de la licence Ğ1 apporte des points de vérifications simples supplémentaires qui augmentent drastiquement l’assurance de bonne connaissance, et qui élargit l’espace d’assurance, en conseillant fortement de prendre contact avant toute nouvelle certification avec les autres certifieurs.

J’ai bien saisi ces informations dès le début de mes rencontres au cours de ateliers/apéros.
Je pense d’ailleurs qu’on peut féliciter les promoteurs actuels de la monnaie libre qui systématiquement rappellent ces points.

Seulement j’ai estimé pouvoir prendre une certaine liberté par rapport à ces règles, puisque je vois que la même rigueur n’est pas systématiquement appliquée lorsqu’il s’agit de faire avancer les inscriptions.

Donc, au delà de mon exemple, ce qu’il faut en retirer c’est que la monnaie libre est dans un phase de crise, au sens premier du terme, de changement : d’une idée confidentielle mise en production, elle tend vers une phase d’expansion que d’aucuns souhaitent plus ou moins rapide.
Or c’est cette phase qui génère ces cas limites, qui, à mon avis se reproduiront quelque soient les précautions que l’on prenne.
Si on veut une croissance rapide on est obligé de prendre des libertés avec la rigueur, dans le cas contraire on doit accepter une croissance lente et des frustrations pour ceux qui attendent à la porte.
Personnellement je n’ai pas totalement tranché la question car je comprends les enjeux dans les deux cas, même si je préfère prendre plus de risques en acceptant des certifications limites afin que la monnaie libre prenne son essor plus rapidement.
Si finalement, le mot est passé que l’on doit plutôt freiner et rester plus rigoureux, comme je l’ai déjà dit, je m’y plierai bien volontiers.

C’est un autre sujet que je ne développerai pas ici car ça deviendrait hors sujet, mais il me semble évident qu’il y a une criticité à atteindre, limite au delà de laquelle l’engouement pour la monnaie libre ne sera plus à encourager car il sera auto entretenu. Nous n’en sommes pas là mais pour y arriver, il faudra qu’il y ait un gros développement sur les échanges de services et de biens (surtout sur le consommable) en G1.

Un dernier point, je trouve l’idée d’un quizz de validation assez bonne : assez fun et un bon test de compréhension.

6 « J'aime »

Pour revenir brièvement a l’évènement d’hier soir, ce qui m’interpelle le + étant la censure du topic, bien que je comprends les motivations sous-jacentes, je suis d’avis avec @stephane que les discussions etait interessantes…

A ce titre, l’expression de chacun doit être respectée et que les motivations de l’ensemble des protagonistes de ce 1er message en tête de topic censuré puissent être exprimées…

1 « J'aime »

Essayes donc d’aller voir ton voisin, et d’aller lui tenir la jambe en lui exprimant tout ce que tu veux pendant 24h d’affilée. Vérifies que tu peux tenir cette expérience sans qu’il te claque la porte au nez.

S’il le fait, est-ce que pour autant tu crieras à la censure ?

Ben ici c’est pareil.

1 « J'aime »

Le but du jeu est qu’on s’empare de ces idées.
La TRM est géniale à mon avis, la mise en oeuvre logicielle aussi.
Mais je ne crois pas à l’auto-discipline humaine, pas assez en tous cas pour la Tdc. C’est pourquoi j’ai pensé que VK tait à la fois un moyen de contrôle ET de notoriété pour G1.
Moi je me place en candide, en utilisateur potentiel, donc 100% critique.
Que ça ne soit pas dans l’esprit apéro bonne franquette, ça ne me pose aucun problème. Je ne suis pas là pour me faire des potes ni faire allégeance à une communauté, ni à un état d’esprit.

1 « J'aime »