Soupçon de faux compte et/ou mauvaises certifications

À noter que j’ai indiqué plus haut que vous pouviez remettre les posts en question. Pourquoi ne le fais-tu pas ?

C’est ton avis.

C’est ton avis. Par contre, il n’est pas nécessaire de nous crier dessus. et comme je l’ai dit plus haut les décisions de l’équipes sont arbitraires et possiblement faillibles car humaines.
Ton ton m’est extrêmement désagréable, je t’invite à plus de modération et de respect des personnes déjà là.

Il est facile de critiquer. Difficile de faire. Tu as commencé à faire. Continue, parce que en ça tu étais bon. Pour le reste essaie de mettre un filtre de lecture pour voir que les gens
1/ font ce qu’ils peuvent et de leur mieux
2/ sont prêt à écouter des reproches s’ils sont amenés sobrement et factuellement.

4 J'aimes

Salut à tous,

On va clore la polémique numérico-paranoïde, je mets ici mes échanges avec le créateur du compte (qui existe bien et qui connait Stéphane Laborde puisque il a joué aux échecs avec lui quand il vivait sur Toulouse avant de vivre à l’étranger…) :
Cette personne m’a fait une demande de certification suite à un apéro ml.
je lui répond :

Bonjour,

Désolé ma mémoire défaille parfois, on s’est rencontré où ?

Par rapport à la certification, je ne peux pas encore certifier, il me manque une certification moi-même pour être membre et pouvoir certifier…
Ensuite, pour certifier, il faut se connaitre, à un prochain atelier constituant ou un prochain apéro monnaie libre :wink:

Bonne soirée.
Gabriel
sa réponse :

Bonsoir Gabriel,

Merci pour votre message.

Effectivement, on ne se connait pas encore, j’ai envoyé des demandes de certification car je crois que pour moi, il ne sera pas évident d’aller au prochain atelier ou apéro, étant donné que je vis loin. Mais étant donné que la Licence Ğ1 - v0.2.2 précise:

“2b°) Ou bien de vérifer à distance le lien personne / clé publique en contactant la personne par plusieurs moyens de communication différents, comme réseau social + forum + mail + vidéo conférence + téléphone (reconnaître la voix). Car si l’on peut pirater un compte mail ou un compte forum, il sera bien plus difficile d’imaginer pirater quatre moyens de communication distincts, et imiter l’apparence (vidéo) ainsi que la voix de la personne en plus. Le 2a°) restant toutefois préférable au 2b°), tandis que le 1°) est toujours indispensable dans tous les cas.”

, j’espérais qu’une identification sera possible par Skype, E-mail et/ou téléphone également.

Si après avoir reçu votre dernier certification manquante vous seriez d’accord de procéder par ces moyens pour que je puisse être certifié qm. je vous serais reconnaissant, dans le cas contraire, toutes mes excuses de vous avoir dérangé inutilement ! :slight_smile:

Bonne soirée,

Bonjour,

Je te propose un skype ce soir à 20h, je serais en apéros monnaie libre !!!

Si tu fais une recherche skype tape : Gabriel LEJAILLE
il n’y en a qu’un …
Demande moi en contact et on se fera une cession :wink:

A ce soir (si possible pour toi)

Bonne journée
Gabriel

Bonjour Gabriel,

C’est une excellente idée, merci !

Je viens de vous envoyer un petit mot par Skype. (Mon pseudo sur Skype est … )

Je risque d’être en ville ce soir, mais j’ai Skype sur mon tél, alors vous pourrez toujours me contacter.

Merci encore de votre initiative!

Cordialement,


La session skype vidéo à eu lieu est s’est très bien déroulé :
Lors de cet apéro monnaie libre au Dauphin, on a fait un Skype en live (j’étais avec Slim) et on a échangé, il est conseiller francophone dans le dentaire (il m’a montré sa carte de visite à la caméra ;), il connait la monnaie libre parce qu’il connaît Stephane Laborde, ils jouaient aux échecs ensemble quand il vivait sur Toulouse maintenant il vit et travaille à l’étranger.
Moi je trouve sympa qu’une personne à l’étranger demande à être certifié pour developer la monnaie libre dans son pays :wink:
Il existe bien !!

Je continu les échanges :

Bonjour,

C’est bon, la certification fonctionne à nouveau, c’est fait.

Un fois membre, certifie moi en retour en priorité, cela permet de renforcer la toile de confiance :wink:

Je me suis mis derrière l’oreille le fait que si je vais à Budapest, je serais accueillie comme il se doit, lol
Merci à toi !

Portes-toi bien,

Bonne journée
Gabriel

Merci Gabriel, je te certifierai dés que je suis membre !
SI tu as l’occasion de passer a, n’hésite pas de m’envoyer un message !
Bonne soirée,

Salut,
Alors ça y est tu es membre !
Félicitations :wink:

Bonsoir Gabriel,
Oui, j’étais absent pendant quelques semaines et en rentrant, cette bonne surprise m’attendait.
Merci encore de ton aide !
Comme convenu, je viens de t’envoyer un certificat, pour fêter tout ca… :wink:
Bonne soirée,
Amicalement,

Conclusion 1 :
Gabor est une personne, il est plutôt sympa,
Conclusion 2 :
Maintenant ce qu’il va falloir que certains comprennent c’est que la toile de confiance repose sur la confiance des uns et des autres et quand on fait confiance à un membre, on fait confiance à tout les membres (la toile de proche en proche c’est ça), quand on ne fait pas confiance à un membre, c’est qu’on ne fait confiance à aucun et on n’a rien à faire dans la toile. C’est comme pour la démocratie, si on ne croit pas en la capacité de l’humain à faire de la politique (au sens premier, celui de la gestion de la cité) c’est qu’on n’est pas démocrate, c’est un choix, on oblige personne à être démocrate et cette personne ne peut pas obliger les autres à l’être.
Conclusion 3 :
J’ai certifié Gabor en pleine connaissance de la licence (et lui aussi), jusqu’à nouvel ordre, je suis adulte et en tant qu’adulte je n’accepte pas qu’on me prenne pour un enfant à qui il faut tenir la main et c’est d’ailleurs ce qui fait mon engagement aux ateliers constituants :wink: (pour devenir un adulte politique dans un système où nous ne sommes actuellement que des enfants politique sous un régime non démocratique)
Vive la monnaie libre

5 J'aimes

mon retour est ici : “1,7 kg de carottes plus tard” :slight_smile:
Miam

1 J'aime

Je suis rassuré que toute la lumière est enfin été faite sur cet affaire,
et en même temps inquiet de voir que la toile de confiance est si peu comprise :

Confiance ça ne veut pas dire foi aveugle, peut être devrions nous renommer la toile de confiance en toile de vigilance pour que ce soit plus explicite :slight_smile:

La sécurité de la toile n’est garantie que par la vigilance des membres qui doivent justement contrôler par eux-même les différentes chaînes de confiance sur lesquelles ils se trouvent, où chaînes de certifications si vous préférez.

Ce type d’enquête est donc tout a fait normal et se reproduira chaque fois que des membres le jugerons nécessaire, et j’invite chacun d’entre vous a prendre l’initiative de mener votre enquête en cas de doute.

Plus la toile est petite plus elle est fragile, une attaque sybil très bien menée pourrait encore prendre le contrôle de la monnaie si elle était initiée maintenant ! Mais l’impact définitif sur la monnaie serait différé dans le temps, imaginez un instant que la Ğ1 prend de l’ampleur et de la valeur, que vous commencez a acheter beaucoup de choses uitles avec, et que du jours au lendemain out la Ğ1…

C’est l’une des raisons pour lesquelles (outre que cela me passionne) je suis si motivé a suivre de près des statistiques détaillés de la toile, j’espère être capable de repérer une telle attaque avant qu’il soit trop tard si elle survenait, mais je ne peut pas le garantir !
C’est notre monnaie a nous tous, c’est a nous tous d’en prendre soin et de veiller les uns les autres a ce qu’il n’y ai pas de faux compte. Et pour cela il nous faut être vigilant et douter.

@Gabriel_Lejaille tes propos outre d’être faux et de révéler une incompréhension profonde de ce qu’est la toile de confiance sont dangereux car ils incitent a un comportement qui fragiliserai dangereusement la monnaie !
Cela ta peut être été mal expliqué, ou/et la licence Ğ1 est lacunaire sur ce point : la toile de confiance ne signifie pas que l’on peut avoir confiance en tout les membres, surtout pas !
Tu ne peut avoir confiance qu’en les membres que tu a certifier, et par transitivité alors tu a une confiance globale en le réseau, mais cette confiance globale est la conséquence du fait que tu peut dûment constater que les membres que tu a toi même certifier ont eux même certifier correctement, si tu constate au contraire que certains membres que tu connais ou qui connaissant des membres que tu connais certifient “à la légère”, alors il est de ta responsabilité de mener l’enquête pour savoir si un faux compte n’aurais pas profiter de cette “légèreté”.

La confiance du réseau ne peut être garantie que par chacun de ses membres, il n’existe pas de solution technique idéale a une problématique humaine, donc soyez vigilants :slight_smile:

2 J'aimes

En fait, le problème n’est pas tant qu’on aurait certifié un « tricheur » ou même que les certifieurs soient des tricheurs eux-mêmes. Quant au fait que le fameux Gabriel de Hongrie soit bien un humain, là encore, ce n’est pas le problème. Qu’on ait « confiance » en un humain en face n’est pas non plus là où on veut en venir. Car la licence ne dit pas (à ma connaissance) qu’il faut « avoir confiance en la personne ». Elle dit qu’il faut « avoir confiance en ses propres connaissances sur la personne pour détecter un double compte ». Ce qui n’a rien à voir.
Quant à la confiance ou la connaissance qu’une de nos connaissances a envers quelqu’un d’autre, cela ne compte pas. C’est uniquement notre propre connaissance directe de la personne qu’on certifie qui compte, et rien d’autre.

Même si l’inquiétude peut parfois ressortir dans des messages de la part de membres qui flippent un peu à l’idée que la toile puisse partir sur de mauvaises bases (pas de mauvaises personnes, mais de mauvaises procédures de certification, ce qui n’est pas du tout pareil!), l’intention n’est je pense pas d’« accuser », mais bien de « faire prendre conscience », même si ça peut parfois être fait de manière maladroite.

Je pense qu’une partie des membres n’a pas réalisé la pleine implication d’une certification. Il me faut donc répéter que:

  • non, on ne veut pas d’une croissance rapide de la toile de confiance, car la rapidité se fait au détriment de la solidité à long terme,
  • il ne s’agit pas de vérifier que celui qu’on certifie est bien un humain, mais qu’on le connaisse « suffisamment bien pour être en mesure de détecter un double-compte, s’il était tenté d’en ouvrir un ».

Dans ce cadre, une simple conversation skype est totalement insuffisante. Le fameux Gabriel m’avait d’ailleurs envoyé une demande de certification il y a quelques temps sur cesium. Je lui ai alors expliqué les règles de la licence. Je ne lui jette pas la pierre, d’ailleurs, il est très probablement aussi enthousiaste que nous tous par rapport à la monnaie libre, sans forcément comprendre les implications d’une certification dans la toile de confiance.

On est tous impatients de voir la monnaie libre se développer. C’est humain. Mais une monnaie libre qui se développerait sur une toile de confiance où des certifications ont été émises sans respecter les précautions de la licence est une monnaie morte à terme. C’est aussi simple (et grave) que ça, en fait. Alors, gardons peut-être en tête que notre enthousiasme pourrait très bien s’avérer être destructeur.

Dans le cadre de la toile de confiance, le motto est plutôt « doucement mais sûrement ».

Si vous êtes super motivés, alors vous devriez comprendre qu’on construit actuellement les fondations de l’édifice Ğ1. Si ces fondations sont faites d’argile, vous comprendrez qu’au lieu de contribuer à bâtir un monde meilleur, vous contribuez malgré vous à le saboter. Je sais que, exprimé comme ça, ça peut paraître « violent » mais c’est malheureusement la réalité, d’où les « questionnements », « interrogations », « mises au point » de certains membres vis-à-vis des certifications émises.

Et pour les plus impatients, telle qu’elle est bâtie, la toile de confiance a une capacité potentielle à grossir exponentiellement à un moment donné. Ça grossira, ne vous en faites pas.

PS avec mea culpa: J’ai moi-même certifié quelques membres un peu rapidement au début, mais j’essaie de rester en contact, et j’apprends à les connaître au fil du temps pour réparer mes « boulettes de jeunesse ».

4 J'aimes

… et j’ai oublié de préciser que les règles de la licence n’ont pas été mises là « pour le plaisir », il y a de vraies raisons derrière (études de graphes, attaques Sybil et compagnie). Si vous contestez ces raisons, on a hâte d’entendre vos arguments justifiés avec de la théorie des graphes. :slight_smile:

Oui, enfin en évitant de tout publier trop vite :wink:

3 J'aimes

Remarque: cette phrase, comme je l’ai déjà dit ailleurs, n’a pas de sens pour moi. J’ai donc demandé des précisions et n’aies jamais eu de réponse.

Est-ce que, cette fois, quelqu’un peut éclairer ma lanterne? :wink:

Je ne sais pas si ma réponse correspondra parfaitement à ton attente mais il me semble qu’elle sera suffisamment pertinente pour y contribuer…

Cas d’école : je rencontre quelqu’un lors d’un apéro monnaie libre qui souhaite être certifié. On discute un peu, et j’apprends qu’il s’appelle Thomas et que c’est un commercial qui voyage souvent dans toute la France. Il prétend n’être pas déjà membre et que c’est pour cette raison qu’il vient aux apéros toulousains afin de se faire certifier.
Tout se serait bien déroulé pour lui si, au détour d’une liaison via Skype durant l’apéro avec un autre groupe français (montpelliérain par exemple), quelqu’un aperçoive ce futur membre et le reconnaît

  • Ah mais finalement vous avez Michel qui vient à votre apéro à Toulouse ?..
  • Michel ? euh, non c’est Thomas, il découvre la monnaie libre.
  • Si c’est pas lui, il lui ressemble comme deux gouttes d’eau. Notre Michel est membre depuis plusieurs semaines, je l’ai certifié !
  • Attends je lui demande de venir… Thomas ? tu peux venir s’il te plaît ?.. Thomas ?..
    Et le Thomas/Michel ayant senti le roussi, il a prétexté un rdv urgent pour éviter la confrontation visuelle directe.
    Après enquête, on découvrira que le Michel/Thomas s’appelle aussi Georges dans un autre coin de la France et qu’il a déjà réussi à ouvrir deux comptes de membre sous deux identités différentes et que c’est le hasard qui a permis d’éviter qu’il ne cumule un troisième, un quatrième, etc…

Alors je prends un cas difficilement reproduisible aujourd’hui, mais c’est, à mon avis un scénario envisageable si la monnaie libre devient aussi intéressante qu’on l’espère.

Et il y a d’autres risques dans la foulée : qu’un groupe d’une dizaine de fraudeurs ait réussi à se faire certifier en faisant profil bas, rien ne les empêche plus de s’entre certifier pour de faux comptes en doublon, en triple, quadruple, etc. du moins je ne suis pas certain qu’il y ait de garde-fou actuellement ; un test statistique peut-être… ?

Quoiqu’il en soit il faut être préparé à ce que des tentatives de ce type aient lieu, tant techniquement si c’est faisable, qu’intellectuellement pour pouvoir gérer une fraude de ce type.

1 J'aime

Je ne suis pas experte en la matière (on me corrigera) mais je doute fortement qu’une fraude de cette ampleur soit possible sans que cela ne soit détecté assez rapidement pour y faire face.

Par ailleurs, cela n’a d’intérêt pour le fraudeur que si la monnaie a pris une valeur économique suffisante pour en tirer des bénéfices en rapport avec l’effort consenti…

Autrement dit, accumuler des G1 n’a pas d’intérêt à long terme (pendant encore un certain temps) et, les vendre contre des euros ou autres dollars, n’a pas beaucoup d’intérêt pour l’acheteur si ce n’est pour faciliter des échanges… en G1(membre ou non-membre)… d’ici là, la toile devrait être assez dense pour protéger G1…

Alors je vais te donner mon interprétation personnelle de cette phrase :
je me considère comme étant en mesure de détecter un double-compte si j’ai suffisamment d’informations diversifiés sur la personne, le suffisamment étant différent si je connais la personne IRL ou pas :
Mais surtout il faut que j’ai des amis en commun avec cette personne, ou/et que je connaisse personnellement des proches de cette personne (conjoint, enfants, meilleur ami, etc), que je sais quelles sont ses activités dans la vie, ses projets, ou est ce qu’elle habite, ou si elle est nomade quel sont ses points d’attache, et que j’ai au moins 2 moyens différents de la contacter (typiquement mail+tel).

L’important donc, plus que ton lien avec la personne en question, c’est ton lien avec l’entourage de cette personne, car c’est cet entourage (qu’il soit familial, amical, professionnel ou autre) qui te permettra de recouper les informations.

C’est ce qu’on appelle une attaque sybil, et oui il y a plusieurs gardes-fou contre cela et notamment principalement la fameuse règle de distance : https://duniter.org/fr/introduction-a-la-toile-de-confiance/

Oui j’ai développé un certain nombre d’indicateurs statistique qui devraient permettre de prévenir ce type d’attaque, on travaille également avec @Smyds a l’implémentation d’un algo plus poussé pour la détection de régions sybil :wink:

Mais ces gardes fou techniques et statistiques ne sont pas infaillibles et ne peuvent pas remplacer le respect de la licence Ğ1 et le contrôle par les membres eux-mêmes du respect de la licence Ğ1.

2 J'aimes

Ok. Ca c’est clair. Mais ce que je ne vois pas concrètement comment détecter le “faux-compte”. Pour recouper les infos, il faut bien un premier indice concernant celui-ci.

Exemple:

1 - j’ai certifié jean et j’ai mail, tél, famille et amis connus, donc en mesure de recouper les infos.
2 - jean crée un 2ème profil/compte: gérard
3 - Question: comment puis-je faire le lien entre jean et gérard dans la mesure où je n’ai pas connaissance de sa “2ème identité”?

Mes connaissances de son entourage ne servent pas à grand chose… d’autant plus qu’il ne me viendrait pas à l’idée de certifier quelqu’un dont je ne connais rien.

1 J'aime

Quand j’ai vu que la licence Ğ1 tournait à la nécessité de faire des enquêtes de police intrusive, sur les autres, sur moi, sur mon entourage, comme une black box humaine, j’ai renoncé à promouvoir cette monnaie,

Quand j’ai vu que la licence Ğ1 obligeait à avoir des amis de confiance, de les rencontrer, de faire des bbq, des scrabbles, parmi des personnes que je n’ai aucune envie de connaître, (vous allez en vacances avec le vendeur vous sur le bon coin ?) et qu’en cas de non application de ces activités que je me refuse à faire, on risquait les foudres de certains, par email, messages privés, puis billets publiques (voir l’affaire actuelle et celle de @petiteberger), j’ai renoncé à promouvoir cette monnaie.

La Toile de Confiance de Duniter avait été comprise pour moi comme les signing party PGP. Faire le lien entre une personne et sa clef. Point final. Les signing party ont aussi leurs difficultés, mais j’ai vu des procédures carrées qui permettait de valider la correspondance entre une personne et sa clef publique, basta. Pas besoin de caresser son chien ou de connaître sa femme (ou l’inverse, ça dépend de la taille du chien).

Si la monnaie Ğ1 d’un côté est excellente (bravo à tous), la Toile de Confiance est un mal nécessaire, sûrement, mais qui en l’état m’empêche d’y inclure les personnes autour de moi qui sont pourtant très intéressées (ressourcerie, AMAP, vente de livres, etc).

Merci de ne pas répondre par des jugements sur ma position (ce qui serait parfaitement inutile et vain), mais par des propositions techniques concrètes sur la licence ou la TdC. Ou pas.

Je cherche aussi de mon côté des solutions techniques pour simplifier la procédure d’adhésion, et pourquoi pas, migrer la sécurité vers des outils comme ceux d’ @elois, afin de soulager l’utilisateur.

Si ce n’est pas possible sur Ğ1, cela se fera sur une autre monnaie…

5 J'aimes

7 messages ont été déplacés vers un nouveau sujet : Stock de certifications dynamique

En fait, je pense que ces contraintes sont totalement temporaires. Le problème vient de la phase d’initialisation de la monnaie, lancée à l’échelle nationale, où la plupart d’entre-nous sont tout simplement isolés géographiquement. Alors c’est à nous de bâtir le réseau. Et ça a un coût important en investissement humain. Mais une fois cette phase d’initialisation passée, on pourra venir à un fonctionnement beaucoup plus simple où il ne suffit plus que de certifier des gens qu’on connaît déjà, sans avoir besoin de les rencontrer davantage. C’est d’ailleurs ce qu’a clairement indiqué @cgeek juste avant moi (exprimé d’une autre manière). Quant aux enquêtes, elles ne seront que très rarement nécessaire dans un fonctionnement « rôdé » où chacun certifie ses proches: le risque sera intrinsèquement tellement grand de se faire prendre en flagrant délit de double-compte qu’il me semble difficile d’imaginer que quelqu’un le tente vraiment.

6 J'aimes

@jytou comprend profondément et parfaitement bien le sujet.

Bonjour tout le monde, je suis nouveau par ici, je tente d’apporter ma pierre à l’édifice avec ce premier message :slight_smile: J’ai lu à peu près tous les vôtres et le fil de toutes ces discutions m’ont fait penser à une chose.

Je suppose que le numéro de téléphone n’est pas demandé pour des raisons de vie privée, il pourrait pourtant pallier à quelques problèmes:

  • on ne peut qu’avoir un nombre limité ces numéros
  • ils sont liés à un point géographique
  • une entreprise s’est déjà assurée que la personne existe bien pour pouvoir la facturer :wink:

Une solution qui limiterait le non respect de la vie privée de la personne tout en offrant un moyen de détecter les faux comptes serait de demander aux certificateurs de relever le numéro par lequel ils ont contacté la personne à certifier et de le faire passer par une fonction de hachage avant de le stocker dans une liste.
Difficile de retrouver numéro d’origine, facile de détecter les doublons. Après je parle de fonction de hachage mais ça peut être autre chose.
Pour ce qui est des personnes qui n’ont pas de numéro ou venant de l’étranger (coût des communications poussant à utiliser Skype), on peut peut être demander de chercher les personnes à certifier dans l’annuaire du pays (s’assurer que le nom de la personne corresponde a l’adresse et prendre le numéro correspondant).
En espérant n’avoir pas trop dit de bêtises :sweat_smile:

Sinon l’idée du QCM est très bien ! Elle pourrait aussi être appliquée au moment de la certification: "Avez vous respecté cette règle ?, etc… "

Attention de ne pas se baser là-dessus: il existe des numéros virtuels. Genre au hasard: https://www.virtualphoneline.com/

Ha je connaissais pas ! après l’idée servirait à limiter la fraude en gardant en tête que les fraudeurs expérimentés ont toujours une longueur d’avance…
On peut rétorquer la même chose si on devait élaborer un système à la google (un code envoyé à une adresse à renseigner ensuite sur le site). Des adresses postales “secondaires” existent.