Soupçon de faux compte et/ou mauvaises certifications

7 messages ont été déplacés vers un nouveau sujet : Stock de certifications dynamique

En fait, je pense que ces contraintes sont totalement temporaires. Le problème vient de la phase d’initialisation de la monnaie, lancée à l’échelle nationale, où la plupart d’entre-nous sont tout simplement isolés géographiquement. Alors c’est à nous de bâtir le réseau. Et ça a un coût important en investissement humain. Mais une fois cette phase d’initialisation passée, on pourra venir à un fonctionnement beaucoup plus simple où il ne suffit plus que de certifier des gens qu’on connaît déjà, sans avoir besoin de les rencontrer davantage. C’est d’ailleurs ce qu’a clairement indiqué @cgeek juste avant moi (exprimé d’une autre manière). Quant aux enquêtes, elles ne seront que très rarement nécessaire dans un fonctionnement « rôdé » où chacun certifie ses proches: le risque sera intrinsèquement tellement grand de se faire prendre en flagrant délit de double-compte qu’il me semble difficile d’imaginer que quelqu’un le tente vraiment.

@jytou comprend profondément et parfaitement bien le sujet.

Bonjour tout le monde, je suis nouveau par ici, je tente d’apporter ma pierre à l’édifice avec ce premier message J’ai lu à peu près tous les vôtres et le fil de toutes ces discutions m’ont fait penser à une chose.

Je suppose que le numéro de téléphone n’est pas demandé pour des raisons de vie privée, il pourrait pourtant pallier à quelques problèmes:

• on ne peut qu’avoir un nombre limité ces numéros
• ils sont liés à un point géographique
• une entreprise s’est déjà assurée que la personne existe bien pour pouvoir la facturer

Une solution qui limiterait le non respect de la vie privée de la personne tout en offrant un moyen de détecter les faux comptes serait de demander aux certificateurs de relever le numéro par lequel ils ont contacté la personne à certifier et de le faire passer par une fonction de hachage avant de le stocker dans une liste.
Difficile de retrouver numéro d’origine, facile de détecter les doublons. Après je parle de fonction de hachage mais ça peut être autre chose.
Pour ce qui est des personnes qui n’ont pas de numéro ou venant de l’étranger (coût des communications poussant à utiliser Skype), on peut peut être demander de chercher les personnes à certifier dans l’annuaire du pays (s’assurer que le nom de la personne corresponde a l’adresse et prendre le numéro correspondant).
En espérant n’avoir pas trop dit de bêtises

Sinon l’idée du QCM est très bien ! Elle pourrait aussi être appliquée au moment de la certification: "Avez vous respecté cette règle ?, etc… "

Attention de ne pas se baser là-dessus: il existe des numéros virtuels. Genre au hasard: https://www.virtualphoneline.com/

Ha je connaissais pas ! après l’idée servirait à limiter la fraude en gardant en tête que les fraudeurs expérimentés ont toujours une longueur d’avance…
On peut rétorquer la même chose si on devait élaborer un système à la google (un code envoyé à une adresse à renseigner ensuite sur le site). Des adresses postales “secondaires” existent.

Topic très intéressant. Ce n’est pas simple et il est normal que tout ça soulève des débats.

Merci à tous de faire travailler mes méninges et me pousser à être vigilant quand je certifierai.

J’ai un peu cogité depuis hier soir. Je me rends compte que le côté “il faut surveiller/enquêter pour garantir une toile de confiance saine” me perturbe un peu.

Je comprends les raisons et le besoin de garder la toile de confiance exempte de robots et d’empêcher une attaque Sybil. Et en même temps, si tous ceux qui m’ont certifié il y a une semaine avaient voulu tout savoir de ma vie (famille, relations proches, etc…), ça m’aurait un peu dérangé. Je ne voudrais pas qu’on crée un “système de contrôle étatique distribué”…

J’imagine que cette phase est due au “démarrage” de la toile de confiance et du projet Ğ1 et je pense qu’à terme, on ne certifiera plus que des personnes que l’on connait bien (famille, amis, …).

Au delà des préoccupations éthiques, est-ce que quelqu’un peut m’expliquer comment on détecte un potentiel faux compte et/ou un début d’attaque Sybil ? @elois peut-être ?

Techniquement, ça m’intéresse aussi.

Oui comme @jytou et moi l’avons rappelé plus la toile est petite plus elle est fragile, c’est donc au début qu’il faut pêtre le plus vigilant et il vaut mieux l’être trop que pas assez, quitte a en rebuter certains, je préfère avoir quelques insatisfaits plutôt que de me retrouver dans quelques années avec une monnaie qui s’effondre parce que la toile serai compromise !

Oui avec joie Mais c’est un peu compliqué pour comprendre il conviens de comprendre au préalable le pourquoi et le comment de la règle de distance, car elle est la clé, commence par lire ceci : https://duniter.org/fr/introduction-a-la-toile-de-confiance/

En fait il y a des différences de formes entre une région sybil et une région légitime, et il existe un algo permettant de détecter cela, le principe est le suivant : on trace des milliers de chemin aléatoires de longueur ln(N) et l’on en extrait a la fin une seule et unique région. Si l’on en extrait plusieurs régions alors l’une est légitime et les autres sont des régions sybil.

Mea culba également car je t’ai moi même certifié après un skype alors que je ne t’avais jamais rencontré.
Tu es aujourd’hui un contributeur précieux à la monnaie libre entre autre par tes traductions pour anglophones, participation au forum, nœuds de calcul etc.
Nous nous sommes depuis rencontrés comme tu dis en réparant ainsi les “boulettes de jeunesse”.
Il est certain qu’au commencement la situation était paradoxale car il fallait bien se connaitre pour se certifier et pourtant nous étions si peu et si éloignés.
La situation devient donc de plus en plus facile pour les nouveaux entrants. Il y a les RML, les apéros, les géconomicus, les mardi de la monnaie, les conférences d’initiatives personnelles…
Toutes ces occasions de rencontres se sont multipliées et rencontrer des membres devient plus une question de bonne volonté que d’implication forte.
C’est pourquoi alors que les risques sybil diminuent avec le nombre de membres, nous pouvons paradoxalement augmenter le niveau d’exigence en confiance/vigilance sans nuire à l’entrée de nouveaux membres motivés à nous rejoindre.

Pour cette raison, j’opte pour ma part pour un niveau supérieur de prudence plutôt que pour un relâchement.

Je ne crois pas au principe du “too big to fail”, je constate au contraire que ce qui est trop gros, tombe encore plus lourdement par manque d’agilité.
Et la seule agilité dont nous pouvons faire preuve est celle de chaque membre, en aucun cas celle d’un prétendu “staff” qui n’existe que sur ce forum et pas du tout dans la monnaie libre.
Cette enquête légitime n’aurait pas du être ressentie comme une agression, et d’un point de vue extérieur ne m’a pas paru comme telle.
Je me suis senti ridiculisé plus d’une fois ici, en me faisant reprendre sur des erreurs de compréhension de sujets que je croyais maitriser. Pourtant le ridicule ne venait pas de ceux qui m’incitaient à reprendre la réflexion sous un autre angle, il n’était qu’une projection de moi-même la ou il ne s’agissait que de partage bienveillant de connaissances.
Il en est de même de cet épisode, il est toujours désagréable d’admettre s’être trompé. Les gens qui ont eu la probité de répondre à ce questionnement l’ont bien compris, et ce fil de discussion est finalement très constructif pour les cas qui ne manqueront pas de se reproduire.

L’humain est faillible, et ce n’est pas tant aux autres qu’il faut l’expliquer qu’à soi même.

J’ai reçu mes certifications de certifiants dont la qualité me permettait d’être certifié. Si dans 1 an je reçois 5 certifications supplémentaires dont la qualité des certifiants n’est pas suffisante pour faire un membre, que se passe-t-il dans 2 ans lorsque mes premières certifications expirent et qu’il m’en reste quand même 5 valides mais qui n’ont pas les qualités nécessaires à une entrée dans la toile ?

Encore une question intéressante, tu devrais participer plus souvent

En fait la règle de distance n’est évaluée que lors du renouvellement du statut de membre, renouvellement que tu doit effectué tout les ans en cliquant sur “renouveler l’adhésion”.
Si tu ne respecte plus la règle de distante ta demande de renouvellement restera en piscine (puis expirera au bout de 2 mois), et c’est lorsque ton adhésion expirera (le 23 juin 2018 à 18h pour toi) que tu perdra le statut de membre.

Tu aura alors juste a recliquer sur “devenir membre” depuis un client, et a obtenir dans un délai de 2 mois les certifications nécessaire au respect de la règle de distance (tout comme un nouvel entrant en fait).

EDIT : et donc la limite des 2 ans des certifications n’est pas la seule façon de perdre son statut de membre, il y en a exactement 3 :

• avoir moins de 5 certifications reçus actives à un instant t (chaque instant t étant chaque bloc)
• l’expiration de son adhésion (que ce soit par oubli, par non respect de la distance, ou par choix de quitter la monnaie, le fameux leavers)
• l’écriture dans un bloc de la révocation d’un compte suite a la publication sur le réseau d’un document de révocation valide

Merci

Si je trouve le temps

En fait j’ai identifié 3 motivations qui m’impliquent dans ce projet :

• une alternative au système bancaire sous forme d’initiative collective
• un intérêt personnel au D.U.
• un gameplay intéressant

Mais je n’ai pas assez de temps pour tout entre l’autoproduction de nourriture et la course à la MNL.

Après une première découverte de la plateforme et de l’UX, il me semble assez flagrant de constater que le principal levier permettant la certification “frauduleuse” d’un compte est bien la fonctionnalité de demande de certification (cela sera d’autant plus vrai que la TdC se développe). Serait-il possible d’inclure ces demandes de certification dans la blockchain, et d’ajouter au protocole des limitations en ce sens ? (Ex: X demandes maximum en attente, invalidation avec X réponses négatives, …) Il me semble que ce type de solution pourrait limiter fortement la création de nouveaux comptes invalides.

Ce peut être fait directement par Cesium+, qui possède sa propre base de données décentralisée.

Qu’en penses-tu @kimamila ?

Oui, une limitation des demandes de certification est possible, côté noeud ES.
Mais quel règles avez-vous en tête précisément ?

Je pensais que la monnaie libre remettait l’humain au centre. J’ai l’impression que l’on commence à ajouter des garde-fous automatique.
Il a été plusieurs fois dit sur le forum et en réunions publiques qu’il peut avoir de “faux comptes” mais que leurs impacts seraient faible.
Cela me fait penser aux lois que l’on met pour uniquement bloquer quelques individus mais qui embête une population entière…

J’ai sans doute mal compris la demande de @johan

Et surtout je ne comprends pas le sens de ta remarque.

@kimamila, j’imaginais quelque chose du genre “pas plus de 5 certifications en attente de réponse”, et un choix de réponse aux demandes, positive/neutre/négative, par exemple “je ne connais pas cette personne” / “j’attends de la connaître un peu mieux pour la certifier” / “je la certifie” -> de cette manière il pourrait y avoir un flag automatique à partir d’un certain nombre de “je ne connais pas cette personne”
@stephane, ces règles ne remettent pas du tout en question le rapport humain, au contraire, il l’impose au détriment d’actions automatiques qui nuiraient au réseau.

Pour mettre mon grain de sel (et aussi histoire d’être sûr qu’on parle tous bien de la même chose), on ne parle ici que de la fonctionnalité de cesium « hého est-ce que tu peux me certifier STP », qui est parfois utilisée abusivement (parfois même sans que ça soit volontaire).