mon retour est ici : “1,7 kg de carottes plus tard”
Miam
Je suis rassuré que toute la lumière est enfin été faite sur cet affaire,
et en même temps inquiet de voir que la toile de confiance est si peu comprise :
Confiance ça ne veut pas dire foi aveugle, peut être devrions nous renommer la toile de confiance en toile de vigilance pour que ce soit plus explicite
La sécurité de la toile n’est garantie que par la vigilance des membres qui doivent justement contrôler par eux-même les différentes chaînes de confiance sur lesquelles ils se trouvent, où chaînes de certifications si vous préférez.
Ce type d’enquête est donc tout a fait normal et se reproduira chaque fois que des membres le jugerons nécessaire, et j’invite chacun d’entre vous a prendre l’initiative de mener votre enquête en cas de doute.
Plus la toile est petite plus elle est fragile, une attaque sybil très bien menée pourrait encore prendre le contrôle de la monnaie si elle était initiée maintenant ! Mais l’impact définitif sur la monnaie serait différé dans le temps, imaginez un instant que la Ğ1 prend de l’ampleur et de la valeur, que vous commencez a acheter beaucoup de choses uitles avec, et que du jours au lendemain out la Ğ1…
C’est l’une des raisons pour lesquelles (outre que cela me passionne) je suis si motivé a suivre de près des statistiques détaillés de la toile, j’espère être capable de repérer une telle attaque avant qu’il soit trop tard si elle survenait, mais je ne peut pas le garantir !
C’est notre monnaie a nous tous, c’est a nous tous d’en prendre soin et de veiller les uns les autres a ce qu’il n’y ai pas de faux compte. Et pour cela il nous faut être vigilant et douter.
@Gabriel_Lejaille tes propos outre d’être faux et de révéler une incompréhension profonde de ce qu’est la toile de confiance sont dangereux car ils incitent a un comportement qui fragiliserai dangereusement la monnaie !
Cela ta peut être été mal expliqué, ou/et la licence Ğ1 est lacunaire sur ce point : la toile de confiance ne signifie pas que l’on peut avoir confiance en tout les membres, surtout pas !
Tu ne peut avoir confiance qu’en les membres que tu a certifier, et par transitivité alors tu a une confiance globale en le réseau, mais cette confiance globale est la conséquence du fait que tu peut dûment constater que les membres que tu a toi même certifier ont eux même certifier correctement, si tu constate au contraire que certains membres que tu connais ou qui connaissant des membres que tu connais certifient “à la légère”, alors il est de ta responsabilité de mener l’enquête pour savoir si un faux compte n’aurais pas profiter de cette “légèreté”.
La confiance du réseau ne peut être garantie que par chacun de ses membres, il n’existe pas de solution technique idéale a une problématique humaine, donc soyez vigilants
En fait, le problème n’est pas tant qu’on aurait certifié un « tricheur » ou même que les certifieurs soient des tricheurs eux-mêmes. Quant au fait que le fameux Gabriel de Hongrie soit bien un humain, là encore, ce n’est pas le problème. Qu’on ait « confiance » en un humain en face n’est pas non plus là où on veut en venir. Car la licence ne dit pas (à ma connaissance) qu’il faut « avoir confiance en la personne ». Elle dit qu’il faut « avoir confiance en ses propres connaissances sur la personne pour détecter un double compte ». Ce qui n’a rien à voir.
Quant à la confiance ou la connaissance qu’une de nos connaissances a envers quelqu’un d’autre, cela ne compte pas. C’est uniquement notre propre connaissance directe de la personne qu’on certifie qui compte, et rien d’autre.
Même si l’inquiétude peut parfois ressortir dans des messages de la part de membres qui flippent un peu à l’idée que la toile puisse partir sur de mauvaises bases (pas de mauvaises personnes, mais de mauvaises procédures de certification, ce qui n’est pas du tout pareil!), l’intention n’est je pense pas d’« accuser », mais bien de « faire prendre conscience », même si ça peut parfois être fait de manière maladroite.
Je pense qu’une partie des membres n’a pas réalisé la pleine implication d’une certification. Il me faut donc répéter que:
- non, on ne veut pas d’une croissance rapide de la toile de confiance, car la rapidité se fait au détriment de la solidité à long terme,
- il ne s’agit pas de vérifier que celui qu’on certifie est bien un humain, mais qu’on le connaisse « suffisamment bien pour être en mesure de détecter un double-compte, s’il était tenté d’en ouvrir un ».
Dans ce cadre, une simple conversation skype est totalement insuffisante. Le fameux Gabriel m’avait d’ailleurs envoyé une demande de certification il y a quelques temps sur cesium. Je lui ai alors expliqué les règles de la licence. Je ne lui jette pas la pierre, d’ailleurs, il est très probablement aussi enthousiaste que nous tous par rapport à la monnaie libre, sans forcément comprendre les implications d’une certification dans la toile de confiance.
On est tous impatients de voir la monnaie libre se développer. C’est humain. Mais une monnaie libre qui se développerait sur une toile de confiance où des certifications ont été émises sans respecter les précautions de la licence est une monnaie morte à terme. C’est aussi simple (et grave) que ça, en fait. Alors, gardons peut-être en tête que notre enthousiasme pourrait très bien s’avérer être destructeur.
Dans le cadre de la toile de confiance, le motto est plutôt « doucement mais sûrement ».
Si vous êtes super motivés, alors vous devriez comprendre qu’on construit actuellement les fondations de l’édifice Ğ1. Si ces fondations sont faites d’argile, vous comprendrez qu’au lieu de contribuer à bâtir un monde meilleur, vous contribuez malgré vous à le saboter. Je sais que, exprimé comme ça, ça peut paraître « violent » mais c’est malheureusement la réalité, d’où les « questionnements », « interrogations », « mises au point » de certains membres vis-à-vis des certifications émises.
Et pour les plus impatients, telle qu’elle est bâtie, la toile de confiance a une capacité potentielle à grossir exponentiellement à un moment donné. Ça grossira, ne vous en faites pas.
PS avec mea culpa: J’ai moi-même certifié quelques membres un peu rapidement au début, mais j’essaie de rester en contact, et j’apprends à les connaître au fil du temps pour réparer mes « boulettes de jeunesse ».
… et j’ai oublié de préciser que les règles de la licence n’ont pas été mises là « pour le plaisir », il y a de vraies raisons derrière (études de graphes, attaques Sybil et compagnie). Si vous contestez ces raisons, on a hâte d’entendre vos arguments justifiés avec de la théorie des graphes.
Oui, enfin en évitant de tout publier trop vite
Remarque: cette phrase, comme je l’ai déjà dit ailleurs, n’a pas de sens pour moi. J’ai donc demandé des précisions et n’aies jamais eu de réponse.
Est-ce que, cette fois, quelqu’un peut éclairer ma lanterne?
Je ne sais pas si ma réponse correspondra parfaitement à ton attente mais il me semble qu’elle sera suffisamment pertinente pour y contribuer…
Cas d’école : je rencontre quelqu’un lors d’un apéro monnaie libre qui souhaite être certifié. On discute un peu, et j’apprends qu’il s’appelle Thomas et que c’est un commercial qui voyage souvent dans toute la France. Il prétend n’être pas déjà membre et que c’est pour cette raison qu’il vient aux apéros toulousains afin de se faire certifier.
Tout se serait bien déroulé pour lui si, au détour d’une liaison via Skype durant l’apéro avec un autre groupe français (montpelliérain par exemple), quelqu’un aperçoive ce futur membre et le reconnaît
- Ah mais finalement vous avez Michel qui vient à votre apéro à Toulouse ?..
- Michel ? euh, non c’est Thomas, il découvre la monnaie libre.
- Si c’est pas lui, il lui ressemble comme deux gouttes d’eau. Notre Michel est membre depuis plusieurs semaines, je l’ai certifié !
- Attends je lui demande de venir… Thomas ? tu peux venir s’il te plaît ?.. Thomas ?..
Et le Thomas/Michel ayant senti le roussi, il a prétexté un rdv urgent pour éviter la confrontation visuelle directe.
Après enquête, on découvrira que le Michel/Thomas s’appelle aussi Georges dans un autre coin de la France et qu’il a déjà réussi à ouvrir deux comptes de membre sous deux identités différentes et que c’est le hasard qui a permis d’éviter qu’il ne cumule un troisième, un quatrième, etc…
Alors je prends un cas difficilement reproduisible aujourd’hui, mais c’est, à mon avis un scénario envisageable si la monnaie libre devient aussi intéressante qu’on l’espère.
Et il y a d’autres risques dans la foulée : qu’un groupe d’une dizaine de fraudeurs ait réussi à se faire certifier en faisant profil bas, rien ne les empêche plus de s’entre certifier pour de faux comptes en doublon, en triple, quadruple, etc. du moins je ne suis pas certain qu’il y ait de garde-fou actuellement ; un test statistique peut-être… ?
Quoiqu’il en soit il faut être préparé à ce que des tentatives de ce type aient lieu, tant techniquement si c’est faisable, qu’intellectuellement pour pouvoir gérer une fraude de ce type.
Je ne suis pas experte en la matière (on me corrigera) mais je doute fortement qu’une fraude de cette ampleur soit possible sans que cela ne soit détecté assez rapidement pour y faire face.
Par ailleurs, cela n’a d’intérêt pour le fraudeur que si la monnaie a pris une valeur économique suffisante pour en tirer des bénéfices en rapport avec l’effort consenti…
Autrement dit, accumuler des G1 n’a pas d’intérêt à long terme (pendant encore un certain temps) et, les vendre contre des euros ou autres dollars, n’a pas beaucoup d’intérêt pour l’acheteur si ce n’est pour faciliter des échanges… en G1(membre ou non-membre)… d’ici là, la toile devrait être assez dense pour protéger G1…
Alors je vais te donner mon interprétation personnelle de cette phrase :
je me considère comme étant en mesure de détecter un double-compte si j’ai suffisamment d’informations diversifiés sur la personne, le suffisamment étant différent si je connais la personne IRL ou pas :
Mais surtout il faut que j’ai des amis en commun avec cette personne, ou/et que je connaisse personnellement des proches de cette personne (conjoint, enfants, meilleur ami, etc), que je sais quelles sont ses activités dans la vie, ses projets, ou est ce qu’elle habite, ou si elle est nomade quel sont ses points d’attache, et que j’ai au moins 2 moyens différents de la contacter (typiquement mail+tel).
L’important donc, plus que ton lien avec la personne en question, c’est ton lien avec l’entourage de cette personne, car c’est cet entourage (qu’il soit familial, amical, professionnel ou autre) qui te permettra de recouper les informations.
qu’un groupe d’une dizaine de fraudeurs ait réussi à se faire certifier en faisant profil bas, rien ne les empêche plus de s’entre certifier pour de faux comptes en doublon, en triple, quadruple, etc.
C’est ce qu’on appelle une attaque sybil, et oui il y a plusieurs gardes-fou contre cela et notamment principalement la fameuse règle de distance : https://duniter.org/fr/introduction-a-la-toile-de-confiance/
un test statistique peut-être… ?
Oui j’ai développé un certain nombre d’indicateurs statistique qui devraient permettre de prévenir ce type d’attaque, on travaille également avec @Smyds a l’implémentation d’un algo plus poussé pour la détection de régions sybil
Mais ces gardes fou techniques et statistiques ne sont pas infaillibles et ne peuvent pas remplacer le respect de la licence Ğ1 et le contrôle par les membres eux-mêmes du respect de la licence Ğ1.
L’important donc, plus que ton lien avec la personne en question, c’est ton lien avec l’entourage de cette personne, car c’est cet entourage (qu’il soit familial, amical, professionnel ou autre) qui te permettra de recouper les informations.
Ok. Ca c’est clair. Mais ce que je ne vois pas concrètement comment détecter le “faux-compte”. Pour recouper les infos, il faut bien un premier indice concernant celui-ci.
Exemple:
1 - j’ai certifié jean et j’ai mail, tél, famille et amis connus, donc en mesure de recouper les infos.
2 - jean crée un 2ème profil/compte: gérard
3 - Question: comment puis-je faire le lien entre jean et gérard dans la mesure où je n’ai pas connaissance de sa “2ème identité”?
Mes connaissances de son entourage ne servent pas à grand chose… d’autant plus qu’il ne me viendrait pas à l’idée de certifier quelqu’un dont je ne connais rien.
Mais surtout il faut que j’ai des amis en commun avec cette personne, ou/et que je connaisse personnellement des proches de cette personne (conjoint, enfants, meilleur ami, etc), que je sais quelles sont ses activités dans la vie, ses projets, ou est ce qu’elle habite, ou si elle est nomade quel sont ses points d’attache, et que j’ai au moins 2 moyens différents de la contacter (typiquement mail+tel).
Quand j’ai vu que la licence Ğ1 tournait à la nécessité de faire des enquêtes de police intrusive, sur les autres, sur moi, sur mon entourage, comme une black box humaine, j’ai renoncé à promouvoir cette monnaie,
Quand j’ai vu que la licence Ğ1 obligeait à avoir des amis de confiance, de les rencontrer, de faire des bbq, des scrabbles, parmi des personnes que je n’ai aucune envie de connaître, (vous allez en vacances avec le vendeur vous sur le bon coin ?) et qu’en cas de non application de ces activités que je me refuse à faire, on risquait les foudres de certains, par email, messages privés, puis billets publiques (voir l’affaire actuelle et celle de @petiteberger), j’ai renoncé à promouvoir cette monnaie.
La Toile de Confiance de Duniter avait été comprise pour moi comme les signing party PGP. Faire le lien entre une personne et sa clef. Point final. Les signing party ont aussi leurs difficultés, mais j’ai vu des procédures carrées qui permettait de valider la correspondance entre une personne et sa clef publique, basta. Pas besoin de caresser son chien ou de connaître sa femme (ou l’inverse, ça dépend de la taille du chien).
Si la monnaie Ğ1 d’un côté est excellente (bravo à tous), la Toile de Confiance est un mal nécessaire, sûrement, mais qui en l’état m’empêche d’y inclure les personnes autour de moi qui sont pourtant très intéressées (ressourcerie, AMAP, vente de livres, etc).
Merci de ne pas répondre par des jugements sur ma position (ce qui serait parfaitement inutile et vain), mais par des propositions techniques concrètes sur la licence ou la TdC. Ou pas.
Je cherche aussi de mon côté des solutions techniques pour simplifier la procédure d’adhésion, et pourquoi pas, migrer la sécurité vers des outils comme ceux d’ @elois, afin de soulager l’utilisateur.
Si ce n’est pas possible sur Ğ1, cela se fera sur une autre monnaie…
7 messages ont été déplacés vers un nouveau sujet : Stock de certifications dynamique
Quand j’ai vu que la licence Ğ1 obligeait à avoir des amis de confiance, de les rencontrer, de faire des bbq, des scrabbles, parmi des personnes que je n’ai aucune envie de connaître
En fait, je pense que ces contraintes sont totalement temporaires. Le problème vient de la phase d’initialisation de la monnaie, lancée à l’échelle nationale, où la plupart d’entre-nous sont tout simplement isolés géographiquement. Alors c’est à nous de bâtir le réseau. Et ça a un coût important en investissement humain. Mais une fois cette phase d’initialisation passée, on pourra venir à un fonctionnement beaucoup plus simple où il ne suffit plus que de certifier des gens qu’on connaît déjà, sans avoir besoin de les rencontrer davantage. C’est d’ailleurs ce qu’a clairement indiqué @cgeek juste avant moi (exprimé d’une autre manière). Quant aux enquêtes, elles ne seront que très rarement nécessaire dans un fonctionnement « rôdé » où chacun certifie ses proches: le risque sera intrinsèquement tellement grand de se faire prendre en flagrant délit de double-compte qu’il me semble difficile d’imaginer que quelqu’un le tente vraiment.
@jytou comprend profondément et parfaitement bien le sujet.
Bonjour tout le monde, je suis nouveau par ici, je tente d’apporter ma pierre à l’édifice avec ce premier message J’ai lu à peu près tous les vôtres et le fil de toutes ces discutions m’ont fait penser à une chose.
Je suppose que le numéro de téléphone n’est pas demandé pour des raisons de vie privée, il pourrait pourtant pallier à quelques problèmes:
- on ne peut qu’avoir un nombre limité ces numéros
- ils sont liés à un point géographique
- une entreprise s’est déjà assurée que la personne existe bien pour pouvoir la facturer
Une solution qui limiterait le non respect de la vie privée de la personne tout en offrant un moyen de détecter les faux comptes serait de demander aux certificateurs de relever le numéro par lequel ils ont contacté la personne à certifier et de le faire passer par une fonction de hachage avant de le stocker dans une liste.
Difficile de retrouver numéro d’origine, facile de détecter les doublons. Après je parle de fonction de hachage mais ça peut être autre chose.
Pour ce qui est des personnes qui n’ont pas de numéro ou venant de l’étranger (coût des communications poussant à utiliser Skype), on peut peut être demander de chercher les personnes à certifier dans l’annuaire du pays (s’assurer que le nom de la personne corresponde a l’adresse et prendre le numéro correspondant).
En espérant n’avoir pas trop dit de bêtises
Sinon l’idée du QCM est très bien ! Elle pourrait aussi être appliquée au moment de la certification: "Avez vous respecté cette règle ?, etc… "
ils sont liés à un point géographique
Attention de ne pas se baser là-dessus: il existe des numéros virtuels. Genre au hasard: https://www.virtualphoneline.com/
Ha je connaissais pas ! après l’idée servirait à limiter la fraude en gardant en tête que les fraudeurs expérimentés ont toujours une longueur d’avance…
On peut rétorquer la même chose si on devait élaborer un système à la google (un code envoyé à une adresse à renseigner ensuite sur le site). Des adresses postales “secondaires” existent.
Topic très intéressant. Ce n’est pas simple et il est normal que tout ça soulève des débats.
Merci à tous de faire travailler mes méninges et me pousser à être vigilant quand je certifierai.
J’ai un peu cogité depuis hier soir. Je me rends compte que le côté “il faut surveiller/enquêter pour garantir une toile de confiance saine” me perturbe un peu.
Je comprends les raisons et le besoin de garder la toile de confiance exempte de robots et d’empêcher une attaque Sybil. Et en même temps, si tous ceux qui m’ont certifié il y a une semaine avaient voulu tout savoir de ma vie (famille, relations proches, etc…), ça m’aurait un peu dérangé. Je ne voudrais pas qu’on crée un “système de contrôle étatique distribué”…
J’imagine que cette phase est due au “démarrage” de la toile de confiance et du projet Ğ1 et je pense qu’à terme, on ne certifiera plus que des personnes que l’on connait bien (famille, amis, …).
Au delà des préoccupations éthiques, est-ce que quelqu’un peut m’expliquer comment on détecte un potentiel faux compte et/ou un début d’attaque Sybil ? @elois peut-être ?
Techniquement, ça m’intéresse aussi.
J’imagine que cette phase est due au “démarrage” de la toile de confiance et du projet Ğ1
Oui comme @jytou et moi l’avons rappelé plus la toile est petite plus elle est fragile, c’est donc au début qu’il faut pêtre le plus vigilant et il vaut mieux l’être trop que pas assez, quitte a en rebuter certains, je préfère avoir quelques insatisfaits plutôt que de me retrouver dans quelques années avec une monnaie qui s’effondre parce que la toile serai compromise !
est-ce que quelqu’un peut m’expliquer comment on détecte un potentiel faux compte et/ou un début d’attaque Sybil ? @elois peut-être ?
Oui avec joie Mais c’est un peu compliqué pour comprendre il conviens de comprendre au préalable le pourquoi et le comment de la règle de distance, car elle est la clé, commence par lire ceci : https://duniter.org/fr/introduction-a-la-toile-de-confiance/
En fait il y a des différences de formes entre une région sybil et une région légitime, et il existe un algo permettant de détecter cela, le principe est le suivant : on trace des milliers de chemin aléatoires de longueur ln(N) et l’on en extrait a la fin une seule et unique région. Si l’on en extrait plusieurs régions alors l’une est légitime et les autres sont des régions sybil.