Des faux faussaires pour un entrainement avec des balles à blanc


#1

Une des meilleurs façons de se convaincre qu’on a raison est d’essayer à tout prix de se prouver qu’on a tort. Si on est incapable de se prouver qu’on a tort alors on peut penser qu’on a vraisemblablement raison.

Je vous propose une idée qui va dans ce sens.

L’idée générale est de tirer au hasard des personnes à qui l’on va demander de tenter de se faire un double compte. Un entraînement avec des balles à blanc si vous préférez, le but est double:
1- Donner une bonne raison à chaque membre d’être méfiant. C’est pas pareil d’avoir à faire à un risque théorique (auquel certains croient moins que d’autres) ou de savoir qu’il y a des personnes qui cherchent réellement à se faire un double compte.
2- Tester la toile de confiance et corriger ses potentielles failles.

Évidement, améliorer la détections des doubles comptes c’est améliorer aussi la détections des tentatives d’attaques Sybil.

Pour développer un peu plus les deux buts ci-dessus:
1- Une personne qui certifie trop facilement a, finalement, peu de chances que sa négligence soit responsable d’une attaque Sybil ou d’un double compte (en tout cas certains le pensent) et si jamais ça arrive, le coût pour cette personne est faible: quitter la Ğ1 et retourner à sa vie d’avant.
Alors que si on sait qu’il y a une ou plusieurs personnes qui essaient de se faire en ce moment même un double compte, la probabilité augmente drastiquement (de plusieurs ordres de grandeur à mon humble avis).

2- Savoir comment s’y prendraient des personnes qui cherchent à se faire un double compte est indéniablement utile. J’ai réfléchit à ce que je ferais pour me faire un double compte dans ce contexte et je dois dire que j’ai eu pas mal d’idées, ça semble presque simple. (Je ne développerait pas ces idées ici, pour éviter de les donner à des personnes réellement malveillantes bien qu’il soit aujourd’hui presque inutile d’avoir un double compte.)
Et si la toile permet de démasquer les “faussaires” ou les empêche de se faire un double compte on pourra dire à tout le monde que la toile est à l’épreuve des balles !
Dans tous les cas, leur expérience nous permettra de corriger nos pratiques (i.e. la licence) et d’en développer de nouvelles si besoin.

Il reste ensuite à discuter de l’implémentation de cette idée, voilà quelques premières pensées à ce sujet:
Il devrait y avoir un petit nombre (entre 5 et 10 ?) de personnes qui savent qui a été tiré au sort pour être “faussaire”. Ces personnes le surveilleraient, et attesteraient de sa mission si il est démasqué.
Il faudrait décider d’un nombre de “faussaires” moyen à un moment donné (l’espérance de la loi de Poisson) et les tirer au sort à des dates tirées au sort elles aussi. (Pour que je ne soit pas suspecté de conflit d’intérêt je serai exclu de ce tirage au sort.)
Un faussaire aurait, par exemple deux ans pour se faire un double compte et au bout de ces deux ans, qu’il ait réussi ou pas il est révélé.
Les faussaires tirés au sort pourraient refuser, évidement. Ceux qui acceptent auraient le droit de garder l’argent du double compte qu’ils réussiraient à faire (ça permet de les motiver).
Ce projet devrait être connu par une majorité des junistes (forum, bouche-à-oreille, RML…) de manière à ce que chacun soit plus méfiant pour certifier et pour qu’une fois le faussaire révélé avec attestation qu’une mission lui avait été confié, il ne perde pas la confiance de son entourage.

La principale difficulté sera peut-être de convaincre les gens de devenir “faussaire”, difficile à dire, c’est ludique et ça rend service à tout le monde. Dans le pire des cas, si il n’y a pas de faussaire mais que tout le monde croit qu’il y en a un alors la moitié des objectifs sera atteint ! :wink:

En conclusion, il me semble que c’est relativement facile à faire, que ça a indéniablement des avantages et ces derniers me semblent plus importants que les potentiels inconvénients.
Qu’en pensez-vous ?


#2

Bonjour,

Je n’ai pas vraiment pesé le pour et le contre, donc je ne me prononce pas sur ce point.

En revanche, je vois un gros souci à ce que certaines personnes possèdent à un moment plusieurs comptes, pour la confiance dans la monnaie. Donc je verrais plutôt :

  • une récompense de 100 ou 200DU (qu’il faut financer) si les faussaires réussissent à se créer un faux compte.
  • L’obligation pour les faussaires d’indiquer au “comité” le ou les faux comptes, leurs identifiants, et de transmettre le certificat de révocation à ce “comité” avant toute autre démarche.

La récompense serait versée si le faussaire annonce de lui-même sa réussite et révoque de lui-même son compte. Un rapport sur la stratégie utilisée peut être demandé, notamment parce qu’une stratégie possible est l’association avec d’autres faussaires, qu’il conviendrait de dénoncer.

Dans le cas où un des comptes indiqués deviendrait membre sans action du faussaire au bout d’un mois, le compte serait révoqué par le comité et le faussaire révélé (comme réel faussaire cette fois).

On peut d’ailleurs imaginer une course, où la première personne reçoit une récompense de 200DU, la deuxième 100DU, la troisième 50, et c’est tout.

Sur la marche à suivre, je verrais plutôt un tirage au sort entre volontaires, et pas entre tous les membres de la TdC.


#3

Merci pour ton commentaire, très intéressant ! Je suis globalement d’accord avec tes propositions :wink: Quelques remarques :

Oui, j’imaginais également que les faussaires soient en contact permanent avec le “comité” et qu’ils doivent partager leur stratégie etc.
En effet la transmission du certificat de révocation et des identifiants permettront d’éviter tout débordement, excellente suggestion !

Mon idée était de tester également le temps que mettrait la toile à s’apercevoir qu’un double compte a été créé (si elle s’en aperçoit), c’est pour cela que je proposais que le faussaire garde son double compte pendant une certaine période (déterminée par avance), et on pourrait utiliser cet argent comme sa récompense.
Mais je veux bien laisser tomber cette idée si vous pensez que c’est trop risqué, la tienne me convient également.

Oui, t’as raison, il faut juste s’assurer que personne ne sache qui est volontaire et qui ne l’est pas, sinon on saurait de qui se méfier !


#4

Je pense que c’est une excellente idée. Il faut bien en définir les contours pour :

  • Ne pas endommager la confiance en la toile
  • Pouvoir en sortir une expérience constructive en terme de sécurité

A mon avis, dans ce concours, il faut permettre des inscriptions “solo” et “en équipe”. Les deux types d’attaques pouvant être tentées.

Il faudra définir une période de temps limite sur laquelle le concours sera joué (6 mois me semble pas mal). Tout faux compte créé par l’équipe doit être déclaré à l’instance organisatrice du concours et le document de révocation fourni.

Il faut définir comment les DU générés par les faux comptes doivent être gérés. Une solution serait de les redistribuer via Remuniter pour financer le réseau, ou de les redistribuer à tous les membres (facilement réalisable par un script).

Je suis d’avis d’avoir trois prix (30 DU, 20 DU et 10 DU par exemple) et un classement basé sur le nombre de DU générés par personnes dans l’équipe. (Par exemple, un joueur solo qui créé un faux compte aurait 1/1 = 1 point, une équipe de 5 qui aurait un faux compte aurait 1/5 = 0.2 point).

A 1500 membres, je pense que c’est le moment idéal pour mettre en place ce type d’expérience :

  • On est suffisamment peu nombreux pour pouvoir tirer une expérience pour l’avenir de la communauté
  • On est suffisamment nombreux pour ne pas tous se connaitre et permettre de tenter une attaque

#5

Là aussi je suis globalement d’accord ! :wink:

Le problème d’un concours sur 6 mois est que les membres de la toile vont faire attention pendant cette période puis reprendront de mauvaises habitudes ensuite. J’imaginais plutôt quelque chose sur le plus long terme avec pas forcément de faussaire en permanence mais un risque permanent qu’il y en ait. Autrement dit, les membres de la toile ne savent pas si il y a ou non (un ou plusieurs) faussaire à un instant t.
Mais c’est peut-être plus compliqué…


#6

De toute manière, sur le long terme, les membres doivent s’attendre à la possibilité d’avoir des faussaires tout le temps, qu’un concours soit en cours ou non.

L’autre avantage de limiter à une durée, c’est de produire un compte rendu de l’expérience, les bonnes choses et les mauvaises choses, pour que tout le monde progresse.


#7

@Skeptim, excellente idée :smiley:

Je dirais que c’est de la fausse monnaie qui ne doit en aucun cas être utilisée, car ça irait à l’encontre de la monnaie libre qui se veut symétrique, neutre, sans privilèges :confused:

Par exemple dans ce cas là tu privilégies ceux qui finance le réseau. C’est changer la loi monétaire sur laquelle on était tous d’accord.

Effectivement si les fausses junes sont redistribuées au prorata de la masse monétaire, ça ne devrait pas avoir d’impact. Malheureusement, vu qu’il est impossible de distribuer moins de 0.01 junes, il y a des chances que ceux qui possède moins d’un certains pourcentage de la masse monétaire soit lésés face aux autres :confused:

Egalement, ça risque de fausser les référentiels qui prennent en compte N, le temps que les faux comptes ne soit résiliés :confused:


#8

On peut “brûler” les fausses G1 en les envoyant sur une adresse publique aléatoire. Ou sur l’adresse 0x00000… C’est un moyen utilisé dans la blockchain Ethereum, qui doit être semblable pour Duniter.


#9

Une autre solution serait d’implémenter tout ça directement dans Duniter :

Par exemple, en plus des traditionnels portefeuilles et compte-membres, on pourrait créer des vrais faux-comptes (compte loup-garous ? :stuck_out_tongue: ), sur lesquels on croit voir apparaître des junes mais qui n’existent pas réellement (pas transférable par exemple), n’impactant ni N ni M, et ne pouvant pas calculer de blocs.

N’importe qui peut donc tenter de faire des faux-comptes, on ne leur tiendra pas rigueur :wink:

Bon par contre ce premier exemple est sûrement trop simple, car il suffit de compter le nombre de comptes et de le comparer à N chaque jour pour connaître le nombre de nouveau faux-comptes chaque jour, et si il n’y a qu’un seul compte de créé ce jour, il est facilement repéré :stuck_out_tongue:


#10

Mais il faudrait pas qu’on se dise “Tient, untel a un comportement louche… Bof, il se fait sûrement un compte loup-garou, je le connais il peut pas être malhonnête !”

Il ne faudrait pas que le compte loup-garou, devienne une pratique courante…


#11

Et après ouai un moyen de prouver que c’était bien un compte loup-garou pour se la péter ("*tin les gars j’ai 12 certifs quand même ! C’est qui le boss des white hats :smiley: ?"), histoire de garder l’idée de rémunérer ceux qui participe à la robustesse du système, et également pour les dédommager car faire des faux comptes ça risque d’être coûteux :confused:


#12

Ca peut être une bonne idée.

Ah bah l’expérience impacte beaucoup de choses oui. Peut être qu’il faudrait mettre un maximum dans un premier temps : une équipe ou un joueur solo qui arrive à créer une échelle suffisamment grande de comptes pourrait déclarer sa victoire instantanément (Un ratio comptes créés / faussaires > 25 par exemple).

Je pense qu’il faudrait aussi un prix pour ceux qui détectent les faussaires et agissent pour limiter l’attaque d’ailleurs. Une sorte concours “Red team / Blue team” bien connu des pentesteurs :slight_smile:


#13

Alors si on en est à penser 25 faux comptes pour 1 personne (125 pour 5), j’ajouterais comme vigilance du “comité” le fait qu’aucun des faux comptes ne soit utilisé pour écrire dans la Blockchain.

Genre avec un script cron qui révoque tous les faux comptes du concours (ou de l’équipe) si un seul écrit dans la blockchain. Histoire d’éviter des attaques 67%.

edit : et un truc similaire si un des faux comptes certifie une identité qui n’a pas été signalée au comité.

Parce que bon, jouer avec le feu ça va un moment, hein.


#14

Oui, il ne faut surtout pas que cette expérience nous fasse prendre un risque !


#15

Pour ma part, je suis assez mitigé sur ce genre d’expérience. Pourquoi pas, mais je ne suis pas sûr que ça apporte réellement quelque chose, tout en perturbant l’existant (en production…).

Je pense que dans la vraie vie un faux compte ne sera pas détecté tout de suite. Il faudra souvent du temps avant de se rendre compte que untel a ouvert un deuxième compte. Tomber par hasard sur une connaissance commune et discuter de la Ğ1 et du faussaire. Tomber par hasard sur son compte dans des historiques de transactions avec des amis commun. Recouper avec certains outils les transferts monétaires dans la blockchain et s’apercevoir de liens entre les deux comptes du faussaire. Ou bien que le faussaire fasse une fausse manip (sur la durée, on n’est jamais à l’abri, surtout à des moments où la vigilance se relâche après quelques temps où tout s’est bien passé), comme faire un paiement avec le mauvais compte, etc.

Autant d’événements que vous ne pourrez pas simuler en quelques mois. Il y a d’ailleurs de fortes chances qu’en quelques mois, les faux comptes ne soient pas découverts du tout, ce qui risquerait d’ailleurs de miner la confiance dans la toile. De mon point de vue, dans la vraie vie il se passera peut-être des années avant qu’un faux compte ne soit découvert. Ce qui n’est pas grave en soi : une fois découvert, le fraudeur se verra exclu (pour ma part, je ne recertifierais certainement plus jamais quelqu’un qui aurait été pris en flagrant délit de fraude à un moment donné) ce qui est une sanction je pense très largement suffisante pour calmer les ardeurs d’éventuels « joueurs ». En tout cas c’est mon avis, qui vaut ce qu’il vaut.

Dans le même temps, on va ajouter dans la vraie toile de confiance des trolls qui risquent de mettre de la confusion, tant chez les anciens que chez les nouveaux venus, avec les malentendus qui vont avec… je trouve qu’il y en a déjà assez dans la vraie vie pour en rajouter artificiellement…

Qui va contrôler cette expérimentation ? Ce qui m’inquiète, c’est qu’il va être extrêmement difficile d’être 100% transparents puisque par définition il faut laisser une part d’ombre pour pouvoir créer des faux comptes sans savoir que untel ou untel y participe. Et là on se retrouve avec un panel fortement centralisé pour gérer cette expérimentation.

Et sans compter bien sûr que cela va légèrement fausser M/N temporairement, même si c’est un phénomène négligeable c’est dommage (sans compter qu’on ne saura plus vraiment combien il y a réellement de « vrais » membres (ce qui est déjà le cas aujourd’hui, au passage, car certains membres ne sont pas actifs, mais c’est un autre sujet).


#16

Bonne remarque, mais on peut imaginer que toutes les informations soient rendues publiques après coup pour avoir une transparence à rebours. Et le “comité” pourrait être fait d’un grand nombre de personnes pour être sûr que tout se passe bien. Il suffit d’un membre du comité qui dénonce tout le monde pour que l’expérience s’arrête en cas de problème, et on a tous envie d’être lanceurs d’alertes :smiley:
De plus ce comité n’aurait pas de pouvoir autre que de dire si quelque chose ne va pas, c’est plus un devoir qu’un avantage.

Pour ce qui est du reste, il me semble que même si on ne teste que la création de faux comptes et pas sa détection c’est déjà génial ! Savoir si c’est facile et comment s’y prendre pour faire un faux compte c’est un apport énorme me semble-t-il !

Ensuite et surtout, je considère que le choix que l’on a est entre: avoir des faux faussaires aujourd’hui avec les inconvénients et avantages que ça implique ou avoir de vrais faussaires un jour et n’avoir que les inconvénients à un moment où il sera peut-être trop tard. Je me trompe ?


#17

C’est bien là le point important : créer des faux comptes ne me paraît pas bien difficile. C’est les garder sur le long terme qui l’est. En tout cas c’est mon analyse sur la toile de confiance et il me semble que c’est son principe même : on ne cherche pas 0 fraude, mais la minimiser. Le problème que je vois est qu’on risque de montrer qu’il est effectivement assez facile de créer des faux comptes, ce qui va laisser croire aux gens qu’on a une toile de confiance en carton. Alors que le véritable enjeu, c’est de garder un double compte pendant toute ta vie sans se faire prendre. La peur d’être banni ne laisse pas droit à l’erreur dans ce cadre. La toile de confiance est bâtie à 90% sur ce phénomène psychologique. Or le test court terme qui est proposé ici va négliger ce point pourtant essentiel et je crains qu’on n’aboutisse à des conclusions qui risquent d’induire les gens en erreur. Alors peut-être qu’avec votre test, vous allez prouver qu’il n’est finalement pas si facile que ça de créer des double-comptes. Si c’est le cas, tant mieux, mais là encore il ne s’agira que de 10% du problème. Sans compter que ceux qui vont faire partir de l’expérience se ficheront du long terme et prendront des risques que personne n’oserait prendre en réel, rendant encore plus facile la création de faux comptes. J’attends avec impatience les résultats pour que vous me montriez que j’ai tort. :slight_smile:


#18

Oui je suis d’accord avec @jytou,
il est assez simple de se faire certifier un deuxième compte membre, il suffit d’aller à un (ou deux) apéro à l’autre bout de la France et ça peut-être assez rapide, le plus dur est de les garder au delà des deux ans (durée des certifs).
Il faudra jongler entre deux communautés sans se faire griller…


#19

Ca c’est un bon point. Le fait que ce soit “un jeu” permet de prendre plus de risques que si c’était “réel”. Ça fait parti des limites de l’expérience.

Je préciserai quand même une chose : le risque n’est pas tant la création d’un unique faux compte, mais des attaques sybilles qui pourraient corrompre le réseau. C’est vraiment sur ce deuxième point que le jeu devrait se concentrer.

Autrement, je pense aussi que montrer qu’il est facile de créer des faux compte si on distribue ses certifications sans y faire attention peut être pédagogiquement intéressant. Mais c’est vrai que sans le risque associé, cet aspect “création individuelle d’un second compte” est plus simple, c’est une des grosses limites de l’exercice.

Un avantage d’un tel jeu est que donner une motivation aux membres pour essayer de “détecter” ces faux-comptes, développer des outils, etc, afin de gagner des primes. Pour ça qu’il faut un aspect “attaquant” mais aussi un aspect “défenseur”.


#20

J’avoue que ça n’est pas comme ça que je vois le problème, c’est sûrement là l’essence de notre désaccord: pour moi être banni ne commencera à être un problème pour le faussaire que le jour où la Ğ1 aura quasi-remplacé l’euro (cela arrivera-t-il un jour ?). Une personne qui se fait bannir aujourd’hui retournera juste à une vie normale, comme 99% de la population, rien de très grave… Je me trompe ?

Par conséquent, dans les années à venir, les faussaires essayeront juste de profiter pendant quelques années. Et comme ce sera probablement plus rentable (4 apéros tous les deux ans) que de vendre ou proposer des services en Ğ1, on va peut-être avoir beaucoup d’abus…

Je pense que si il est facile de se faire des doubles comptes on va forcement s’en rendre compte à un moment, soit maintenant volontairement, et on peut corriger tant qu’on est peu nombreux, soit dans quelques années, à notre insu, et on décevra beaucoup plus de monde…
Pour tout dire, je pense que c’est une décision importante pour l’avenir de la Ğ1 ! (Désolé, c’est prétentieux, j’ai honte :blush:)

Je suis convaincu qu’il y a beaucoup de choses à faire pour rendre plus difficile la création de faux comptes, minimiser la fraude comme tu l’as dit, c’est le principal objectif de ce projet.
Et bien sûr, rendre plus difficile la création de double compte a un double but puisqu’elle rendra plus difficile^n l’attaque Sybil.

Sauf si on considère que les faussaires aussi se fichent du long terme, comme exprimé ci-dessus.