Des faux faussaires pour un entrainement avec des balles à blanc


#21

Bon, comme ça, à froid, je suis plutôt pour.

La condition que je poserai est d’être sûr qu’une personne ayant été désignée pour faire un faux compte n’en fasse pas d’autres qu’elle cacherait, ayant choppé une technique difficile à contrer…

Un faux compte devra avoir son fichier de révocation fourni aux organisateurs et aucune monnaie ne doit en être sortie. La monnaie sera détruite par un versement vers un compte “trou noir”.

Question : Pour la destruction de la fausse monnaie, tant pis pour les personnes pas au courant qui auraient fait des dons à ce faux compte ?

Sinon, côté core team développeurs, faudrait se caler sur une période où l’on est plutôt serein sur la stabilité de Duniter et des clients, pour réagir vite si une faille importante est découverte.


#22

Oui, au final détruire la monnaie grâce à un compte “trou noir” a à peu près le même effet que l’existence de comptes membre inactifs et non révoqués.

C’est à réfléchir, si c’est juste des dons (pas des achats), récupérer cet argent ne va pas à l’encontre des symétries spatiales et temporelles, ce serait même plutôt le contraire je dirais. Mais si jamais on ne récupère pas cet argent, et que les sommes sont raisonnables, franchement je sacrifierais volontiers mes DU pour la bonne cause :smiley:


#23

L’idée est intéressante, la plus grosse faille aujourd’hui c’est que certains certifient trop facilement, de peur de passer pour des gens pas sympa peut etre, ou par manquie de compréhension de la licence ou apr laxisme ou autre.

Ce qui me semblerait intéressant c’est que les membres qui auront certifier les faux faussaires se voient attribuer une pénalité lors du dévoilement du faux faussaire, cela donnerai une incentive aux membres pour faire plus attention a leur acte de certification.

A voir ensuite comment attribuer une telle pénalité, il y a plusieurs pistes possibles :

  1. Gestion automatique via duniter : pas besoin de compte spécial, il suffit de créer un nouveau document de révocation spécial que l’on nommerai par exemple fakeRevocation qui serait identique au document de révocation avec juste une ligne en plus indiquantt que c’est un document de type fakeRevocation. Coté protocole : lorsque qu’un compte est révoqué en mode fake, toutes les sources de monnaie de ce compte sont détruites et tout ces certificateurs en cours se voient amputés d’une pénalité de 20 DU qui sera reversée a la clé du compte Duniter. (sur les DU futurs avant d’éviter les problemes des comptes qui n’aurait pas le solde nécessaire).
  2. Pas de changement de protocole : on communique publiquement la liste des certificateurs “pas fiables” et ont les incite a verser des G1 pour se faire pardonner.
  3. autres idées ?

Il me semble essentiel qu’il y ai un enjeu pour les certificateurs des faussaires, sinon les gens s’en foutront et ne prendrons pas les bonnes habitudes.


#24

Bonsoir, @Skeptim: le mot “Tort” ne vient pas du verbe “Tordre”, mais du latin “Tortus”. Sinon c’est bien :wink:

A mon avis, pour ne pas perdre en crédibilité, vous avez intérêt à “tester” la solidité de la toile le plus tôt possible. Pour ma part, en tant que nouveau, je me faisais justement la réflexion, et j’en suis arrivé à la conclusion que effectivement, c’est assez simple de faire du multi-compte (deux comptes, c’est petit joueur). Et ça sera un argument qu’il faut s’attendre à prendre dans les dents. J’imagine que ça a du être discuté à la création, mais je ne comprend pas que un compte ne soit pas associé à un n° unique. Numéro de sécu, empreinte digitale, iris des yeux, photo d’identité, etc, etc … @elois, Renvoyer la responsabilité de faiblesses de conception de la toile sur les personnes qui certifient est malhonnête. L’abus de confiance n’entraîne pas la culpabilité de la personne abusée. Sinon c’est de la complicité, et là on est en “Bande organisée” c’est différent. Bref, au travail…


#26

Si la Ğ1 ne vaut quasiment rien à ses yeux, pourquoi donc dépenser autant d’efforts et prendre autant de risques pour créer plusieurs comptes ? Ça ne me paraît pas très cohérent.


#27

Par défi, par jeu. Un geek, c’est très joueur…


#28

J’ai dit “rien de très grave”, donc la Ğ1 ne vaut pas beaucoup à ses yeux mais vaut tout de même quelque chose.

On semble d’accord pour dire que c’est assez facile de se faire un double compte, donc peu d’efforts.

Si la Ğ1 vaut peu à ses yeux le risque est de perdre peu, petit risque.

Autrement dit: La Ğ1 vaut pour lui autant que ce qu’il peut s’acheter avec et il pourra s’acheter plus en faisant quelques efforts pour se faire un double (ou plus) compte et en prenant le risque de ne plus en gagner du tout dans deux ans.


#29

Oui, c’était exactement ce que j’avais en tête avec le but 1 dans mon premier message !
Personnellement, j’avais imaginé que la pénalité serait juste “sociale”, personne n’a envie d’être connu comme celui qui s’est fait avoir. Et on communiquerait publiquement la liste des certificateurs qui se sont fait avoir avec les détails de comment/pourquoi de manière à ce qu’on fasse la distinction entre la complicité et l’abus de confiance…


#30

Quelles sont les bonnes habitudes a prendre pour déceler un faussaire ?
Pour ma part,

  • je demande à les rencontrer au minimum deux fois
  • Avoir un moyen de contact
  • Avoir compris la licence, les règles de la toile de confiance
  • Et qu’il ait téléchargé le certificat de révocation
  • Vérifier sa clé publique

Mais ensuite comment faire pour contrôler qu’il n’a pas déjà un compte à l’autre bout de la France ?


#31

C’est ce que l’équipe bleue devra découvrir lors de notre grand jeu concours : “trouve le faussaire” ! :wink:

Blague à part, c’est ce que l’opération permettra de faire, je l’espère, et je compte sur l’imagination de tous les participants à la monnaie libre !


#32

Ça casserait pas la symétrie du réseau d’avoir un portefeuille en dur ?

Pire, ça serait pas ramener un problème humain, avec toute la politique de savoir qui/quoi/comment/… on gère ce portefeuille ? Et d’ouvrir la porte à toute les idées “faudrait un portefeuille pour …” ?


#33

Oui ok, ben sinon les g1 peuvent juste etre détruites :wink:


#34

Salut, tu proposes une “amende” sur des gens qui certifient légèrement ? Mais… Avec quelle légitimité ? Personne n’a signé de telle règle de sanction en acceptant la licence.

Si ce concours a lieu, ce sera avant tout pour 1- tester la résistance de la toile à une attaque Sybille, et 2- tester des outils de détection et de limitation de cette attaque.

Ce n’est pas un outil de pédagogie par l’échec. La communication qu’il peut y avoir autour du concours peut avoir un aspect pédagogique.


#35

Je pense que cela révélera qu’il est possible de devenir faussaire… Mais par les mécanismes de la WOT https://duniter.org/fr/wiki/toile-de-confiance/ ce phénomène restera négligeable.

Comme la blockchain est publique, il finira par apparaître des transactions sur le compte du faussaire qui devrait leur interdire une nouvelle certification de ceux qu’il aurait trompés. Dans le cas de nombreux complices, ce groupe se trouverait isolé du barycentre de la WOT https://wotmap.duniter.io/

Ainsi la fraude ne pourrait avoir ni une dimension importante, ni durer longtemps… Relativement à N ou C

Il serait intéressant de disposer d’un outil visuel qui permettant de parcourir un historique des flux de transactions, une extension de la wotmap ? Ressortirait les ruisseaux, rivières et fleuves des flux qui circulent entre nous (et chacun de nos étangs). La monnaie libre est un flux, non un bien qui puisse s’accumuler à outrance…

On pourrait aussi imaginer une IA qui deviendrait intelligente à détecter les fraudeurs pour informer les membres certificateurs sains… Il va falloir que pas mal de fées se penchent sur le berceau de la monnaie libre.


[G1sms] Gestion de porte Monnaie Libre par SMS
#36

C’est marrant j’aurais plutôt dit par impatience.


#37

Oui c’est une raison de plus parmi l’infinitude des raisons possibles :wink:


#38

Je trouve fort de café de vouloir mettre la responsabilité sur des membres pleins de bonne volonté qui ne demandent qu’à dynamiser la toile. Je vous donne mon scénario: Je fais partie d’une petite communauté de joueurs en réseau. Nous nous mettons d’accord pour nous faire certifier chacun dans notre région. Une fois fait, à nous les comptes supplémentaires. Pour ne pas éveiller les soupçons, nous utilisons les comptes de façon réfléchie. Dans le groupe, il y a même un petit malin qui nous a fait un tableau avec macros et tout. Ah oui, de temps en temps on intègre un nouveau dans notre combine. Ou est la responsabilité des personnes qui ont donné leur confiance au départ? Elle l’ont toutes fait de bonne foi. Quand j’ai commencé à jouer avec les Bitcoins, j’étais naif. Un jour, je me suis connecté à mon compte sur MtGox, pfuit!!! plus rien, des hackers avaient syphonné et fait couler la plateforme. Alors comprenez que je préfère imaginer tous les scénaries tant que ça ne vaut pas grand chose. Comment pensez-vous gérer cette situation?


#39

Dynamiser la toile c’est respecter et être attentif à ce que tous les membres respectent la licence Duniter ğ1. Dynamiser la toile c’est organiser des rencontres conférences explicatives.


#40

Je suis d’accord, c’est ce que disait aussi matograine, on doit doit prendre ça en compte.


#41

Ce que j’ai écrit, c’est que personne n’a de légitimité à imposer d’amende à qui que ce soit, dans l’état actuel des choses.

Cependant, des personnes qui certifient légèrement ont effectivement une responsabilité : celle de connaître bien les personnes qu’elles certifient. Ça, elles l’ont accepté par la licence. Vouloir “dynamiser la toile” ne change rien à cette responsabilité.

Certifier des gens qui n’auraient pas bien compris la licence et que l’on ne connaît pas suffisamment fragilise la toile, bien plus que ça ne la dynamise. Je rejoins @matiou : l’explication de la June est beaucoup plus efficace pour dynamiser une toile saine que certifier à tout-va.

@mitch66, qu’as-tu retenu de tes aventures Bitcoin ? Notamment, entres-tu tes ID membres dans des instances Cesium sur le web ? si oui, je t’invite (ainsi que toute autre personne qui aurait répondu oui) à lire ce post : Mettez-vous vos identifiants membre dans une instance hébergée de Césium ?

Si non, tu es conscient des risques. Transmets-tu cette connaissance aux personnes que tu certifies ?

edit : Je relis ton post. Tu parles effectivement de gens de bonne foi ayant certifié sérieusement des personnes qui, ensuite, trichent.

Quand la fraude sera découverte (sans doute par le graphe de la TdC, si la fraude est discrète), les membres seront dénoncés aux personnes les ayant certifiées, qui devront prendre leurs responsabilités :

  • soit refuser de recertifier ces personnes à tout jamais, et transmettre l’information à l’entourage. Ca s’appelle ostraciser quelqu’un, et c’est ce que je ferais sans problème. Si les membres de l’équipe de fraude veulent recréer de la monnaie, illes devront se reconstruire une vie ailleurs.
  • soit soumettre leur nouvelle certification à plusieurs conditions limitatives (p.ex. OK je te certifie ce nouveau compte, mais si tu recertifies qui que ce soit je ne te recertifie plus jamais)
  • soit refuser de commercer avec l’équipe de fraude (la June y perd beaucoup d’intérêt)
  • soit d’autres règles et tout ce que l’imagination humaine peut apporter.