Nouveau champ profil utilisateur: Clé publique Ḡ1

Le problème par ailleurs c’est que même si on nous on ne le fait pas, quelqu’un risque tôt ou tard de finir par le faire. Il faudra qu’on pense à communiquer sur ce risque également.

Ici c’est de mon propre chef, sur mon propre site, sous ma propre responsabilité, et je n’invite personne à le faire sur mon site.

Inviter d’autres à le faire sur son site c’est prendre la responsabilité de l’erreur.

Tu ne les as surtout pas avertis que ça ne l’était pas ! Hors s’adresser à un utilisateur qui ne saisit pas la nature de ce qu’il lit est équivalent à mentir par omission, et donc le pousser à l’erreur.

Ne pas déclarer non plus qui est responsable en cas de problème, donc qui est le propriétaire du site où il est invité à prendre l’énorme risque de faire croire à une correspondance hasardeuse / incomprise entre clé publique juste ou erronée, pseudo de forum, pseudo de blockchain (autre source de confusion) est là encore source de responsabiltités et d’erreurs.

1 « J'aime »

Autrement dit pigeonner:

  1. Saillir en parlant de la poitrine, des seins.
    «Le corset fait pigeonner la poitrine.»
  2. Escroquer, abuser de la crédulité d’une personne , le « pigeon».

Je pense que ça ne soit pas possible de requêter par champs custom via l’API de Discourse.

Il me semble que c’est uniquement possible de requêter via le nom d’utilisateur.
Maintenant, DeathReaper ne fait plus de requête pour savoir si le compte existe. Ça lui facilite grandement la vie étant donné qu’il rajoute simplement un @ devant les pseudos trouvés sur /wot/lookup/{id} et basta.

Attention, une personne qui refusait que nous fassions un test réel de piratage de la Ǧ1 par des personnes mandatées et qui annonçait avec véhémence vouloir les traiter comme de vrais pirates et ne plus jamais les certifier vient de commettre un forfait équivalent.

Seulement, il n’a pas été mandaté pour cela. J’invite donc la modération à fermer les faux comptes des deux petits nouveaux que sont @anon62419660 et @anon81263666, de pâles imitations.

Je demande également une enquête sur l’IP ayant créé ses deux faux comptes. La personne coupable devra être excommuniée du forum, ne plus être certifiée et aussi être couverte de chantilly et fouettée (elle pas la chantilly) avec des verges sauvages. Bref une sentence digne de ce nom comme le préconise @Galuel pour les pirates, même sous chapeau blanc ! :wink:

Ne faites aucun versement sur la clef JE6mkuzSpT3ePciCPRTpuMT9fqPUVVLJz2618d33p7tn : c’est une fraude !

5 « J'aime »

Intéressant. Je me suis demandé pourquoi poka était devenu POka et Galuel Galluel. J’ai hâte de savoir la fin de ce thriller :slight_smile:

3 « J'aime »

C’est @somebody qui a créé ces 2 faux comptes pour nous prouver qu’il est facile de se faire passer pour quelqu’un d’autre sur ce forum, félicitations Boris j’ai failli n’y voir que du feu :smiley:

@poka je trouvais cette idée de nouveau champ géniale en 1ère approche mais je crois qu’on a ici une démonstration des dérives possibles, du coup c’est peut-être une mauvaise bonne idée :sweat_smile:

@vit ça ne mérite pas de sanction a mon avis car ce n’est pas une vrai arnaque, la clé publique donnée est celle du compte membre de Boris, donc aucun doute possible pour celui qui vérifie, c’est juste une blague pour nous démontrer qu’il est facile d’usurper l’identité de quelqu’un sur ce forum :slight_smile:

Par cette démonstration, Boris nous rend service car cela nous permet de mieux visualiser concrètement a quel point il est facile de se faire passer pour quelqu’un d’autre sur un forum et donc pourquoi il ne faut pas se baser dessus pour payer, on devrait le remercier pour cet enseignement :slight_smile:

6 « J'aime »

Ahaha sacré Boris, il est trop bon ! Pourquoi ne suis-je pas surpris ?

:wink:

Cette violence. Comment sais-tu que je suis intolérant au lactose ???

Moi aussi. Arf, que veux-tu, on est trop enthousiaste dès qu’on voit un joli truc qui brille :sweat_smile:

3 « J'aime »

Ok ok ok :slight_smile:

Plusieurs points tout de même:

Donc ça va nous avons le temps de réfléchir à comment augmenter ce genre de sécurité…

boris_fraude

@somebody En l’occurrence, dans cette expérience, la fraude a été repéré par un administrateur en moins de 5h. Un clique dans l’admin lui permet de voir toutes les identités reliés à un profile.

L’usage d’un VPN sera conseillé la prochaine fois de manière à ajouter un peut de poivre dans notre travail.

Oui

À propos - Forum Monnaie Libre

→ La Charte du forum peut évoluer.

En un coup d’oeil, la liste des administrateur et propriétaires de ce forum son visible par n’importe, et peuvent être mis plus en valeur encore si c’est ton propos.

Evidemment nous sommes responsable de la bonne tenu des échanges sur ce forum, et des mécanismes de modérations sont en places car nécessaires comme dans n’importe quel forum.

Malgré les efforts de @somebody , sa tentative de dissimilation n’a pas été très convainquent.

Un gros encart bleu indique que c’est le premier message de cette personne, et je rappel le sujet de ce topic: La visiblité de la clé publique sur la carte de visite d’un profil, visible en cliquant sur l’avatar de n’importe quel profil.

Sur cette carte on voit que la personne s’est inscrite il y a 12h, soit 1h avant son premier message.

Cette carte, nous pouvons la customiser. Nous pouvons absolument faire ce que nous voulons de l’UX de ce forum car il s’agit d’un logiciel Libre.

Nous pouvons également:

  • Comme je l’ai fait sur la page d’inscription de gmarche.monnaie-libre.fr (site actuellement en cours de développement par @nox ), lier ou restreindre l’attribution d’un pseudo avec clé publique Ḡ1 directement référencé en blockchain (commencez à remplir le formulaire pour voir ce qu’il se passe …).
    Il y a énormément de choses a réfléchir de ce côté là.

  • Restreindre le champ pseudo à l’inscription de ce forum de manière à empêcher les twin charactères, c’est à dire p0ka déjà pris car poka, pok4, pOka, p0kA existes.

  • Ne pas rendre publique l’affichage des clés publiques (un peu bizarre dit comme ça non ?). Cela perd en intérêt, mais permettrait tout de même d’augmenter les capacités de @DeathReaper et de @gerard94 à taguer les bonnes personnes sur leurs communiqués.


Ce sont des exemples, dites mois ce que vous en pensez.

1 « J'aime »

On pourrait faire comme les GAFAM et les comptes « vérifiés ». Mettre un petit :white_check_mark: quand un challenge généré par le forum a été signé par la clé privée associée à la clé publique membre… mais ça ne change rien du tout.

1 « J'aime »

Je n’allais pas jusque là, on n’est pas en train de transformer ce forum en client Ḡ1.

2 « J'aime »

Évidemment. Le problème de l’identité qui est discuté ici, nous l’avons partiellement résolu… via une toile de confiance. Ça me parait bizarre de chercher une autre solution que celle-ci sans se l’avouer. Personnellement je trouve que ce champ est une très bonne idée notamment pour @DeathReaper. Cela permet d’éviter de développer un forum dans Cesium, pour répondre aux problèmes de communication !

Ceci dit, ça me fait penser à un petit projet que j’avais imaginé au début de la ǧ1 : une manière de visualiser une clé publique en un clin d’œil de telle sorte qu’il soit difficile de créer une image similaire (c’est plus facile pour beaucoup de personnes d’identifier visuellement une image qu’une clé publique). Mais bon, le gain serait trop faible pour y passer du temps.

2 « J'aime »

Je ne sais pas si ce serait utile, mais je trouve l’idée assez poétique. Avoir un petit sous-programme qui permette de transformer la clé en dessin unique et personalisé, reconnaissable au premier coup d’œil. On a déjà le QR code dans le genre, mais c’est pas facile à « visualiser » ni à mémoriser, et ça ne ressemble à rien, même si c’est pratique.

Par contre, je souhaite bonne chance au développeur.

Si nous récupérons les clés publiques des utilisateurs de ce forum :

  • Cette information est publique, donc non soumise aux RGPD ni aucune clause de confidentialité.
  • Cette page pourrait cependant être édité pour expliquer ce fonctionnement: https://forum.monnaie-libre.fr/privacy

Pour toi, c’est sûr, parce que :

  1. c’est ton pseudo que j’ai transformé, donc à priori tu le connais bien, haha
  2. tu es habitué à Discourse, donc les trucs bannières genre « c’est le premier message de untel », tu les repères bien, mais je ne suis pas sûr que ce soit le cas de tout le monde, notamment à cause de l’effet de cécité aux bannières.

Mais bon, de toutes façons, je vous l’accorde, cette tentative de fishing n’était pas hyper convaincante mais, désolé, je n’ai pas les compétences nécessaires pour pirater mieux (mais je ne doute pas que certains les ont).

On peut certainement imaginer pas mal de variantes sur l’exemple développé par @Galuel :

Attaque fishing, variante n°1 :

Faisons travailler notre imagination ! :slight_smile:

Attaque fishing, variante n°2 :

A l’occasion d’un crowdfunding à 600 DU lancé par :man:t5:LeveurDeFonds, un individu malveillant nommé :man:SuperPirate décide de craquer l’identifiant au forum de :man:t5:LeveurDeFonds. Il y parvient. Dans le message publié par :man:t5:LeveurDeFonds, il remplace la clef publique par une autre, dont les 8 premiers caractères sont similaires. Oui, parce que :man:SuperPirate prépare son coup depuis un bail et a déjà un bon annuaire de clefs publiques à sa disposition. Nous sommes en mai 2022 et le forum reçoit 600 visiteurs quotidiens. Le projet de :man:t5:LeveurDeFonds (un festival du biniou diatonique à Quimperlé) suscite beaucoup d’enthousiasme, donc beaucoup de dons. Mais hélas pour :man:t5:LeveurDeFonds, ces dons arrivent sur le mauvais portefeuille. Il faut seulement 5h à :man:t5:LeveurDeFonds pour se rendre compte de la supercherie, mais il y a déjà eu 400 DU de dons. :man:t5:LeveurDeFonds recommencera sa campagne, mais n’atteindra que 200 DU. Le festival de biniou diatonique n’aura pas lieu. La ville de Quimperlé est endeuillée. Le taux de suicide y augmente de 50% cette année là.

Où sont les failles ?

Bon, au final, cette variante n’a pas tant que ça à voir avec l’ajout du nouveau champ, mais elle soulève des questions intéressantes sur la façon dont on partage des clefs publiques.

Faut-il permettre l’authentification des comptes simples portefeuilles ?

N’y avait-il pas en projet un système formel permettant d’identifier rapidement le propriétaire d’une clef ?

Un truc qui serait bien visible dans les clients, au moment de faire un virement sur un simple portefeuille ?

Moi actuellement je fais comme ça :

identification

La première transaction prouve que je suis le propriétaire.

La deuxième prouve que j’ai bien accès au compte.

Est-ce que c’est intéressant de faire comme ça ? Si oui, pourrait-on imaginer créer un système user-friendly dans les clients pour inciter les utilisateurs à « vérifier leur identité » ?

Lors de l’accès à un portefeuille, un affichage type : « qui est derrière ce portefeuille ? »

Et peut-être une grosse check mark, comme le font les réseaux sociaux (Facebook, Insta, Twitter) pour signifier que le compte d’une personnalité publique lui appartient bien, ou similairement les annuaires (Google Maps) pour un commerce.

Faut-il faire peur aux utilisateurs ?

En ce moment, je me dis qu’on devrait presque reprendre la terminologie des banques :

1. Expliquer qu’une clef publique est totalement l’équivalent d’un RIB.

Pourquoi ?

Est-ce que lorsque vous voulez transférer des UNLE à un ami, vous le faites à la légère ?

Non : on vérifie deux fois, trois fois le RIB (un peu moins quand on sait qu’il y a un système de clef de vérification).

2. Reprendre la terminologie « Ajouter un bénéficiaire »

Pour les mêmes raisons.

6 « J'aime »

En gros c’est une attaque via l’ingénierie sociale qu’on décrit ici mixée au phishing.

1 « J'aime »

méthode simple à communiquer pour éviter les erreurs de destinataires et pour qu’elle se généralise aux nouveaux utilisateurs.

ouiiiiiiii

1 « J'aime »

t’aimes bien le rouge :wine_glass:? :upside_down_face:

2 « J'aime »

Oh mais ce générateur m’intéresse… @Max quel logiciel connais-tu pour faire ces grilles colorées?
Sinon j’avais pensé au système des animaux fantastiques, ou du visage ala Picasso généré par la clef publique.

On pourrait se servir d’un système de visualisation inspiré de http://proteodyne.github.io/

1 « J'aime »