Twitter n'a T besoin du Web 3.0 pour résoudre son problème d'identité

Preston Byrne, chroniqueur pour la rubrique Analyses de CoinDesk, est associé au sein du groupe Technologies, Médias et Systèmes Distribués d'Anderson Kill. Il conseille des entreprises de logiciels, d'Internet et de fintech. Sa chronique bimensuelle, « Not Legal Advice », est un tour d'horizon des sujets juridiques pertinents dans le secteur des Crypto . Il ne s'agit absolument pas d'un conseil juridique.

Parmi les libertariens, je suis un peu un drôle de canard dans le sens où je ne suis pas journaliste, mais j’ai une coche bleue.

Je suis fier de ma coche bleue. Je ne sais pas trop comment je l'ai obtenue. À l'époque, Twitter proposait un formulaire à remplir avec des liens vers des articles de presse si l'on souhaitait une coche bleue. Je l'ai fait. Un jour, des mois plus tard, beaucoup de mes amis et moi, travaillant sur Twitter dans la fintech et la Crypto, avons soudainement eu des coches bleues à côté de nos noms.

C'était génial.

Couverture complète du piratage de Twitter par CoinDesk

Qui a été responsable de me l'accorder, je l'ignore. Je remercie cette personne, car le jour où j'ai reçu cette coche bleue est aussi mémorable que celui de mon mariage ou de la naissance de mon premier enfant. (Sauf que je ne suis pas marié et n'ai pas d'enfants ; il est possible que cela soit lié au temps excessif que je passe sur Twitter.) Si c'est lié, ça en valait la peine. Mais à part ça, il y a généralement peu, voire aucun, inconvénient.

Peu, du moins, jusqu'à la grande panne de courant de l'autre jour. Pour ceux qui vivent dans une grotte, Twitter – ou, plus probablement, un employé de Twitter – a vu son identifiant piraté (ou vendu délibérément) l'autre jour. Suite à cela, plusieurs comptes très suivis – ELON Musk, Bill Gates, Barack Obama et JOE Biden, pour n'en citer que quelques-uns – ont publié une promesse selon laquelle si les utilisateurs de Twitter envoyaient des Bitcoin à une adresse spécifique, ils recevraient en retour le double de ce montant.

Twitter a immédiatement désactivé toutes les cases bleues pendant la réponse à l'incident. La joie était au rendez-vous.

Généralement, cette escroquerie consiste à prendre le contrôle du compte d'un « petit chèque bleu » utilisant une authentification à deux facteurs par SMS pointant vers un téléphone réel (plutôt que Google Voice). La carte SIM du « petit chèque bleu » est alors échangée, après quoi l'attaquant modifie le profil et le nom d'affichage de l'utilisateur pour ceux d'une célébrité (par exemple, ELON Musk), puis publie le tweet « Envoyez-moi des Bitcoin! ». stans, voyant le badge « vérifié » et le nom d’affichage (mais pas le pseudonyme d’utilisateur moins visible de la petite coche bleue), obtempérez rapidement.

Voir aussi : Nic Carter –Après le piratage de Twitter, nous avons plus que jamais besoin d'un Internet détenu par les utilisateurs

Dans ce cas précis, le fait que (a) ces comptes vérifiés comptaient des millions d'abonnés et (b) que l'attaque semble avoir révélé un outil de modération « God Mode » en fait une histoire à raconter. Pour ceux d'entre nous qui connaissent le sujet depuis un certain temps, cette arnaque n'a rien de nouveau. Ce qui la rend remarquable, c'est l'identité des victimes, et non l'objectif recherché par les pirates..

Twitter a réagi en interdisant la publication d’adresses de Cryptomonnaie .

C'est très certainementpas « Bon pour Bitcoin». Twitter réagit (à juste titre) à l'utilisation illégale de sa plateforme en empêchant les acteurs malveillants de l'exploiter. Mais il empêche également les acteurs intègres comme Balaji Srinivasan de solliciter. primes Bitcoinsur la plateforme.

Quelques réponses de la communauté Bitcoin telles que ceci de Nic Carter, a appelé à un « Internet détenu par l'utilisateur » et a dénoncé la « centralisation pure et simple » mise en évidence par cette faille. D'autres, comme Muneeb Ali, ont déclaré que cette faille « a accéléré de cinq ans notre progression vers un Web décentralisé ».

Il faut veiller à ne pas exagérer. Pour commencer, les protocoles quasi décentralisés disponibles aujourd'hui pour les réseaux sociaux sont soit peu performants (ActivityPub), soit peu évolutifs (dans le cas des chaînes). De plus, même si la centralisation a posé problème, la décentralisation de la plateforme n'est pas Réseaux sociaux la solution, comme le prétendent de nombreux promoteurs de la blockchain, passés et présents. (Voir, par exemple, Vitalik Buterin (présentant Ethereum comme une solution d'identité pour ELON Musk ; les adultes dans la salle seront conscients Ethereum, tout en chantant et tout en dansant dans son matériel de marketing, ne fait T tout ce que ses fans disent qu'il fait.)

Les solutions décentralisées ne fonctionnent T comme un annuaire PKI, comme Keybase, et ne permettent T de traiter les ID d'espace de stockage, par exemple pour les permis de conduire. Les contrats intelligents T nous dire grand-chose, si ce n'est que quelqu'un, quelque part, a été autorisé à écrire dans ce script.

La décision intelligente de la communauté Crypto est de ne pas exagérer et de déclarer la fin du Web centralisé.

De plus, il semble exister une solution beaucoup plus simple. Tout ce que Twitter, ou tout autre réseau social, doit faire, c'est concevoir un logiciel côté client qui authentifie (a) qu'un utilisateur (b) a été vérifié par le service, (c) s'est connecté au service et (d) a envoyé un message sur le service (e) a signé avec une clé ou un appareil que l'utilisateur a présenté au service lors de la première vérification.

Une telle fonctionnalité permettrait d'alerter immédiatement le lecteur d'un éventuel problème d'authenticité du message. Une coche verte pourrait signaler les messages validement signés et une croix rouge les messages non signés. De plus, l'apparence de tout message devrait être protégée contre toute falsification par un employé ou un modérateur.

Même cela n'empêcherait T un attaquant prenant le contrôle de l'appareil ou connaissant les clés de perpétrer l'arnaque « Envoyer des Bitcoin! ». Mais cela rendrait la tâche bien plus difficile qu'avec une authentification à deux facteurs faible et un pouvoir de modération apparemment illimité.

Voir aussi :Le Web décentralisé a des plans, voire des solutions, pour le cauchemar de la désinformation

Des applications comme Keybase et Signal ont démontré qu'une cryptographie robuste est de plus en plus accessible aux internautes ordinaires. L'époque de PGP, qui…par Mike Hearn« était si mauvais que les terroristes préféraient mourir plutôt que de l’utiliser. »

La décision intelligente de la communauté Crypto n'est pas de décréter la fin du web centralisé. Il s'agit plutôt de communiquer aux plateformes que nous attendons des signatures numériques côté client et du chiffrement dans leurs offres, afin que nous puissions utiliser les plateformes de publication en ligne en toute sécurité pour envoyer les communications financières du futur. L'alternative serait que les plateformes interdisent les adresses de Cryptomonnaie . Je sais quelle option je préfère.