La plus grande opportunité pour Truth Social – la nouvelle plateforme de Trump – est l’une des moins bien comprises : l’authentification et la réputation. Elle peut balayer la table des bots et des guerriers PSYOP des médias sociaux.

Je vais essayer d’expliquer comment tout cela pourrait fonctionner pour Truth Social dans ce billet. Si vous arrivez au bout de ce billet, vous en saurez plus que 99% de vos pairs sur le fonctionnement d’Internet en matière d’identité et d’authentification, et vous aurez une bonne idée de la façon dont les choses devraient être structurées à l’avenir.

Pour comprendre certaines des idées fondamentales de ce billet, je dois commencer par des notions de base : expliquer la différence entre « authentification » et « identification ». Il s’agit de concepts distincts et cruciaux. À la fin, en prime, vous comprendrez pourquoi les options de connexion comme celles que vous voyez ci-dessous sont si répandues de nos jours, et cette compréhension mènera à la « grande idée » de Truth Social.

AUTEUR

COGNITIVE CARBON

CATEGORIES

POSTÉ LE

12 février 2022

SOURCE

COGNITIVE CARBON

👉👉👉 Rejoignez-nous sur Telegram : https://t.me/actuintel

Truth Social, la nouvelle plateforme de médias sociaux de Trump qui devrait être lancée en mars, a une occasion unique de se positionner comme le lien de « confiance » pour toutes les plateformes de médias sociaux existantes et futures, d’une manière surprenante mais négligée – et en même temps de porter un coup fatal à la plupart des bots, trolls et PSYOPs sur les médias sociaux.

En fait, de tous les coups que Trump pourrait porter à l’État profond, celui-ci est le plus dommageable, car il peut potentiellement retirer deux outils essentiels de la boîte à outils des guerriers PSYOP du monde entier, ceux qui mènent anonymement une guerre mémétique invisible via les médias sociaux.

Ces deux outils impliquent l’usurpation d’identité (vol de la voix) et l’abus d’anonymat (mais probablement pas de la manière dont vous pensez à ce mot. Il existe une chose appelée « anonymat authentifié » par opposition à « anonymat non authentifié ». Continuez à lire).

Je vais essayer d’expliquer comment tout cela pourrait fonctionner pour Truth Social dans ce billet. Si vous arrivez au bout de ce billet, vous en saurez plus que 99% de vos pairs sur le fonctionnement d’Internet en matière d’identité et d’authentification, et vous aurez une bonne idée de la façon dont les choses devraient être structurées à l’avenir.

Pour comprendre certaines des idées fondamentales de ce billet, je dois commencer par des notions de base : expliquer la différence entre « authentification » et « identification ». Il s’agit de concepts distincts et cruciaux. À la fin, en prime, vous comprendrez pourquoi les options de connexion comme celles que vous voyez ci-dessous sont si répandues de nos jours, et cette compréhension mènera à la « grande idée » de Truth Social.

Permettez-moi de commencer par dire que je suis un fervent partisan du droit à l’anonymat, que ce soit en ligne ou ailleurs. Il y a des moments où il est dans l’intérêt de la société que les gens puissent parler (et faire des transactions) anonymement. Cela inclut les transactions (et donc la « parole ») en crypto-monnaies, même si l’anonymat dans ce domaine signifie aussi que les méchants peuvent potentiellement utiliser les crypto-monnaies de manière illégale.

Mais ils trouveront de toute façon un moyen d’effectuer des transactions illégales, comme ils l’ont toujours fait. C’est la nature des méchants ; le mot « illégal » est un concept dont les méchants se moquent. Construire des systèmes qui limitent les libertés des bons sans affecter le comportement des méchants est tout simplement une mauvaise politique. Le même problème se pose lorsqu’on essaie de censurer carrément les « discours de haine » sur Internet.

S’exprimer de manière anonyme par le biais de transactions en crypto-monnaies pourrait inclure, par exemple, le don de fonds au Great Canadian Trucker Convoy of 2022 – des gens qui sont définitivement des Good Guys (TM) méritant d’être soutenus – mais vous permettant de donner d’une manière qui ne peut pas être interférée par des adversaires idéologiques de gauche qui contrôlent des plateformes comme GoFu*#Me (faute d’orthographe délibérée.)

Quoi qu’il en soit, l’idée de maintenir l’anonymat dans les domaines de la crypto-monnaie est une position controversée, je le reconnais. Vous êtes libre de vous faire votre propre opinion.

Quelle que soit votre opinion sur le coloré et aujourd’hui décédé John Mcafee, c’était un homme brillant, et il a compris et exprimé le pouvoir que les gens ordinaires peuvent et devraient posséder – grâce aux crypto-monnaies faites correctement – lorsqu’il s’agit de leurs expressions financières personnelles, et synonymement, de leur liberté d’expression.

Le discours qu’il a prononcé à Barcelone fin 2019 (ci-dessous) est probablement la raison pour laquelle, neuf mois après sa « mort » par « suicide » dans une prison de Barcelone, son corps est toujours dans la glace à la morgue de cette ville. (Son avocat dit qu’il n’a jamais vu une telle chose dans le passé. Beaucoup de choses dans cette affaire sont louches à souhait).

Cela dit, oui : il y a des problèmes qui surgissent lorsque ce droit à l’anonymat (notez que j’utilise le mot « droit » ici, et non « privilège » – encore une fois, une distinction cruciale) est utilisé de manière abusive pour s’exprimer, que ce discours soit tenu en ligne ou non ; nous avons tous eu affaire à la méchanceté qui peut se produire en ligne lorsque des personnes, se cachant derrière des comptes anonymes, disent des choses méchantes, haineuses et incitatives à d’autres personnes en ligne – des choses qu’elles ne seraient jamais prises à dire en face à face à quelqu’un qui connaît leur nom.

Le plus souvent, cependant, ces « personnes » sont en fait des trolls et des agents provocateurs rémunérés dont le seul but est de perturber les enquêtes, de saper la construction de la communauté, de démoraliser les opposants, d’affaiblir la cohérence des discussions en ligne et d’injecter de la propagande et des récits contradictoires.

Il existe toutefois une solution pour remédier à cette faiblesse qui n’implique pas nécessairement la censure, mais plutôt un filtrage basé sur la « réputation » ; nous y viendrons à la fin de ce billet.

Commençons par définir le terme « identification », car c’est le plus simple des deux mots clés sur lesquels nous nous concentrons ici. Au sens générique, l' »identification » est tout processus utilisé pour « prouver » que vous êtes bien la personne que vous prétendez être : votre nom, votre adresse, votre photo, votre signature, vos données biométriques, etc., généralement tels qu’ils figurent sur un document délivré par l’État, comme un passeport, un certificat de naissance ou un permis de conduire, sont utilisés comme « preuve ».

Bien que nous ayons tendance à ne pas y penser à ce niveau de granularité, « l’identification » signifie essentiellement que vous, en possédant ces documents officiels contenant votre nom, votre photo, votre signature et éventuellement des informations biométriques, pouvez affirmer : « Moi, le détenteur de ces documents officiels, je suis également la personne nommée sur ces documents, et l’État, en me délivrant ces documents officiels, confirme mon affirmation ».

Il est implicite, ici, que les personnes qui cherchent à vérifier votre identité de cette manière font confiance à l’émetteur (l’État). Il est également implicite, mais négligé, que d’une certaine manière la charge de la preuve semble toujours être sur VOUS pour prouver votre identité, n’est-ce pas étrange… mais c’est un terrier de lapin pour un autre post futur.

Au fait, les noms sont des choses importantes ; il existe une foule de traités religieux et philosophiques qui soutiennent que donner un nom à une chose (ou à une personne) revient à faire naître cette chose du vide chaotique en premier lieu (« Au commencement était le verbe. ») Mais cela aussi est un sujet pour une toute autre série de billets…

Pour les besoins de cet article, nous utiliserons le raccourci familier selon lequel l' »identité » est votre nom, votre adresse, votre numéro de téléphone, votre CV, votre photo, etc. qui établit correctement « qui vous êtes dans la vie réelle ».

Plongeons maintenant dans l’authentification. Lorsque vous vous « connectez » à une page ou une plate-forme sur le web, vous vous engagez dans un processus d' »authentification ». Le site web peut, ou non, avoir stocké dans sa base de données votre « nom » ou votre « identité » réels, mais il vous demande au moins de connaître deux éléments de base : votre nom d’utilisateur (un « pseudonyme ») et un mot de passe (un « secret partagé »).

Si vous saisissez à la fois votre pseudonyme et ce secret partagé dans des cases de la page web à laquelle vous essayez d’accéder, le serveur à l’autre bout peut vérifier si cette paire correspond à ce qu’il attend, et si c’est le cas, vous êtes « authentifié ». Vous avez le droit d’utiliser cette plate-forme. À moins que le site Web n’aille plus loin et ne vous demande de télécharger votre permis de conduire ou votre passeport, il n’y a aucun moyen de connaître le nom – l’identité réelle – de la personne qui se connecte.

Bien sûr, de nos jours, la plupart des sites Web vous envoient également un code numérique par SMS sur votre téléphone portable pour terminer votre opération de définition ou de modification du mot de passe, ce qui revient à leur révéler votre identité… mais cela aussi est un autre sujet pour un autre jour.

Quoi qu’il en soit, c’est là que réside la plus grande vulnérabilité des médias sociaux modernes : L’usurpation d’identité. N’importe qui peut créer un nom d’utilisateur et un mot de passe pour un service web et mettre le nom et la photo qu’il veut sur le compte, qu’ils correspondent ou non à son identité réelle. Il peut également utiliser des services qui lui fournissent des numéros de téléphone anonymes pour recevoir et envoyer des SMS.

Du point de vue des autres utilisateurs du service (prenons l’exemple de Twitter), comment les autres utilisateurs peuvent-ils savoir avec certitude que le compte prétendant être « Julian Assange » sur Twitter est en fait détenu et utilisé par le véritable « Julian Assange » ?

Il est d’une importance cruciale pour les membres d’une société saine de pouvoir écouter et ainsi se forger des opinions sur les gens, accumulées sur de longues périodes, afin de comprendre leurs perspectives et leurs positions ; lorsque ce processus naturel est intentionnellement perturbé, il crée les conditions de graves maux sociétaux.

Plus subtilement : comment pouvons-nous savoir, par exemple, que le compte Twitter qui a été utilisé par Julian Assange lui appartient toujours et n’a pas été volé par quelqu’un d’autre, un peu plus tard (pour ceux qui ne le savent pas : une étrange série d’événements a fait que « Julian » sur Twitter n’était plus « Julian » quelques mois avant son arrestation).

La réponse courte : il n’y a aucun moyen de savoir. Les mauvais acteurs qui mènent une guerre PSYOP sur les médias sociaux en utilisant des bots et des comptes trolls exploitent ce fait à leur avantage. Ce phénomène est parfois appelé « vol de voix », car les personnes qui prétendent être quelqu’un qu’elles ne sont pas ont « volé la voix » de la personne réelle.

Ils peuvent faire croire aux gens que la personne réelle a un point de vue, un système de croyances ou une idéologie qu’elle n’a pas en réalité. Les mauvais acteurs peuvent subtilement modifier votre perception de ce qui est « vrai », de qui est qui et de ce que la personne que vous pensez suivre croit (apparemment).

Pour contrer ce phénomène, Twitter a introduit l’idée de « contrôles bleus », ce qui signifie que le personnel de Twitter a pris l’initiative de passer par des étapes supplémentaires en coulisses pour « vérifier » que la personne qui possède ce compte Twitter nommé est, en fait, cette même personne dans le monde réel. Curieusement, la grande majorité des « contrôles bleus » sur Twitter semblent tous être des membres de la même persuasion idéologique. Mais je m’égare…

Ce faisant, Twitter se substitue essentiellement à l’État pour établir formellement l’identité. Il y a clairement un problème de confiance ici : croyez-vous vraiment que Twitter a l’intention de toujours faire cela correctement, sans coercition ni corruption ? Quelle est leur motivation à être « digne de confiance » à cet égard, par rapport à leur motivation à « tricher » ? Quelles sont les conséquences d’une  » vérification  » corrompue ? (réponse : aucune.) Qui pourrait les payer afin de permettre à certains agents de mener une guerre psychologique sur Twitter ?

Et pourquoi, d’ailleurs, seules les personnes « spéciales » peuvent-elles obtenir des « vérifications bleues » sur Twitter et pas la plupart des « gens normaux » ? Ne recueillent-ils pas et n’utilisent-ils pas, pour la vérification par SMS, le numéro de téléphone portable de chaque titulaire de compte ? Pourquoi ne peuvent-ils donc pas « vérifier » tout le monde ? Pourquoi Twitter détient-il le « pouvoir » de décider qui est « rendu authentique » – et donc « crédible » – et qui ne l’est pas ? Mais vous connaissez la réponse à cette question : one….

Il est important de bien réfléchir à cette question. N’oubliez pas que nommer une chose – ou « vérifier » ou « contrôler » une chose – est un pouvoir. Nous y reviendrons plus tard.

Le pouvoir de décider quels comptes en ligne sont « authentiquement » valides appartient en fait à quelqu’un d’autre ; en théorie, il appartient au propriétaire, en combinaison avec un « réseau de confiance » tiers dont tout le monde peut convenir qu’il est digne de confiance. Et cette tierce partie n’est probablement PAS l’État, ni Facebook, ni Twitter, etc.

Dans l’idéal, c’est « nous, le peuple », en quelque sorte, et non un État ou une société particulière qui devrait détenir ce pouvoir.

Arrêtons un instant ce raisonnement et revenons à ces boutons de connexion de Facebook, Twitter, Google, etc. que nous voyons maintenant sur de nombreux services web. De quoi s’agit-il réellement, et comment cela fonctionne-t-il ?

L’idée, introduite il y a plusieurs années, est appelée « authentification ouverte » ou « OAUTH« . Du point de vue des utilisateurs, elle offre ce qui semble être une commodité : au lieu de jongler avec 50 ou 100 noms d’utilisateur et mots de passe différents pour tous les sites Web que vous fréquentez, vous pouvez vous en souvenir d’un ou deux et les utiliser pour vous « authentifier » (vous connecter) sur tous les autres sites. Vous pouvez vous « connecter », par exemple, à foobar.shopping.com à l’aide de votre nom d’utilisateur et de votre mot de passe « Facebook », sans même avoir à remplir de case sur le site web de foobar.

Comment cela fonctionne-t-il ? Il repose sur le fait que vous êtes très probablement déjà « connecté » ailleurs à Facebook, Google Gmail, Microsoft Outlook, Twitter, I-tunes ou un autre service de ce type, et que votre ordinateur ou votre téléphone possède déjà un « cookie » (ou jeton) de ces personnes « prouvant que vous vous êtes connecté ».

En offrant ce « jeton d’authentification » à foobar.shopping.com, le serveur Web de foobar peut dire « Je pense que si Facebook vous a connecté et a vérifié votre mot de passe, cela me suffit ; je vais les croire sur parole et accepter le jeton d’authentification qu’ils vous ont donné au lieu de devoir en générer un moi-même ».

À première vue, ce système d' »authentification ouverte » semble offrir un certain confort à l’utilisateur et au fournisseur de services Web (foobar.shopping.com) qui l’utilise. L’avantage pour foobar est qu’il n’a pas à s’occuper de l’émission, du suivi et de la validation des noms d’utilisateur et des mots de passe, ni à offrir aux utilisateurs des méthodes pour définir et réinitialiser les mots de passe, ce qui arrive tout le temps et constitue un casse-tête majeur. Ils peuvent au contraire transférer la responsabilité de ces tâches ménagères à Facebook, etc.

Du point de vue de l’utilisateur, il semble pratique de ne pas avoir à se souvenir de 50 ou 100 noms d’utilisateur et mots de passe différents (mais attention : vous devriez vraiment utiliser un mot de passe unique pour chaque site web si vous êtes vraiment soucieux de la confidentialité des données).

Vous pouvez réduire le nombre de vos mots de passe uniques à une petite poignée (Facebook, Twitter, Google, Apple, Microsoft : les « 5 grands »). Ce faisant, vous rendez votre personnage numérique beaucoup plus facile à « pirater », que ce soit par des criminels du secteur privé ou par des criminels de la communauté du renseignement. Il faut craquer moins de mots de passe pour « vous pirater tous ».

Vous avez peut-être remarqué, au passage, que les « Big 5 » ne semblent pas vous offrir la même commodité entre eux : en d’autres termes, ils ont tendance à ne pas vous laisser vous connecter à leurs propres propriétés en utilisant le système OAUTH de leurs concurrents (connexion à votre compte Google avec votre login Microsoft, etc.)

C’est intéressant, et vous allez maintenant apprendre pourquoi.

Tout d’abord, chaque fois que vous visitez une page Web comportant une icône « J’aime et je partage » ou un bouton de connexion des « Big 5 », cette page Web (foobar.shopping.com, par exemple) « parle » à un serveur de Facebook, Twitter ou Instagram, qui est invité à fournir l’image du bouton et le code qui la sous-tend pour qu’elle soit affichée et utilisée sur la page de foobar.shopping.com.

Cela signifie que la simple visite d’une page comportant ces icônes ou boutons de connexion révèle déjà aux « Big 5 boys » que vous avez visité le site foobar.shopping.com. Cette information n’est pas révélée à un seul d’entre eux ; elle est révélée à tous ceux dont les boutons apparaissent sur foobar.shopping.com (et d’ailleurs, à tous les fournisseurs de publicité dont les annonces apparaissent sur la page que vous visitez).

Même si vous ne vous êtes pas encore connecté, les « Big 5 » connaissent déjà au moins l’adresse IP et l’heure/la date de la visite sur ce site Web tiers, simplement parce que votre navigateur, en visitant foobar.shopping.com, a téléchargé leurs boutons et icônes de connexion.

Si vous vous êtes *également* connecté à Facebook, etc., des « cookies de suivi » ont probablement été envoyés aussi : et maintenant Facebook, etc. peut apprendre (indirectement, via votre adresse IP et ces cookies) quels autres sites vous avez visités, quand et à quelle fréquence.

Si vous allez plus loin en utilisant le bouton OAUTH pour vous connecter à foobar.shopping.com avec l’un de vos comptes « Big 5 », ce qu’ils vous facilitent énormément la tâche, ils disposent maintenant de données très riches sur vous à ajouter à leur base de données.

Ils ont maintenant votre identité complète, du moins celle que vous avez donnée aux « Big 5 » lorsque vous avez créé votre compte chez eux. Encore une fois, et c’est crucial : en vous connectant de cette manière, vous révélez aux « Big 5 » quand et où (votre adresse IP révèle votre localisation) et combien de fois vous avez visité foobar.shopping.com.

Pensez à ce que cela représente pour eux. Et aussi, pour les agences de renseignement qui sont secrètement au lit avec eux…

Facebook a fait un « coup de force » il y a des années en étant l’un des premiers des Big 5 à offrir des services d’authentification ouverte aux sites web non Facebook (connexion avec Facebook).

L’une des choses les plus importantes qui se sont produites « sous le capot » des plateformes de médias sociaux au cours de la dernière décennie est donc une chose dont la plupart des gens ne savent rien ou presque et à laquelle ils ne prêtent aucune attention : la façon dont le système d' »authentification ouverte » donne des informations très précieuses aux « Big 5″ simplement parce qu’il est proposé, et des informations encore plus précieuses s’il est effectivement utilisé. Un point essentiel à souligner ici est que c’est l’offre de cette capacité qui a été l’une des raisons pour lesquelles le nombre d’utilisateurs de Facebook a augmenté si rapidement. Il s’agit d’une commodité tentante, tant pour les utilisateurs que pour les sites web tiers, et Facebook, Google et Microsoft en ont profité.

Abordons maintenant un autre sujet – l’idée d’utiliser des signatures numériques pour sécuriser les informations sur le web (et pour prouver la propriété du contenu numérique) – et nous relierons le tout.

Très peu de temps après la naissance d' »Internet », au début des années 90, il est devenu nécessaire de limiter l’accès à certaines fonctions des sites web aux seules personnes qui devaient en avoir l’autorisation. Ces autorisations pouvaient inclure la capacité de lire les informations hébergées sur le site web (dans le cas où il s’agissait d’informations ou de données « privées »), mais certainement la capacité d’ÉCRIRE les informations hébergées sur le site web, y compris l’accès et la modification des informations privées relatives aux comptes (noms, adresses électroniques, mots de passe, etc.).

Dans les premiers temps du web, de nombreux cas de piratage de sites web appartenant à d’autres personnes ont été signalés. Ces cas résultaient du piratage ou du vol de mots de passe et de la prise de contrôle de la capacité à modifier le texte, les liens et les images sur ces sites.

À l’époque, juste après la naissance du web, quelqu’un a trouvé le moyen de protéger les sites par un mot de passe pour tenter de les verrouiller. Cinq minutes plus tard, quelqu’un d’autre a trouvé le moyen de « pirater » cette protection par mot de passe initialement simple, et la course était lancée.

Les méthodes de protection et de sécurisation des sites web se sont rapidement sophistiquées, tout comme les méthodes permettant de les compromettre. De nouveaux outils de crochetage de serrures apparaissent toujours juste après que les fabricants ont produit les derniers cadenas, et il en va de même en ligne. La course est perpétuelle et la dynamique du législateur et du contrevenant est présente chez les humains depuis le début de la civilisation.

L’une des innovations qui a permis de sécuriser le contenu du Web et qui s’est avérée fructueuse et durable est apparue dès le début. Elle est liée à ce que l’on appelle la « cryptographie à clé publique », qui nécessite une « infrastructure à clé publique » pour laquelle nous utiliserons l’acronyme PKI.

Ce petit tour de magie mathématique est la base du système « SSL » qui fait fonctionner les pages https:// ; c’est l’ICP qui, en théorie, protège vos informations privées et vos numéros de carte de crédit contre les pirates (occasionnels).

Nous n’allons pas entrer ici dans le détail du fonctionnement de la PKI, ni tenter d’expliquer pourquoi j’ai utilisé le mot « occasionnel » dans la phrase précédente ; il existe de nombreuses vidéos sur le Web qui expliquent la PKI. Pensez à l’ICP comme étant simplement « les outils et les systèmes nécessaires pour faire fonctionner la cryptographie à clé publique sur le Web ».

Nous expliquerons au moins que la cryptographie à clé publique implique l’utilisation d’une clé privée (un « mot de passe » que vous êtes le seul à posséder et qui ne se trouve que sur vos appareils) et d’une clé publique (un « mot de passe » distinct utilisé uniquement à des fins de vérification, pouvant être publié librement n’importe où et dont a besoin quiconque souhaite vous valider) qui peut être partagée avec le monde entier.

L’idée de base est que vous pouvez utiliser votre clé privée pour « brouiller » certaines informations clés que vous souhaitez garder en sécurité – ou, en d’autres termes, signer numériquement – puis partager ces informations brouillées avec la clé publique afin que d’autres puissent les déchiffrer et les lire (ou vérifier la « signature »).

Cependant, même si d’autres personnes disposent de votre clé publique (elle n’est pas appelée publique pour rien), qui leur permet de décoder votre message secret pour vérifier que vous l’avez créé, elles ne peuvent pas l’utiliser elles-mêmes pour brouiller des informations qui pourraient ensuite être décodées ou vérifiées avec votre clé publique ; vous seul pouvez créer le brouillage, et uniquement avec votre clé privée. Cela signifie que les méchants ne peuvent pas se faire passer pour vous ; ils ne peuvent pas se faire passer pour vous ou voler votre voix, car vous seul pouvez signer des choses avec votre clé privée.

De cette façon, vous pouvez construire des systèmes pour l’Internet qui peuvent prouver que vous êtes le propriétaire de certains contenus numériques (pas seulement des mots de passe), parce que vous pouvez les « signer » avec votre clé privée, et d’autres peuvent vérifier qu’ils vous appartiennent ou ont été créés par vous en vérifiant la « signature » à l’aide de votre clé publique.

En d’autres termes, vous pouvez authentifier le contenu numérique que vous créez – prouver son authenticité – en le signant à l’aide d’une clé privée, et d’autres personnes peuvent ensuite prouver qu’il vous appartient ou qu’il a été créé par vous en validant cette signature, le tout grâce à des outils PKI à code source ouvert (open source).

Il s’avère que la même machinerie PKI qui est utilisée pour fournir des pages HTTPS:// et pour gérer les noms d’utilisateur et les mots de passe pour se connecter à des sites Web de nos jours peut également (dans l’ensemble) déjà prendre en charge le concept de « signatures numériques » qui offre un moyen de prouver l’authenticité ou la propriété de certains contenus numériques.

Voici donc l’idée finale, et nous sommes sur la dernière ligne droite pour comprendre le rôle que Truth Social pourrait jouer à l’avenir.

Supposons que vous aimiez le pseudonyme « CognitiveCarbon » et que vous souhaitiez l’utiliser sur un certain nombre de plates-formes de médias sociaux en tant que personne choisie. Comment les autres personnes peuvent-elles être certaines que le « CognitiveCarbon » sur substack est la même personne qui écrit en tant que « CognitiveCarbon » sur Telegram, ou Gab, ou Parler, ou Twitter, etc. Comment pouvez-vous déterminer quels sont les « vrais » et les faux ?

Eh bien, une chose que chacun d’entre nous peut déjà faire (mais c’est trop compliqué techniquement pour la grande majorité des gens) est d’utiliser un outil appelé GPG (Gnu Privacy Guard) qui est simplement un logiciel libre qui vous permet de créer et d’utiliser manuellement des paires de clés publiques et privées pour signer numériquement ou crypter du contenu (crypter signifie brouiller les données dans un document que vous voulez garder privé afin que les autres ne puissent pas le lire).

Si vous étiez capable et motivé, vous pourriez créer une paire de clés à l’aide de GPG et l’utiliser pour signer numériquement, par exemple, un ensemble d’images ; puis vous pourriez télécharger ces images signées sur chacun de vos différents comptes de médias sociaux.

Si vos followers disposaient également de GPG et savaient quoi faire, ils pourraient en principe télécharger l’image à partir de vos posts et effectuer une vérification de la signature numérique avec GPG pour voir si elle correspond à votre clé publique (la façon dont ils obtiennent cette clé à utiliser est une question que nous aborderons, mais disons pour l’instant que vous avez fourni un lien de téléchargement vers votre clé publique dans un post antérieur sur toutes vos différentes plateformes de médias sociaux).

C’est un peu compliqué à suivre, mais l’idée de base est que vous pouvez « signer numériquement » un contenu, le télécharger sur les médias sociaux, et les personnes qui vous suivent peuvent « vérifier » cette signature numérique si elles ont accès à votre clé publique. Ils peuvent ainsi s’assurer que « vous » êtes bien « vous » sur diverses plateformes, car vous seul auriez pu signer le contenu avec la même signature.

C’est un moyen – même si vous êtes anonyme ! – de permettre aux gens de se prouver qu’il s’agit au moins de la même personne qui crée votre contenu sur Twitter sur une longue période (parce que la signature ne change pas avec le temps), et plus loin, que cette même personne est également derrière tel ou tel compte sur Gab, Telegram, etc. (parce que la même signature peut être utilisée pour vérifier les images téléchargées sur ces plates-formes).

En d’autres termes, la signature numérique du contenu est un moyen de « préserver la voix », c’est-à-dire d’empêcher l’usurpation d’identité. À condition que vous conserviez votre clé privée en lieu sûr, personne ne peut se faire passer pour vous sur ces autres plateformes, car ils ne seraient pas en mesure de créer des « signatures numériques » appropriées sur votre contenu.

Un autre point important à souligner est qu’une telle démarche vous permet d’établir votre authenticité – en affirmant aux personnes qui vous suivent que le message contient un contenu authentique de votre part – indépendamment du fait que la plateforme prenne directement en charge cette fonctionnalité ou non.

C’est donc ici qu’intervient la partie intéressante : s’il existait un système permettant de stocker les clés publiques de chacun (une sorte de répertoire centralisé) et s’il existait des outils en ligne très simples vous permettant de « signer » automatiquement le contenu que vous publiez sur une variété de médias sociaux, alors un fournisseur comme Truth Social pourrait offrir une fonctionnalité unique comme celle-ci : « Dans mon flux, veuillez filtrer et ne jamais afficher le contenu, les commentaires ou les réponses des personnes qui ne signent PAS numériquement leur contenu » (car dans ce cas, il s’agit probablement de robots ou de trolls). Mais s’ils ne veulent pas le signer, vous pouvez choisir de ne pas le voir.

Truth Social pourrait alors aller plus loin : il pourrait permettre à votre clé publique (stockée sur un de ses serveurs centraux) d’être « signée » par d’autres personnes que vous connaissez et en qui vous avez confiance afin d’ajouter de la crédibilité et de se porter garant pour vous. Imaginons que je veuille rester anonyme en tant que « Mark Twain » sur les médias sociaux, mais que mes amis, qui me connaissent en tant que « Samuel Clemens » dans la vie réelle, soient prêts à « signer » ma clé publique « Mark Twain » parce qu’ils me connaissent et me font confiance.

Ensuite, même si d’autres personnes ne savent pas qui est « Samuel Clemens » dans la vie réelle, elles peuvent voir un certain nombre de personnes de confiance qu’elles connaissent et qui se portent garantes de lui, car elles ont « signé » sa clé publique avec la leur. Leurs signatures disent « c’est un type bien ». C’est l’idée qui sous-tend le « réseau de confiance » qui alimente en fait tout le SSL, pour votre information.

Nous en arrivons donc à l’idée clé : Truth Social devrait se positionner en tant que « centre d’échange » des clés publiques et fournir des outils trivialement faciles à utiliser pour (1) créer, gérer et se porter garant des clés publiques ; (2) signer le contenu qui peut être publié sur d’autres médias sociaux et (3) valider les signatures sur le contenu signé d’un simple clic. Bien que ces éléments sous-jacents existent déjà sous une forme ou une autre, ils sont trop difficiles à utiliser pour la plupart des gens. Il faut que ce soit simple, en un seul clic.

Avec cette seule fonctionnalité, associée à la capacité de filtrer automatiquement tout contenu non signé, la quantité et la portée des faux comptes PSYOP bot et trolls seraient pratiquement éliminées.

Savez-vous quels autres systèmes utilisent les signatures numériques de chaque élément de contenu pour vérifier s’il est digne de confiance ou non ? Votre système d’exploitation Windows 10 : tous les programmes importants du répertoire C:\Windows sont signés numériquement pour prouver qu’ils sont authentiques et non modifiés. C’est ainsi que les logiciels antivirus aident à protéger votre système. Nous avons besoin d’un système similaire pour nous aider à éliminer les virus de l’esprit qui contaminent nos plateformes de médias sociaux.

Truth Social n’a PAS besoin de se positionner pour être le « flic » afin d’être le tout nouveau « lien de confiance » pour valider l’identité numérique et l’authentification en ce qui concerne les signatures à clé publique ; il n’a pas besoin d’être (mais il pourrait l’être !) l' »autorité de confiance » chargée de vérifier l’identité (l’idée du « Blue Check » de Twitter.) Nous n’avons pas besoin de faire confiance à une autre société pour agir à la place de l’État, ou pour remplacer les « Big 5 ».

Truth Social doit simplement créer des outils et fournir des méthodes, en utilisant sa plateforme, des outils open-source et des API faciles à utiliser pour donner au peuple le pouvoir de reprendre pour lui-même la gestion de ces fonctions d’une importance cruciale (authentification, identification, construction de réseaux de confiance et marquage de la propriété via des signatures numériques).

Si Truth Social permet aux gens de signer numériquement le contenu créé et publié sur leurs propres plateformes, de valider les signatures sur le contenu et de prendre en charge la possibilité de filtrer le contenu non signé… le monde change pour le mieux.

Si Truth Social offrait simplement les outils nécessaires pour faire fonctionner tout cela… pour prendre l’initiative, comme Facebook l’a fait avec OAUTH – alors il pourrait également garder la trace de ceux qui demandent et utilisent les clés publiques de son entrepôt pour vérifier le contenu publié ailleurs. Cela donne à Truth Social la possibilité, si elle le souhaite, de sévir contre les guerriers PSYOP sur toutes les plateformes, d’une manière qui les éliminerait presque totalement. Il n’est pas nécessaire de renoncer à l’anonymat, mais cela offre un moyen de filtrer automatiquement les personnes qui ne signent pas leur propre travail.

Une dernière étape consiste à créer un système de « réputation » lié à tout cela. Si vous êtes un créateur de contenu, même anonyme, et que vous disposez d’une collection de signatures « cautionnées » sur votre clé publique pour montrer que vous disposez d’un réseau de soutien, vous pourriez également gagner, au fil du temps, une certaine « réputation » pour aider à renforcer votre crédibilité et donc la visibilité et le positionnement de votre contenu dans un flux.

Un site Web qui fait déjà bien cela est StackExchange.com. Ce système leur permet de mettre en œuvre quelque chose qui fonctionne comme suit : « si vous êtes un tout nouvel utilisateur, bienvenue ! Vous pouvez lire les messages ici, mais vous ne pouvez pas créer les vôtres, ni répondre pendant quelques semaines. Une fois que vous êtes ici depuis un certain temps, vous pouvez commencer à publier votre propre contenu, mais vous ne pouvez toujours pas répondre aux autres. Une fois que vous avez posté un peu et que d’autres personnes ont noté et classé vos messages, vous pouvez commencer à répondre. Mais si les gens décotent vos réponses assez souvent, vous perdrez le privilège de répondre. »

Imaginez comment cette fonctionnalité, combinée à l’option qui vous permet de « signer votre propre travail » avec une signature numérique, pourrait éliminer les mauvais acteurs des médias sociaux, tout en préservant l’anonymat.

Dans un prochain article, je parlerai de l’importance d’une nouvelle infrastructure mondiale pour les réseaux (quelque chose comme le Starlink de SpaceX) qui est également nécessaire pour assurer le succès à long terme d’une nouvelle plateforme de médias sociaux.