Notre histoire

Un sondage est censé révéler ce que les gens pensent. La plupart des sondages en ligne révèlent ce que l’opérateur veut trouver — et non parce que l’opérateur ment. Les sondages en ligne ont un mode de défaillance silencieux qui ne nécessite aucune malveillance pour se produire.

Ils écrivent la question, et une question formulée "La ville devrait-elle interdire X?" reçoit une réponse différente que "La ville devrait-elle autoriser X?". Ils énumèrent les options, et l’option en haut de la liste recueille plus de votes que celle en bas, indépendamment du contenu. Ils invitent l’audience, et l’audience qu’ils invitent fait pencher le résultat avant que personne n’ait émis un seul vote. Ils observent le compteur en direct, et le compteur lui-même déplace les votants suivants vers le côté qui gagne. Ils décident quand fermer le sondage, et quels chiffres mettre en évidence à la fin.

Rien de tout cela n’exige un propriétaire de sondage avec de mauvaises intentions. Des personnes honnêtes, posant des questions honnêtes, produisent quand même des résultats biaisés lorsque leurs outils ne résistent pas.

Et il y a un second mode de défaillance qui ne dépend pas du propriétaire du sondage du tout. Lorsque les votants savent — ou soupçonnent — que leur réponse est suivie, ils cessent de répondre honnêtement. Ils donnent la réponse socialement sûre, celle que leur patron approuverait, celle qui ne finira pas dans un profil attaché à leur nom dans une décennie. Le sondage demande "que pensez-vous?" et obtient "qu’est-il sûr de dire?". Le résultat paraît bon; les chiffres s’additionnent; ce ne sont simplement pas les chiffres que le public croit réellement.

Dans un système où l’opérateur compte les votes, contrôle la question, et sait discrètement qui a voté quoi, vous faites confiance à l’opérateur sur chaque axe à la fois. La plupart des gens le font, par défaut, parce qu’il n’y a rien d’autre à quoi se fier.

L’anonymat est une propriété de l’architecture, pas de la politique. Une base de données qui possède votre identité mais choisit de ne pas l’afficher ne vous rend pas anonyme — elle vous rend sans nom. Nous tenons à la définition la plus stricte: nous n’avons pas votre identité du côté du votant, et nous ne l’avons pas non plus du côté de celui qui pose la question.

Le coût d’émettre un faux vote devrait toujours être supérieur à la valeur d’en émettre un. C’est la règle. Tout le reste est mise en œuvre.

Une plateforme qui se réclame "anonyme" sans antifraude est trivialement manipulée: une personne, cent onglets de navigateur, cent votes, ils appellent cela démocratie. Nous ne faisons pas cela. Chaque vote entre dans le système par l’une de cinq portes, et chaque porte a un coût différent pour la franchir:

• 1

  Anonyme

  aucun contrôle à la porte

  Gratuit, rapide, facile à manipuler. Utilisé lorsque les enjeux du sondage sont faibles et que le propriétaire accepte explicitement le compromis.

• 2

  IMDifferent ID

  un numéro de téléphone

  Une carte SIM, un vote. Coûte quelques dollars par faux vote — assez pour arrêter les essaims de bots, pas assez pour arrêter un attaquant déterminé avec un budget.

• 3

  Gitcoin Passport

  un sybil score

  Agrège des signaux provenant de sources d’identité existantes pour produire un badge "c’est probablement un humain". Plus difficile à falsifier à grande échelle que SMS.

• 4

  Coinbase Verified

  un compte financier KYC

  Falsifier cela signifie falsifier une vérification d’identité de niveau bancaire. On parle de milliers de dollars par faux vote, pas de centimes.

• 5

  World ID

  preuve que vous avez un iris humain

  Coûte une visite physique à un Worldcoin Orb. Effectivement impossible à falsifier à grande échelle; l’un des mécanismes anti-sybil les plus solides publiquement disponibles aujourd’hui.

Le coût exact de chaque porte est documenté; rien n’est caché derrière du langage marketing. Le niveau Anonyme est anonyme à dessein — ce n’est pas une faille de sécurité, c’est un paramètre que le propriétaire du sondage a choisi, et chaque résultat indique le niveau auquel il a été collecté.

La friction est un outil, pas une vertu. Trop peu, et vous obtenez de faux votes. Trop, et vous n’obtenez aucun vote. La bonne quantité est celle calibrée à ce qui est réellement en jeu.

Nous ne faisons pas passer chaque sondage par World ID. La plupart des sondages n’ont pas besoin de ce niveau de friction, et la friction elle-même exclut des votants. Demander à vos voisins de scanner leurs iris avant de voter sur la rénovation du parc canin est exagéré; demander au conseil d’une fondation de voter sur une allocation budgétaire de 5 millions de dollars via un niveau anonyme est imprudent. Les deux ont tort, dans des directions opposées.

Donc le propriétaire du sondage choisit la porte. Un sondage public décontracté ouvre avec IMDifferent ID. Une élection syndicale passe par Coinbase Verified. Un référendum sur la sécurité de l’IA qui ne peut absolument pas tolérer les attaques sybil passe uniquement par World ID. Le niveau de vérification est enregistré avec le vote, et quiconque examine le résultat plus tard peut voir exactement quel type d’audience l’a produit — et juger le résultat en conséquence.

La commodité qui vient d’un tiers observant chaque connexion n’est pas une commodité pour vous. C’est une commodité pour eux, et une fuite lente de qui vous êtes vers des entreprises auxquelles vous ne vous êtes pas inscrit pour informer.

La plupart des sites web vous permettent de vous connecter avec un fournisseur de compte social — ce que l’industrie appelle "Web2 social login". C’est pratique — et c’est précisément le problème. Chaque fois que vous vous connectez avec l’un de ces fournisseurs, le fournisseur apprend: ce compte utilisateur vient de se connecter à ce site à ce moment. Au fil des années, ces enregistrements deviennent un profil de votre vie civique: dans quels sondages vous avez voté, quand, et à quelle fréquence.

Nous ne nous intégrons à aucun d’entre eux. Pas parce que la cryptographie est plus faible — elle ne l’est pas — mais parce que la frontière de confidentialité est au mauvais endroit par défaut. Une fois que le fournisseur de compte social sait que vous vous êtes connecté à une plateforme de sondage, cette information est stockée dans leurs systèmes pour toujours, régie par leur politique de confidentialité, pas la nôtre.

À la place, lorsque vous créez un compte, nous vous envoyons un lien sécurisé par e-mail — une URL de connexion à usage unique et à durée limitée qui fonctionne une fois puis expire. Pas de mot de passe à fuir. Pas de fournisseur de connexion tiers vous suivant à travers les sites. Votre fournisseur d’e-mail voit le message; personne d’autre. Et — important — le lien sécurisé n’expose pas non plus votre identité à nous. Après utilisation du lien, nous transformons votre e-mail en hash et nous défaisons de la version plain-text. Le hash est suffisant pour vous reconnecter (vous saisissez votre e-mail à nouveau, nous le transformons en hash de la même manière, nous faisons correspondre le hash) mais il n’est pas suffisant pour que nous sachions qui vous êtes. L’e-mail est passé par notre système; il n’y est pas resté.

La confidentialité qui dépend de notre non-changement d’avis n’est pas la confidentialité — c’est un espoir. La vraie confidentialité nous retire le choix, et c’est la seule sorte que nous nous faisons confiance à maintenir.

Le test le plus solide de "confidentialité par conception" est le plus ennuyeux: l’entreprise peut-elle réellement contacter ses utilisateurs pour le marketing, la rétention, des e-mails de "vous nous manquez", ou autre? Sur la plupart des plateformes, la réponse est oui — elles ont votre e-mail en plain-text, prêt à être exporté vers un outil marketing le jour où elles décident de croître plus vite.

Sur la nôtre, la réponse est non. Après la fin de la connexion par lien sécurisé, nous transformons votre e-mail en hash et nous défaisons de l’original. Le hash est suffisant pour vous reconnecter (vous saisissez votre e-mail à nouveau, nous le transformons en hash de la même manière, nous faisons correspondre le hash) mais il n’est pas suffisant pour vous envoyer quoi que ce soit. Il n’y a pas de liste d’e-mails d’utilisateurs en plain-text dans notre base de données. Il n’y a pas d’intégration d’outil marketing. Il n’y a pas de "newsletter que nous lancerons quand la croissance ralentira". Ce n’est pas de la retenue; c’est de l’architecture. L’information n’est tout simplement pas là.

La même logique s’applique aux numéros de téléphone, aux adresses IP, et aux empreintes d’appareil. Ils sont transformés en hash avant de toucher le stockage persistant. Ils sont utilisés pour détecter des abus répétés depuis la même source. Ils ne peuvent pas être exportés, vendus, ou réquisitionnés par une ordonnance en plain-text parce qu’ils ne sont pas stockés en plain-text.

Et nous n’affichons pas de publicité — donc nous n’avons besoin de rien de tout cela. La publicité ciblée fonctionne en sachant qui vous êtes: votre âge, votre genre, votre localisation approximative, les types de sondages sur lesquels vous cliquez. Une plateforme qui se monétise via les revenus publicitaires doit collecter des signaux démographiques pour fonctionner. Retirer la publicité du tableau a retiré la raison de collecter ces données en premier lieu.

La confiance est quelque chose qui se gagne au fil des années. Nous n’avons pas eu d’années. Nous avons donc construit la plateforme pour que la confiance ne soit pas requise — seule la vérification l’est.

Le registre d’ancrage on-chain prouve l’intégrité du traitement, pas l’identité du votant: il montre qu’aucun vote n’a été ajouté, supprimé, ou réécrit entre le moment où ils ont été scellés et le moment où vous avez exécuté le vérificateur — mais il ne montre jamais qui était un votant individuel. Chaque autre affirmation ci-dessus est auditable depuis l’extérieur de ce site:

1. Le contrat. Base mainnet, adresse fixe et vérifiée on-chain. Lisez le code source, le bytecode, et l’adresse de l’ancreur vous-même dans le navigateur d’ancrages.
2. Les ancrages quotidiens. Choisissez un jour dans le navigateur d’ancrages. Prenez le Merkle root publié, exécutez le vérificateur indépendant avec n’importe quel ID de vote, et confirmez la preuve par rapport au root on-chain. Aucune partie de cela ne nécessite notre coopération.
3. L’identité de la wallet. La fiche publique de l’ancreur à /.well-known/imdifferent-anchor.json déclare la chaîne, le contrat, et l’adresse de la wallet de l’ancreur. Le manifeste d’audit signé à /api/audit/manifest et la chaîne mensuelle de preuve de vie à /.well-known/imdifferent-pol/ sont tous deux signés par cette même wallet — vérifiez les signatures par rapport à l’adresse on-chain de l’ancreur vous-même.
4. Le modèle de menace. Le guide de vérification indépendant documente ce que chacun de ces mécanismes prouve et, tout aussi important, ce qu’ils ne prouvent pas.

Si une étape échoue à être vérifiée, la page est fausse. Dites-le-nous à admin@imdifferent.id — nous préférons l’entendre de vous que de l’envoyer plus loin.