GitHub est une plateforme de gestion de logiciels et de collaboration qui permet aux utilisateurs de signaler leur intérêt pour un projet en attribuant des étoiles. Cependant, des boutiques en ligne et des groupes de discussion vendent des étoiles sur la plateforme pour aider les codeurs à faire semblant jusqu’à ce qu’ils réussissent. Les étoiles louches à vendre font partie d’un marché noir plus large de mesures d’engagement en ligne utilisées par les codeurs, les investisseurs et d’autres acteurs de la technologie pour mettre en évidence les programmeurs et les startups prometteurs lorsqu’ils décident d’embaucher, de travailler ou d’investir dans un projet. Les boutiques en ligne proposent également des votes positifs pour les projets listés sur Product Hunt, ainsi que des suivis et des vues sur la communauté de science des données Kaggle. Cependant, ces pratiques sont trompeuses et peuvent être considérées comme frauduleuses.Il est possible que des boutiques en ligne et des groupes de discussion vendent des étoiles sur la plateforme pour aider les développeurs à faire semblant jusqu’à ce qu’ils réussissent. Ces pratiques sont trompeuses et peuvent être considérées comme frauduleuses. Il est important de noter que la plupart des classements de dépôt sur GitHub dépendent du nombre d’étoiles du dépôt. En outre, Explorer GitHub montre les référentiels les plus populaires en fonction du nombre d’étoiles qu’ils possèdent.
Les étoiles GitHub sont l'un des principaux indicateurs de preuve sociale sur GitHub. À première vue, il s'agit d'un indicateur de valeur, qui n'a pas plus d'objectivité qu'un « J'aime » sur Facebook ou un « retweet » sur Twitter. Pourtant, ils influencent des décisions sérieuses et importantes, notamment les projets qui sont utilisés par les entreprises, les startups qui sont financées et les entreprises que les professionnels talentueux rejoignent.
Envoyé par Dagster Labs
Nous avons été impressionnés lorsque nous avons remarqué que de nouveaux projets open source accumulaient soudainement des centaines d'étoiles par semaine. Dans certains cas, cela semblait un peu trop beau pour être vrai, et les schémas semblaient erronés : certains dépôts flambant neufs gagnaient plusieurs centaines d'étoiles en quelques jours, souvent juste à temps pour une nouvelle version ou une autre annonce importante. « Nous avons vérifié certains de ces dépôts et avons trouvé des comptes qui semblaient suspects. Nous avons constaté avec curiosité que la plupart des outils d'analyse des étoiles de GitHub ou des articles traitant de ce sujet n'abordent pas la question des fausses étoiles.
Un écosystème de boutiques en ligne et de groupes de discussion vend ouvertement des étoiles Github, que les utilisateurs attribuent pour signaler leur intérêt pour un projet et qui peuvent être comptabilisées pour classer les plus populaires. Pour la modique somme de 6 dollars payée en éther, le jeton cryptographique de la blockchain Ethereum, il est possible d’acheter 50 étoiles pour un projet GitHub via le site BuyGithub.com. Les fausses étoiles apparaissent apparues en quelques heures seulement.
Les étoiles louches à vendre font partie d'un marché noir plus large de mesures d'engagement en ligne utilisées par les codeurs, les investisseurs et d'autres acteurs de la technologie pour mettre en évidence les programmeurs et les startups prometteurs lorsqu'ils décident d'embaucher, de travailler ou d'investir dans un projet. Les boutiques en ligne proposent également des votes positifs pour les projets listés sur Product Hunt, la plateforme communautaire qui promet d'aider les individus à découvrir la prochaine grande nouveauté technologique avant tout le monde, ainsi que des suivis et des vues sur la communauté de science des données Kaggle, où se démarquer peut conduire à des offres d'emploi. Les fournisseurs semblent vouloir exploiter l'ambition, voire le désespoir, des personnes qui cherchent un raccourci vers le succès dans un secteur parfois associé au mantra fake it till you make it (faites semblant jusqu'à ce que vous réussissiez).
« Presque toutes les manipulations en ligne consistent à détourner l'attention dans le but de gagner de l'argent - acquérir de l'attention et la transformer ensuite en argent ou en pouvoir », explique Filippo Menczer, directeur de l'Observatoire des médias sociaux de l'université de l'Indiana. « GitHub n'est pas différent. C'est un marché de l'attention, car il existe des mécanismes par lesquels les gens acquièrent de la notoriété, de l'influence et de la réputation grâce à la popularité ou à l'utilisation de leurs logiciels. »
Baddhi Shop, une boutique en ligne proposant des métriques inauthentiques, a déployé ses services GitHub plus tôt cette année. Il vend également des votes positifs sur Product Hunt, ainsi que des votes positifs, des followers et des vues sur Kaggle. Lorsque WIRED a envoyé des messages au compte LinkedIn du fondateur du site, Naga Durgarao Baddhi, il a reçu des réponses affirmant que l'entreprise était en règle.
Les vendeurs de faux engagements se tournent vers des plateformes plus petites et plus récentes
Lorsqu'une commande d'étoiles GitHub ou d'un autre indicateur est passée, une équipe de 11 personnes se met à cliquer, « à partir de différents dispositifs en nuage », a déclaré Baddhi, ajoutant qu'il ne s'agissait pas de spam car la boutique respectait les conditions de service de chaque site web. GitHub n'est pas l'offre de triche métrique la plus populaire, a ajouté Baddhi. Discord, un service de chat populaire pour les projets cryptographiques, fait l'objet d'achats quotidiens, et les métriques de 10 autres services sont également populaires, selon Baddhi.
Kellyn Slone, porte-parole de Discord, explique que la création ou la vente de faux comptes constitue une violation de ses conditions d'utilisation et qu'elle prend des mesures en conséquence, notamment en retirant les utilisateurs du service.
La vente de faux engagements est surtout connue sur les grandes plateformes sociales telles que Facebook. L'émergence d'un marché pour des sites plus petits et plus récents tels que GitHub et Product Hunt pourrait être due au fait que les plateformes traditionnelles prêtent davantage attention aux faux comptes, explique Stefano Cresci, chercheur spécialisé dans la désinformation, les fausses nouvelles et les robots sociaux à l'Institut de l'informatique et de la télématique, qui fait partie du Conseil national de la recherche, à Pise, en Italie. Il est possible que les vendeurs se tournent vers d'autres plateformes où il est plus facile de rester en activité.
Il est également prouvé que, maintenant que la vie en ligne est au cœur de presque tous les domaines d'activité humaine, la tricherie en ligne se produit même dans des communautés de niche. Justin Hollander, professeur à l'université Tufts, près de Boston, a récemment publié une étude montrant que des bots Twitter étaient utilisés pour tenter d'influencer la planification urbaine. Les bots étaient actifs dans 21 projets immobiliers américains, dont le développement du SoFi Stadium en Californie et des projets à usage mixte à Atlanta.
« Un grand nombre d'organisations communautaires et d'agences gouvernementales utilisaient des bots », explique-t-il. « Nous n'avons pas pu trouver un seul groupe. Il semble que toutes les entités avisées et actives dans cet espace de façonnement de la ville et d'implication dans ces domaines politiques utilisent des bots ».
Menczer, de l'université de l'Indiana, compare l'utilisation généralisée des bots sociaux et du faux engagement aux effets de la pollution, les déchets s'accumulant pour enterrer ce qui a de la valeur et de la qualité. Il s'attend à ce que la situation empire au fur et à mesure que la technologie progresse. Menczer et ses collègues ont récemment trouvé des preuves de l'existence d'un réseau de robots poussant des cryptomonnaies sur Twitter, alimenté par ChatGPT.
Les bots sociaux et le faux engagement polluent les réseaux sociaux
« Il est difficile pour les humains et les logiciels de détecter les faux comptes », explique Menczer. « Et ChatGPT se fera un plaisir de créer pour vous un grand nombre de faux comptes impossibles à distinguer des vrais. Les générateurs d'images d'IA sont utilisés pour générer des fausses photos de profil réalistes et uniques, explique Menczer, éliminant ainsi ce qui, dans le passé, était souvent un moyen révélateur d'identifier les faux comptes. »
« C'est une véritable course aux armements, car les robots sociaux deviennent de plus en plus intelligents, de plus en plus sophistiqués », explique Menczer. Quelles que soient les nouvelles mesures d'engagement qui émergeront pour les projets logiciels, les entreprises ou les personnes, les escrocs ne seront pas loin derrière. « Un grand nombre d'organisations communautaires et d'agences gouvernementales utilisaient des bots », explique-t-il. « Nous n'avons pas pu trouver un seul groupe. Il semble que toutes les entités avisées et actives dans cet espace de façonnement de la ville et d'implication dans ces domaines politiques utilisent des bots ».
Il est difficile d'élaborer des modèles permettant de détecter les faux comptes (ou d'autres formes de spam) avec une précision de 100 %. Il est possible de développer des techniques avec une précision et un rappel assez élevés, mais elles deviennent coûteuses en termes de calcul. En outre, le monde change continuellement autour de nous et de nombreux modèles doivent être ajustés en permanence.
Compte tenu des motivations en jeu et de la facilité avec laquelle on peut acheter de fausses étoiles GitHub, il est réconfortant de constater que ce phénomène n'est pas très répandu et qu'il reflète bien les valeurs de la communauté des développeurs au sens large. Cependant, la possibilité de remplir un repo avec de fausses étoiles révèle des lacunes dans les mécanismes de confiance et de sécurité de GitHub et il y a certainement des projets qui les ont exploitées.
« La sécurité de GitHub est consciente de la présence de fausses étoiles depuis des années et s'efforce activement de les retirer de la plateforme », explique Jesse Geraci, conseiller en sécurité en ligne de l'entreprise. Geraci reconnaît qu'il peut être difficile de trouver un équilibre entre la suppression précise des comptes inauthentiques et la possibilité pour les comptes authentiques de fonctionner sans entrave. « Soixante-trois mille comptes suspects peuvent sembler beaucoup, mais il s'agit d'un très faible pourcentage des plus de 100 millions de développeurs qui travaillent sur GitHub », explique Geraci.
Sources : Wired, Dagster
Et vous ?
Que pensez-vous du phénomène d'achat de fausses étoiles sur GitHub ? Comment les investisseurs et les employeurs peuvent-ils identifier les projets qui ont acheté des étoiles frauduleuses ? Comment encourager une culture de transparence et d’honnêteté dans la communauté GitHub ?Voir aussi :
Des chercheurs disent avoir découvert une énorme ferme de bots Facebook dans le cadre des élections US de 2020, diffusant des messages sur Trump, Biden et le covid Les menaces liées aux bots malveillants représentent un risque croissant pour les entreprises, alors que 47,4 % de l'ensemble du trafic Internet en 2022 provenait de bots, selon un rapport d'Imperva