J'ai déjà pas mal réfléchi sur ce sujet, et voila, en vrac, ce que je peux en dire.

- Le problème de la falsification du champ From: n'est pas grave. Il peut se contourner en exigeant une signature cryptographique.
- Si on s'oriente vers un Trust network comme ça, ça ne doit pas être un réseau préexistant, et encore moins un réseau centralisé comme Facebook. Même un réseau décentralisé comme les serveurs de clés GPG n'est pas adapté, car quand tu signes la clé de quelqu'un, tu certifies juste que « untel est bien celui qu'il prétend être », et non pas que « untel n'est pas un spammeur ».
- Le problème de la compromission des identités est grave. Un botnet reste complètement faisable si les identifiants ou clés privées sont stockés sur l'ordinateur. Comme il est à peu près impossible en pratique de forcer les gens à sécuriser leurs machines et/ou mémoriser leurs mot de passe sans jamais les donner à des tiers (ne serait-ce que par phishing), il restera assez simple de voler l'identité et donc l'accès aux contacts de quelqu'un.
- Sachant cela, il faut qu'il existe un système de révocation rapide et efficace, pour blacklister immédiatement les identités compromises (détectées par exemple par de l'antispam classique).
- Seulement, après discussion avec des experts en « Trust Networks », il semblerait qu'il soit possible de compromettre à grande échelle des réseaux, de manière à ce que la ou les identités compromises soient difficiles à détecter (il suffit d'infiltrer le réseau avec plusieurs identités fortement interconnectées, se certifiant entre elles mais aussi avec des tiers de confiance, et dont la majorité soit honnête).
- Par ailleurs, les notions de sécurité nécéssaires aux utilisateurs d'un trust network sont bien trop élevées pour la population en général (genre « ne pas certifier n'importe qui », « ne pas laisser trainer ses identifiants », etc ...)

C'est pourquoi la création d'un trust network qui marche à grande échelle est probablement très difficile à réaliser, et que ça risque de rester un joujou de geek.