Quels sont les risques liés à l'identité numérique dans la finance décentralisée?

Dans l’univers de la finance décentralisée (DeFi), la question de l’identité numérique devient cruciale. Alors que le pseudonymat est une valeur fondatrice, de plus en plus de protocoles exigent des preuves d’identité pour contrer les abus et les bots. Mais ces pratiques soulèvent des préoccupations majeures en matière de sécurité et de respect de la vie privée.

Pourquoi prouver son humanité dans la DeFi?

Traditionnellement, interagir avec une application décentralisée (dApp) se résume à connecter son portefeuille (wallet) à un smart contract. Cependant, cette approche est vulnérable aux attaques par sybil, où un individu crée de multiples identités pour tirer parti d’un système. Pour y remédier, de nombreux projets demandent désormais aux utilisateurs de lier leurs comptes X (anciennement Twitter), Discord ou Telegram à leur wallet. Cette méthode vise à garantir que chaque utilisateur est bien une personne unique.

Cependant, cette centralisation accrue pose problème. En reliant ces comptes à leur wallet, les utilisateurs exposent davantage d’informations personnelles, augmentant ainsi le risque de piratage. Ces applications sont des portes d'entrées supplémentaires pour les pirates. Par exemple, lundi 12 mai, le serveur Discord de Ledger a été compromis via le compte d’un modérateur, permettant à des attaquants de diffuser des liens de phishing incitant les utilisateurs à divulguer leur phrase de récupération .

BFM Crypto, le Club : L'écosystème Web3 en France – 05/02

28:03

Worldcoin: une solution controversée

Face à ces défis, des projets comme Worldcoin, cofondé par Sam Altman, le PDG d’OpenAI, proposent une approche radicale: scanner l’iris des utilisateurs via un appareil physique appelé "Orb" pour créer une identité numérique unique. En échange, les utilisateurs reçoivent des tokens WLD.

Cependant, cette méthode a suscité de vives critiques. Plusieurs pays ont suspendu les activités de Worldcoin en raison de préoccupations liées à la protection des données. L'indonésie a stoppé la semaine dernière les activités de la compagnie dans son pays, emboitant le pas du Portugal, de l'Espagne et du Kenya.

"La suspension est une mesure préventive visant à prévenir tout risque potentiel pour le public", a déclaré dans un communiqué Alexander Sabar, le responsable du ministère pour la supervision du numérique.

Dès son lancement, Vitalik Buterin, le cofondateur d’ethereum, avait publié une analyse détaillée des risques liés à Worldcoin. Selon lui, ces dangers sont multiples :

• Atteinte à la vie privée: même si les données sont présentées comme chiffrées et sécurisées, centraliser des millions de scans d’iris constitue une cible de choix pour des pirates.
• Sécurité physique: les dispositifs Orb pourraient être volés, falsifiés ou piratés, compromettant la fiabilité du système.
• Centralisation excessive: la gestion des Orbs et du réseau Worldcoin reste entre les mains d’une organisation unique, ce qui est contraire aux principes du Web3.
• Exclusion potentielle: le système repose sur un déploiement physique des Orbs, ce qui peut priver certaines populations d’accès à cette "preuve d’humanité".

Le retour au KYC traditionnel

En l’absence de solutions décentralisées fiables, de nombreux projets se tournent vers des procédures de vérification d’identité classiques (Know Your Customer - KYC), similaires à celles utilisées par des plateformes comme Binance ou Coinbase. Ces processus impliquent la soumission de documents officiels, tels qu’une pièce d’identité ou passeport et un justificatif de domicile. Bien que ces méthodes soient éprouvées, elles ne sont pas exemptes de risques, notamment en cas de fuite de données.

En attendant, les utilisateurs doivent naviguer prudemment entre les exigences croissantes de vérification d’identité et les principes fondamentaux de la décentralisation. La multiplication des plateformes et des processus d’identification augmente les points de vulnérabilité, soulignant la nécessité d’une approche équilibrée entre sécurité, confidentialité et accessibilité.