Worldcoin: est-ce bien raisonnable de se faire scanner son iris en échange de cryptomonnaies?

C’est une première dans l’histoire des cryptomonnaies et le scénario est digne d'un épisode de Black Mirror. Sam Altman, le patron d'OpenAI, propose de scanner votre iris pour obtenir un passeport numérique (et surtout des cryptomonnaies). Une idée qui attire déjà les foules mais qui inquiète aussi car l'iris est une donnée biométrique et sensible au regard de la réglementation, européenne notamment.

Ce 28 juillet, la Commission nationale de l'informatique et des libertés (CNIL) a déclaré auprès de Reuters, avoir pris connaissance du projet baptisé Worldcoin et a jugé que la légalité de la collecte de données biométriques était "discutable". Une enquête a été ouverte.

Biométrique? "Une donnée biométrique est une caractéristique physique ou comportementale qui permet de distinguer l’individu de manière unique" explique à Tech&Co Jean-Luc Dugelay, professeur de sécurité numérique à Eurecom.

Le scan de Worldcoin se fait grâce à une appareil baptisé The Orb, une sorte de sphère métallique dotée de capteurs conçue par l'entreprise. L’utilisateur autorise alors la société à scanner son iris pour obtenir un passeport numérique ("World ID") et des cryptomonnaies (le token "worldcoin", WLD) gratuitement. Le tout relié à l’application "World App", qui permet de réaliser des paiements.

Une fois le scan réalisé, l'application indique à l’utilisateur que  son iris a bien été scanné avec succès dans la base de données. Il reçoit ensuite son fameux World ID qui, selon le projet, prouvera qu'ils sont une "personne réelle et unique" tout en "préservant leur vie privée", ainsi qu'un portefeuille de cryptomonnaies sur leur smartphone.

Où part votre iris?

Deux millions de personnes seraient déjà inscrites pour se faire scanner l'iris, selon Worldcoin. La société a d'ailleurs posé ses valises à Paris dans un espace de coworking, cette semaine.

"Un scan de l’iris est très fiable car elle est stable dans le temps et unique à chaque individu. On ne peut pas le modifier donc cela évite l’usurpation d’identité", souligne Jean-Luc Dugelay.

"La grande question ici, est de savoir où sont stockées les données biométriques et personnelles car si elles sortent du système cela peut poser problème s'il y a la combinaison de données biométriques et des données personnelles", s'interroge-t-il.

Sur son site, Worldcoin assure que "les données biométriques ne quittent jamais l'Orb. Et une fois que vous vous êtes inscrit, elles sont définitivement supprimées". En clair, l'image du scan est supprimée.

"Vos données biométriques sont d'abord traitées localement sur l'Orb, puis définitivement effacées" assure encore le site. "La seule donnée qui subsiste est votre IrisCode. Cet IrisCode est un ensemble de chiffres générés par l'Orb et n'est pas lié à votre portefeuille ni à aucune de vos informations personnelles. Par conséquent, il ne nous dit rien de vous, ni à nous ni à personne d'autre".

Interconnexions multiples

Bien que l’entreprise ne garde pas le scan de l’iris, elle garde toujours l'IrisCode. "Si une personne tierce à accès à ce code, elle peut éventuellement l'usurper voire le modifier, et là ça devient dangereux pour la personne concernée", alerte Jean-Luc Dugelay. Cette situation serait lourde de conséquences car il y a un risque à vie pour la personne concernée qui pourrait voir son compte crypto également vidé.

L’entreprise pourrait aussi revendre ces données biométriques, et l’utilisateur n’aurait alors aucune idée de qui détient ses données. 

Jean-Luc Dugelay souligne que, dans le cas Worldcoin, le scan de l'iris est fait de manière encadrée par des équipes. En revanche, il s'inquiète que les scans se fassent au niveau mondial avec des interconnexions multiples et non pas dans un seul pays en particulier pour tester le dispositif à grande échelle de manière locale et encadrée.

Le rôle du RGPD

Mais l'Europe veille. L’information biométrique et notamment l’iris sont considérées comme des données très sensibles au regard de l'article 9 du RGPD. Une entreprise privée qui détient ce genre de données est soumise aux mêmes règles qu’une autorité de l’Etat: de la garantie de la sécurité en passant par l'encadrement des transferts, les droits d'accès et de suppression. L'entreprise pourrait également être amenée à realiser une l'analyse d’impact et des risques selon l'article 34 de ce même règlement.

Dans tous les cas, Worldcoin doit prendre des mesures de sécurité à la hauteur du risque qui est ici très élevé, selon l'article 32 du RGPD comme le chiffrement ou l'accès à un nombre restreint de personnes aux données biométriques.

Premiers scandales 

Mais tous les pays n'ont pas les mêmes règles. Le MIT Technology Review a révélé en avril dernier que le dispositif avait été testé auprès de 500.000 personnes notamment au Soudan et en Indonésie, les attirant vers le projet à coups de cadeaux comme des Airpods. 

Surtout, sept ordinateurs de The Orb auraient déjà été piratés et plusieurs opérateurs de Worldcoin ont vu leurs appareils personnels compromis par des logiciels malveillants, selon TechCrunch. Les hackers auraient eu un accès complet au tableau de bord de l'opérateur sans que cela ne nécessite d'authentification à deux ou plusieurs facteurs.