Le pari biométrique de Worldcoin est une bombe à retardement pour la vie privée

Opinion d'Ankur Rakhi Sinha, co-fondateur et PDG d'Airchains.

Après avoir fait l’objet d’amendes et de poursuites judiciaires dans le monde entier, les accusations portées contre Worldcoin (qui est devenu connu sous le nom de « World » fin octobre 2024) sont toutes les mêmes : un manquement systémique à la protection des données des utilisateurs. Worldcoin, fondée en 2019 par Sam Altman, célèbre pour OpenAI, demande aux utilisateurs de vérifier leur humanité par le biais de scans de l’iris et du visage en échange d’une identité numérique et de jetons gratuits. Plusieurs gouvernements ont bloqué leurs activités pour violation des lois locales sur la confidentialité.

Il existe des lois et des réglementations pour protéger les utilisateurs et leurs données, mais elles ne sont appliquées qu’après la violation. L’adoption de la blockchain dans des cas d’utilisation réels repose sur la confidentialité. Worldcoin a prouvé pourquoi nous ne pouvons pas construire un avion tout en le pilotant.

Worldcoin était l'une de ces idées cryptographiques folles qui se sont réinventées en 2024 après que d'énormes investissements ont suivi l'influence et le battage médiatique. Cette approche ne peut pas être notre seule option. Nous pouvons créer dès maintenant un système de conservation des dossiers adapté et évolutif qui évite une répétition des débâcles de confidentialité de Worldcoin.

Considérez ceci comme un appel à l'action pour la communauté crypto : continuez à prendre des risques, mais adoptez les nouvelles technologies de cryptage qui nous aideront à sécuriser ce que nous construisons, en particulier nos données biométriques. Nous avons tous besoin d'avoir confiance en notre vie privée.

Récent : Le lancement du testnet Blockchain rapproche les applications Web3 des normes Web2

Le problème avec Worldcoin

Le problème avec Worldcoin commence avec ses nœuds de boîte noire. World Chain a été construit comme une blockchain de couche 2 autorisée au-dessus d'Ethereum, ce qui ne permet à personne de devenir un nœud ou un lien sur le réseau. Seuls les initiés de World Chain contrôlaient le réseau. Seuls les membres du club de nœuds Worldcoin peuvent vérifier ce qui se passe sur sa blockchain, ce qui la rend très vulnérable aux attaques et aux exploits de pirates informatiques extérieurs.

C’est une insulte aux communautés open source, car plus le fonctionnement d’une application est transparent, plus il est probable qu’une vulnérabilité soit découverte. Les données biométriques ne devraient pas être stockées dans des boîtes noires sans protections et contrôles appropriés.

Les blockchains publiques rencontrent également des problèmes lorsque les entreprises privées exploitent des jardins clos inefficaces. La technologie censée être utilisée pour le stockage, la gestion et le transfert sécurisés des données a perdu la transparence et la confiance qu’offre la technologie blockchain. Les données biométriques ne doivent pas être stockées dans des jardins clos, à l’abri du contrôle public. Cette approche est totalement contraire à la décentralisation.

ZK, le grand nouvel espoir ?

Worldcoin a été construit sur ZKsync, un fournisseur de preuves à connaissance nulle. La technologie à connaissance nulle (ZK) permet de valider les données comme étant correctes sans révéler leur contenu. De grands espoirs ont été placés dans les technologies ZK pour la confidentialité des données biométriques. ZK est présenté comme une panacée pour tous les problèmes de confidentialité. Malgré son culte, ZK ne résout pas les problèmes de stockage des données.

Même si Worldcoin a admis avoir collecté plus de données que nécessaire - promettant dans un article de blog désormais modifié de supprimer ces données une fois ses modèles formés - le scandale de fuite de données de Worldcoin suggère que les preuves ZK n'ont pas été déployées dans une boucle fermée protégée.

Construire une identité véritablement privée et sécurisée sur la chaîne

Après Worldcoin, d’autres protecteurs de données biométriques plus contrôlés ont émergé. Fractal ID a construit un système d’identité décentralisé interopérable qui aide les parties externes à intégrer Know Your Customer (KYC). Fractal a subi une violation importante en juillet 2024, avec un groupe de ransomware volant 10 Go de données de 300 000 utilisateurs, y compris des photos personnelles, des relevés bancaires, des preuves d’adresse et des adresses Bitcoin (BTC) et Ether (ETH).

Même cette tentative crédible d'identification en chaîne souligne la nécessité d'une protection supplémentaire des données des utilisateurs, en particulier des données biométriques. Cette protection supplémentaire peut être obtenue en utilisant différents types de cryptage et en ne s'appuyant pas uniquement sur les preuves ZK.

Après Worldcoin, ZK n'est qu'une partie de la solution

Le chiffrement, qui garantit qu'il peut être utilisé de manière appropriée et vérifié, est essentiel à toute identité numérique protégeant les données biométriques des utilisateurs. Les preuves ZK sont idéales pour vérifier les calculs. Le démonstrateur doit cependant accéder aux données privées pour générer la preuve. C'est le problème avec Worldcoin. Il faut faire confiance à Altman et Cie.

La combinaison des preuves ZK et des dernières avancées en matière de cryptage, telles que le cryptage entièrement homomorphe (FHE), permet aux fournisseurs d'identification biométrique numérique de protéger les données sensibles et d'offrir une confidentialité totale. ZK-FHE vous permet de vérifier les calculs sans confier vos données privées au démonstrateur.

FHE empêche la création de vulnérabilités centralisées, qui sont des cibles courantes pour les attaquants. FHE renforce la confiance dans les systèmes biométriques en garantissant la sécurité des données des utilisateurs, même lorsqu'elles sont traitées à des fins d'authentification ou de vérification.

Alors que ZK prouve que quelque chose est vrai sans révéler d'informations supplémentaires, FHE est utilisé pour effectuer des calculs sur des données cryptées sans avoir besoin de les décrypter, afin qu'elles restent sûres. Ensemble, ZK-FHE peut mettre fin aux futurs débâcles de Worldcoin et faire progresser les projets les plus plausibles de notre industrie.

Nous avons besoin d’une nouvelle terminologie pour les piles de confidentialité

La confidentialité en toute confiance signifie que les utilisateurs comprennent ce qui se cache derrière. Les produits de consommation qui collectent des données biométriques ne vendent pas des promesses de confidentialité, mais la confiance du public.

La technologie ZK-FHE combinée en tant que pile sera essentielle pour la gestion et la vérification des données biométriques, car elle garantit que les informations sensibles, telles que les empreintes digitales ou les scans faciaux, restent protégées tout au long de leur cycle de vie sans jamais être décryptées.

Avec des cas d'utilisation éprouvés de ZK-FHE déjà déployés en 2024, où les registres fonciers des collectivités locales en Inde et les organisations non gouvernementales (ONG) les ont utilisés pour la tenue de registres, cette combinaison unique de preuves ZK et FHE pourrait débloquer la tenue de registres blockchain à grande échelle.

Les identifiants biométriques en chaîne peuvent être utiles dans de nombreux cas d'utilisation, mais nous pouvons et devons faire mieux. Nous avons besoin de plusieurs dimensions pour notre vie privée ; sinon, il y aura toujours une vulnérabilité que les pirates informatiques pourront exploiter.

Ankur Rakhi Sinha est cofondateur et PDG d'Airchains, un réseau de confidentialité modulaire et multichaîne qui permet des calculs vérifiables et confidentiels basés sur ZK et FHE. Avant de fonder Airchains, il a travaillé avec Matic et Polygon Edge en tant qu'ingénieur concevant des cas d'utilisation institutionnels en Inde par l'intermédiaire de son cabinet de conseil, Retcons Technology. Sinha était auparavant un animateur radio qui a étudié l'ingénierie minière au Government Engineering College de Jagdalar tout en minant de l'Ether pendant son temps libre.

Cet article est fourni à titre d'information générale et n'est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d'investissement. Les points de vue, pensées et opinions exprimés ici sont ceux de l'auteur seul et ne reflètent pas ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.