Des failles de sécurité détectées et réparées
La société de sécurité CertiK a révélé qu’elle avait découvert une vulnérabilité dans le protocole Worldcoin qui permettait à un attaquant de contourner le processus de vérification pour devenir un opérateur Orb. Elle aurait permis à n’importe qui de contourner les exigences de vérification pour devenir un opérateur Worldcoin Orb. L’individu n’aurait pas été obligé, par exemple, d’être une entreprise légitime, de se soumettre à une vérification d’identité appropriée ou de passer un entretien de contrôle.
Dans un cas normal, seules les entreprises légitimes qui passent le processus strict de vérification de l’identité de Worldcoin peuvent mener une opération Orb qui recueille les informations de l’iris de l’utilisateur. La société de sécurité a déclaré qu’elle avait signalé le problème à Worldcoin par le biais d’une procédure standard de divulgation whitehat. L’équipe de sécurité du projet a confirmé la vulnérabilité et a rapidement publié un correctif.
Timing intéressant
Il convient de noter que la révélation de CertiK intervient une semaine après la publication par Worldcoin d’un rapport sur les audits de sécurité de son protocole réalisés par les cabinets d’audit Nethermind et Least Authority. Elles ont porté sur un grand nombre de domaines, notamment les vulnérabilités du code conduisant à des actions adverses et à d’autres attaques. Mais également la protection contre les attaques malveillantes et d’autres méthodes d’exploitation.
L’audit Nethermind a mis en évidence 26 éléments au cours de son évaluation de sécurité. 24 ont été corrigés après l’étape de vérification, un a été atténué et le dernier a fait l’objet d’un accusé de réception. Least Authority a identifié trois problèmes dans le protocole et a proposé six suggestions qui ont toutes été résolues ou ont fait l’objet d’un plan de résolution.
Inquiétudes autour de Worldcoin
Lancé au début de l’été, Worldcoin est un projet de cryptomonnaie visant à établir une nouvelle identité mondiale et un réseau financier centré sur les scans de l’iris. L’entreprise affirme que ces identités seront cruciales à mesure que l’intelligence artificielle gagnera en influence, permettant aux humains de prouver qu’ils ne sont pas des robots.
Pour participer à ce réseau, les individus doivent faire scanner leur iris à l’aide d’un appareil appelé Orb. Les utilisateurs sont récompensés par le jeton WLD en échange de leur scan de l’iris. Le projet a suscité plusieurs inquiétudes concernant la confidentialité et la sécurité des données. Ses détracteurs, dont le célèbre lanceur d’alerte Edward Snowden et le cofondateur d’Ethereum Vitalik Buterin, estiment que Worldcoin pourrait collecter une quantité excessive de données personnelles. Elles pourraient être utilisées à des fins malveillantes.
Les causes d’une inquétude justifiée
Vitalik Buterin prévient que le Worldcoin a des problèmes majeurs et qu’il lui faudra des années pour fonctionner. La sécurité de l’iris suscite également des craintes. Les Orbs sont des dispositifs matériels dans lesquels des portes dérobées pourraient être installées pour permettre à des fabricants malveillants de créer de multiples fausses identités humaines. La MIT Technology Review a également accusé Worldcoin de se livrer à des pratiques commerciales trompeuses et de collecter un plus grand nombre de données personnelles que ce qui avait été initialement annoncé.
En réponse à ces préoccupations, Worldcoin a affirmé son engagement à protéger la vie privée des utilisateurs. Le site web de la société indique que le projet est entièrement conforme à toutes les lois et réglementations régissant la collecte et le transfert de données biométriques, y compris le Règlement général sur la protection des données (« RGPD ») de l’Europe. La société a ajouté que la Worldcoin Foundation et son contributeur Tools for Humanity n’ont jamais vendu et ne vendront jamais de données personnelles.
