Insistant sur son engagement en faveur de la vie privée, le projet controversé de crypto-monnaie Worldcoin a permis un audit spécialisé des Orbs, les appareils répandus dans plusieurs pays du monde pour scanner l’iris. Et les résultats du contrôle de sécurité ont démontré qu’il existe effectivement des risques pour la vie privée en raison du traitement des données biométriques des personnes.
Selon ce que rapporte le projet, la Fondation Worlcoin et la société Tools for Humanity (TFH) ont embauché la société de sécurité Trail of Bits pour se charger de l’audit du logiciel qui donne vie aux Orbes. La société a révélé les résultats de l’audit dans un contexte de plaintes, d’enquêtes et d’interdictions nationales des opérations de Worldcoin, précisément pour des questions de confidentialité.
L’auditif avait un accès complet au code source d’Orbs, ainsi que la documentation de ces appareils. Effectuer des tests statiques et dynamiques de la base de code à l’aide de processus automatisés et manuels. L’examen s’est concentré uniquement sur le logiciel qui s’exécute sur l’appareil Orb et a été développé par TFH.
Comme l’indique Trail of Bits dans un rapport contenant les résultats de l’audit, aucune vulnérabilité découverte dans le logiciel Worldcoin Orbs qui peut être directement exploité par rapport aux objectifs du projet, qui est d’accéder à des données biométriques pour vérifier l’humanité.
Cependant, parmi ses conclusions, Trail of Bits a identifié que le logiciel Orbs il ne verrouille pas la mémoire dans la RAM. Cela signifie que si les développeurs de code configurent l’espace d’échange pour augmenter la capacité RAM des scanners, les données sensibles des utilisateurs, ainsi que leurs données biométriques, pourraient y persister indéfiniment.
En d’autres termes, si les développeurs d’Orbs décident d’étendre la RAM des appareils via l’espace d’échange, les données privées des utilisateurs qui scannent leurs iris ils pourraient être compromis.
Pour résoudre ce problème, Trail of Bits recommande à Worldcoin d’utiliser le code mlock pour verrouiller la mémoire dans laquelle les données sensibles sont stockées dans la RAM. Cela empêchera cette mémoire être échangé sur le disque si l’espace d’échange est configuré.
Trail of Bits recommande également un suivi à Worldcoin pour garantir que les données biométriques des utilisateurs ne jamais être utilisé « de manière inattendue ».
L’analyse du code source de Worldcoin Orbs a été exécutée par une équipe de trois consultants Trail of Bits. Cette étude s’est étendue du 7 au 26 août 2023quelques mois après la mise sur le marché du projet.
Il n’y a aucune preuve d’une mauvaise gestion des données privées
Dans son rapport, Trail of Bits a indiqué qu’aucun problème n’avait été trouvé lié à une utilisation incorrecte d’informations personnellement identifiables ou de codes d’iris.
Cependant, ils préviennent qu’« un futur changement de code pourrait introduire de tels problèmes ».
“Pour éviter cela, nous recommandons de rechercher et d’utiliser des solutions de suivi des contaminations pour garantir que ces données ne soient jamais utilisées à mauvais escient (par exemple, jamais transmises aux fonctions de journalisation)”, note la société de sécurité.
Le rapport Trail of Bits, d’une part, confirme les inquiétudes liées aux Worldcoin Orbs Ils stockent des informations qui peuvent être exploitées. Ceci, étant donné que les développeurs n’ont qu’une décision à prendre pour laisser les informations privées des utilisateurs stockées en permanence dans les scanners d’iris.
Mais, d’un autre côté, le rapport désactive les alarmes concernant la mauvaise gestion des informations biométriques des utilisateurs, puisqu’il confirme que il n’y a pas d’utilisation abusive de ces données (du moins jusqu’à présent). Ceci, conformément à ce qu’ils disent de Worldcoin.
Tiago Sada, l’un des architectes derrière Worldcoin, a déclaré il y a quelques jours à CriptoNoticias qu’ils Ils n’ont pas l’intention de conserver des informations privées des personnes qui viennent au projet. Il a même assuré que le scanner d’iris ne représente pas de risque pour la vie privée et que Worldcoin est plus privé que Facebook, Google et TikTok.
Calmer les eaux
Avec l’audit spécialisé de Trail of Bits, Worldcoin cherche à calmer les voix qui réclament plus de transparence, notamment suite à l’interdiction par l’Espagne de continuer à fonctionner et à scanner les iris des utilisateurs dans ce pays.
L’Agence espagnole de protection des données (AEPD) a récemment émis une mesure de précaution à l’encontre de Worlcoin afin de empêcher tout accès ultérieur aux données biométriques d’utilisateurs dans la nation ibérique. Ceci est basé sur quatre plaintes reçues par ce bureau, dans lesquelles des inquiétudes sont exprimées concernant le traitement des informations sur l’iris.
Par la suite, la décision de l’agence espagnole a été ratifiée par le Tribunal national, qui a rejeté le recours déposé par Worldcoin et a demandé à l’entreprise de n’utilisera pas les données biométriques qu’ils ont déjà obtenues des Espagnols.
Jusqu’à présent, 8 pays dans le monde ont ouvert des enquêtes contre Worldcoin, motivé par des problèmes de sécurité et de confidentialité. Seuls 2 ont décidé d’interdire les opérations. Le Kenya, au milieu de l’année dernière et récemment l’Espagne.
Cependant, Worldcoin semble avoir l’intention de continuer à se développer, étant donné qu’il y a déjà plus de 6 millions d’utilisateurs dans le monde, dont plus de la moitié avoir déjà scanné vos iris pour obtenir la poignée de jetons WLD.
