La transparence.
C’est un atout souvent revendiqué de la blockchain et du médiatique web version 3.
Et ça contraste avec l’image un peu sulfureuse du bitcoin qui sert (aussi, mais pas seulement) à collecter une rançon après une cyber-attaque. On imagine donc que le bitcoin apporte une garantie d’anonymat, et qu’il permet une transaction intraçable.
Bon alors ce web 3 : transparent ou anonyme ?
Un registre public
Une blockchain, c’est un peu comme un grand livre numérique recensant des transactions que l’on ne peut jamais effacer. Par construction, ce livre est public, ou a minima suffisamment ouvert pour que les mineurs puissent valider l’ajout d’un bloc.
Il existe donc des API et des services en lignes pour consulter les blocs.
Par exemple, en consultant https://etherscan.io/, on accède à l'historique des blocs et des transactions sur Ethereum.
Et ça donne envie de faire son petit curieux !
Espionnons un peu l’activité de l’adresse 0x827bf5006a21275919879182c8fb5f7287c1dbb4.
Par exemple, je vois que ce compte a été utilisé pour acheter un NFT le 17/09/2021 à 18:52:26 au prix de 73$.
Et je peux regarder l’uri associé à ce NFT : il s’agit d’une image facile à télécharger.
(oui, au fait, si vous pensiez que le NFT sécurisait l'actif numérique, et ben non. Il ne sert qu'à sécuriser la transaction)
D'ailleurs voici l'image :
Alors bien sûr, je ne connais pas l'identité de la personne derrière ce numéro de compte.
Par contre, je connais son historique de transactions. Un peu comme si son relevé bancaire était publiquement consultable.
Alors je peux construire son profil :
- son porte-monnaie est-il fourni ?
- Quelles sont ses préférences d'achats ?
- Quelles plateformes fréquente-t-il habituellement ?
Pleins d'informations intéressantes, qui ne nécessitent aucun traceur ni cookie.
Mais alors, au moment ou le RGPD montre ses muscles et assène des amendes à Google, ce profil est-il le nouvel eldorado du ciblage publicitaire ?
Metamask, tombe le masque
Pour la majeure partie des utilisateurs actuels du Web3, l’accès à une blockchain passe par un fournisseur d’accès.
Comme MetaMask.
Il s’agit d’une extension pour Chrome qui va permettre d’interagir avec la blockchain depuis son navigateur.
Lorsque cette extension est installée, une page web qui embarque un bout de JavaScript peut ainsi solliciter l’accès à la liste des comptes d’un utilisateur.
Si vous allez sur une place de marché de NFT comme OpenSea, vous observez qu'un objet ethereum a été injecté dans le contexte du navigateur.
Il permet de lancer une demande de connexion au wallet de l'utilisateur courant et de récupérer son numéro de compte :
ethereum.request({method: 'eth_requestAccounts'})
Il faut bien comprendre ce qu'il se cache derrière ce bouton "connecter".
Après avoir validé la connexion, le site distant dispose de l’adresse de votre compte Ethereum. Il devient alors possible de consulter l’historique de vos transactions réalisées pour établir votre profil.
Parfois, c'est encore plus simple.
Certains affichent publiquement leur numéro de compte (sur leur site perso, dans un profil LinkedIn).
D'autres utilisent un nom de domaine (en .eth) qui relie le numéro de compte à un libellé, exactement comme le DNS pour l'adresse IP.
Bien sûr, il est possible d'être plus prudent. De brouiller un peu les pistes en utilisant plusieurs comptes. Mais ça ne fonctionne qu’à condition d’être très vigilant pour ne jamais faire de mouvement de jeton d'un compte vers l’autre.
Le blanchiment
En résumé, pour rester anonyme sur le web3, il faut précautionneusement cacher le lien entre son identité et son numéro de compte.
Mais lorsqu’on veut convertir ses cryptos en euros, il faut pourtant bien établir un lien entre un numéro de compte d’un portefeuille de crypto-monnaies et un numéro de compte bancaire.
Celui qui propose ce service détient donc une information précieuse : le lien entre une donnée personnelle (n° de compte bancaire, adresse e-mail) et le numéro de compte utilisé sur la blockchain.
Et là, ça commence à faire beaucoup de données qui fuitent vers des entreprises aux intentions pas toujours très louables.
Dans sa newsletter Pwned (le lien en fin d’article), Gabriel Thierry nous raconte l’histoire d’Alexander Vinnik.
Arrêté en Juillet 2017, il est suspecté d’être l’un des opérateurs majeurs de BTC-e.
BTC-e ?
C'est une excellente idée de startup. Très innovante. Un business model au top. On se demande pourquoi ce n'est pas cité en exemple dans tous les bouquins d'entrepreunariat.
Parce que cette plateforme d’échanges de crypto-monnaies lancée en 2011 propose un service innovant : convertir ses crypto-actifs en bon d’échanges transférables vers d’autres comptes, sans aucune traçabilité.
Une sorte de blanchiment de cryptos.
Le site a été fermé en 2017 par les autorités américaines qui ont mis la main sur le nom de domaine et sur une large part des actifs.
Mais d’autres entreprises proposent des services un peu similaires, en toute légalité.
Il s'agit des “mixers” : ils permettent de diluer le trajet de ses transactions sur de multiples comptes afin de les rendre anonymes. Elles avancent sur le fil du rasoir : apporter de la confidentialité sans que ça serve à des opérations illégales.
Et ça ne fonctionne bien qu'avec des tokens fongibles, comme les crypto-monnaies.
Honnêteté vs transparence
Le web3 repose sur l'idée de décentralisation, effaçant le besoin d'une entité centrale et opaque qui dispose du contrôle sur nos données. En contrepartie, elle impose la transparence.
La transparence, c’est une valeur ultra puissante pour créer de la confiance.
Mais elle consiste aussi à révéler des informations qu’on préfèrerait cacher. Ça va donc beaucoup plus loin que l'honnêteté.
Alors l'enjeu, c'est de bien délimiter le contexte dans lequel s'applique la transparence.
Par exemple dans un contexte professionnel, on est transparent envers ses collègues et ses clients. Dans un contexte personnel, on est transparent vis-à-vis de sa famille. Et on peut légitimement vouloir que ces 2 contextes soient étanches.
Garantir cette frontière autour d'un contexte décidé par l'utilisateur, c'est peut-être l'un des défis à relever par le web3.
Références :
- Celui qui n'aurait pas du aller en vacances en Grèce : https://pwned.substack.com/p/celui-qui-naurait-pas-du-aller-en?r=47xl4
- Etherscan : https://etherscan.io/
