Un recours collectif contre Coinbase a soulevé des préoccupations concernant les pratiques de collecte et de stockage de données biométriques par les entreprises technologiques. Nanak Nihal Khalsa soutient que s’appuyer sur des identifiants biométriques immuables pose des risques permanents, car ils ne peuvent pas être réinitialisés une fois compromis.
Sécurité des données biométriques sous surveillance après le procès Coinbase ; un expert exhorte à une vie privée modulaire
ÉCRIT PAR
PARTAGER
Patchwork des Réglementations de Confidentialité au Niveau des États
Un recours collectif récemment déposé contre la plateforme d’échange de cryptomonnaies Coinbase a de nouveau mis en lumière la collecte et l’utilisation des données biométriques par les entreprises technologiques. Bien que cette poursuite soit fondée sur le prétendu échec ou refus de Coinbase de se conformer à la Biometric Information Privacy Act de l’État de l’Illinois aux États-Unis, l’action collective met néanmoins en évidence les défis auxquels font face les entreprises technologiques qui servent des clients ou utilisateurs dans plus d’une juridiction.
Les entreprises de Web3 et de technologies sont souvent confiantes que leur collecte ou utilisation de données biométriques obtenues des clients est conforme à la loi. Cependant, des cas passés où même des géants comme Google ont été forcés de débourser plus de 1,3 milliard de dollars pour régler des violations de lois sur la confidentialité des données semblent soutenir l’idée d’avoir une loi fédérale complète sur la confidentialité plutôt qu’un patchwork de réglementations au niveau des États.
Cependant, pour les clients ou utilisateurs dont les données biométriques sensibles sont capturées par les principales entreprises Web3, y compris les plateformes d’échange de cryptomonnaies, les enjeux sont encore plus élevés. Les incidents croissants dans lesquels les utilisateurs de cryptomonnaies détenant des montants substantiels sont ciblés par des gangs armés semblent suggérer que les cybercriminels pourraient détenir des informations sensibles sur les utilisateurs, y compris des données biométriques.
Comme le démontre le récent cas de cyberattaque de Coinbase, permettre à des employés non essentiels d’accéder aux données utilisateur peut s’avérer coûteux financièrement. Pourtant, comme l’a récemment exprimé Michael Arrington, co-fondateur d’Arrington Capital, le coût humain de cela sera probablement bien plus élevé que les 400 millions de dollars volés. Cette affirmation semble être étayée par les incidents de plus en plus fréquents dans lesquels des influenceurs crypto ou des détenteurs de montants significatifs d’actifs crypto sont ciblés par des criminels armés.
Dans un incident récent, Festo Ivaibi, le fondateur d’une plateforme éducative sur la crypto et la blockchain basée en Ouganda, a été enlevé par des criminels se faisant passer pour des membres des forces de sécurité du pays. Pendant l’épreuve, Ivaibi a été agressé par les criminels qui semblaient être au courant qu’il possédait une quantité substantielle de crypto dans son portefeuille Binance. Le fondateur a finalement perdu 500 000 dollars mais a été laissé en vie pour raconter son histoire. L’attaque de Coinbase ainsi que la rencontre du fondateur africain démontrent à quel point le stockage des données sensibles des utilisateurs et ceux qui y ont accès sont cruciaux.
‘Confidentialité par Architecture, Pas Par Espoir’
Entre-temps, l’appel d’Arrington à punir, y compris par un emprisonnement des dirigeants d’entreprises qui ne gèrent pas correctement les données des utilisateurs, montre les difficultés auxquelles sont confrontées les entreprises Web3 et technologiques collectant et stockant des informations sensibles sur les clients. Le dilemme auquel sont confrontées des entreprises comme Coinbase et d’autres montre également à quel point les protections pour les entreprises Web3 sont actuellement limitées. Alors comment les entreprises peuvent-elles assurer la sécurité des systèmes d’identité Web3 ?
Selon certains experts, la solution réside dans une architecture de confidentialité modulaire qui privilégie la flexibilité et le contrôle des utilisateurs, plutôt que des modèles rigides et lourdement biométriques. Au lieu de forcer les utilisateurs à intégrer un système où leurs données biométriques sont capturées et stockées de manière centralisée, cette architecture permet des paramètres de confidentialité plus adaptables pilotés par les utilisateurs. Cela signifie que les utilisateurs peuvent choisir comment et quand vérifier des aspects de leur identité sans nécessairement révéler les données brutes et sensibles sous-jacentes.
Nanak Nihal Khalsa, co-fondateur du projet Web3 Holonym, est un partisan de cette approche. Il a déclaré à Bitcoin.com News que le KYC sans conception respectueuse de la confidentialité, en particulier à travers les preuves à connaissance zéro, est une bombe à retardement. Il a ajouté que tant que les plateformes d’échange et les plateformes conserveront des données sensibles d’utilisateurs dans des bases de données centralisées, elles créent des cibles attractives qui attirent inévitablement les attaquants. Il a expliqué pourquoi une approche modulaire est révolutionnaire.
“Une approche modulaire de l’architecture de la confidentialité change la donne. Les preuves à connaissance zéro et autres identifiants vérifiables permettent aux plateformes de respecter les exigences de conformité sans jamais stocker ni même voir les informations les plus sensibles des utilisateurs. L’identité devient une preuve, pas un fichier.”
Le co-fondateur insiste sur le fait que de telles solutions comptent de plus en plus car les données collectées par les entreprises Web3 deviennent de plus en plus personnelles. Il soutient que s’appuyer sur des données biométriques comme les empreintes digitales ou l’ADN pour l’identification pose un risque permanent : une fois compromis, contrairement aux ID gouvernementaux, ces identifiants personnels uniques ne peuvent pas être réinitialisés.
Holonym de Khalsa propose une solution d’identité numérique modulaire qui utilise des PKZ pour la confidentialité et la conformité, plutôt que des biométriques. Son protocole Human ID a, à ce jour, permis à plus de 125 000 utilisateurs pseudonymes dans 180 pays de vérifier leur personnalité sans révéler leur identité. Avec un design axé sur la confidentialité et décentralisé, Holonym vise à “apporter les droits numériques au monde”, en encourageant les sites web et même les gouvernements à adopter son protocole pour la vérification des identités. Cette approche modulaire, selon Holonym, aide à atténuer les risques de sécurité et à construire la confiance dans l’identité numérique.
Entre-temps, Khalsa a reconnu que des incidents comme la récente violation de Coinbase mettent en évidence un problème plus profond dans l’infrastructure crypto et soulignent à quel point les systèmes d’identité construits sur des architectures monolithiques centralisées sont défectueux.
“L’avenir de la conformité ne consiste pas à collecter plus de données. Il s’agit de prouver plus avec moins. Confidentialité par architecture, pas par espoir”, a déclaré le co-fondateur.
