C'est à la fois une monnaie mondiale, un identifiant mondial et un portefeuille. Débuté il y a plus de trois ans, le projet Worldcoin est, depuis une semaine, déployé progressivement dans le monde. Bien évidemment, son entrée dans les sphères technologique et crypto n'est pas passée inaperçue, et pour cause. Ses fondateurs nourrissent de grandes ambitions : « Créer une nouvelle identité et un réseau financier appartenant à tout le monde » indiquent Alex Blania et Sam Altman, à l'origine du projet. Si l’un des noms n’évoque rien au premier abord, le nom de Sam Altman est en revanche bien connu. Il s’agit du fondateur d’OpenAI, entreprise à l’origine de ChatGPT, le célèbre agent conversationnel. Dans les faits, Worldcoin - dirigé par Tools For Humanity, société technologique à but lucratif qui dirige son développement - se compose d'une identité numérique (World ID) et, lorsque les lois le permettent, d'une monnaie numérique (WLD).
Pour ce faire, il faut passer par un dispositif de vérification biométrique baptisé Orb et introduit par Worldcoin permettant de recevoir une carte d'identité mondiale. « Cela vous permet de prouver que vous êtes une personne réelle et unique en ligne, tout en restant totalement privé » promettent les fondateurs. À l’issue de ce scan d’iris, les utilisateurs accèdent à une identification numérique et, dans certains pays, à une crypto-monnaie gratuite. Pour rappel, 1,5 million d’Orbes ont été déployés pour l’heure afin de « répondre à la demande mondiale de World ID » affirme Worldcoin et ce dans près de 35 villes dans une vingtaine de pays. La disponibilité de ces orbes doit « multiplier par cinq la capacité d'inscription dans le monde et proposera à des millions de personnes supplémentaires de rejoindre les 2 millions qui se sont déjà inscrits à World ID ». En Espagne, « où plus de 150 000 personnes ont déjà vérifié leur identité, le projet va multiplier par trois ses opérations existantes dans les mois à venir » prétend la société.
Worldcoin a déjà mis à disposition environ 1,5 million d'Orb dans une vingtaine de pays. (Crédit : Worldcoin)
Les régulateurs français et britannique montent au créneau
Toutefois, ce dispositif pose certains problèmes relatifs à la protection de la vie privée et aux données personnelles. Selon le RGPD, les données biométriques utilisées à des fins d'identification – comme dans ce cas présent – sont en effet classées comme des « données de catégorie spéciale ». Ce type d'information (très sensibles) est donc soumis aux règles les plus strictes en matière de traitement légal. Ce qui n'a pas manqué de faire réagir. Il a fallu à peine une semaine pour que les organismes chargés de la surveillance de la vie privée s'expriment. Reuters rapporte ainsi que la Cnil a ainsi déclaré ce 28 juillet être au courant du projet Worldcoin du fondateur de ChatGPT et que « la légalité de cette collecte semble discutable, tout comme les conditions de stockage des données biométriques ». En ce sens, la Cnil a ouvert des enquêtes qui ont par la suite révélé que l'autorité de l'État bavarois en Allemagne était compétente (du fait, vraisemblablement, que Worldcoin avait une filiale dans le Länder allemand). L'autorité bavaroise mène depuis l'enquête, avec le soutien de la Cnil, a ajouté le régulateur.
De son côté, le régulateur britannique des données - l'Information Commissions Office (ICO) – a annoncé mardi qu'il examinerait Worldcoin. « Nous notons le lancement de WorldCoin au Royaume-Uni et ferons de nouvelles enquêtes », a déclaré à Reuters un porte-parole du bureau du commissaire à l'information. Les entreprises « doivent disposer d'une base légale claire pour traiter les données personnelles. Lorsqu'elles s'appuient sur le consentement, celui-ci doit être donné librement et pouvoir être retiré sans préjudice » a ajouté le régulateur.
Un rapport d’audit de sécurité comme preuve de bonne foi
« Worldcoin est un protocole basé sur la blockchain qui comprend à la fois des composants hors chaîne et en chaîne et est basé sur Semaphore du groupe Ethereum PSE » détaille Worldcoin dans un billet de blog. Pour assurer de sa volonté de bien faire, deux audits de sécurité distincts du protocole Worldcoin ont été menés à partir d'avril 2023 par les cabinets d'audit Nethermind et Least Authority. Les analyses ont porté sur plusieurs points, à savoir : l’exactitude de la mise en œuvre, y compris les constructions cryptographiques et primitives et l'utilisation appropriée des constructions de contrats intelligents ; les erreurs de mise en œuvre courantes et spécifiques à chaque cas ; les actions contradictoires et autres attaques contre le code ; le stockage sécurisé des clés et bonne gestion des clés de chiffrement et de signature. Une attention particulière a été portée à l’exposition de toute information critique lors des interactions de l'utilisateur ; la résistance aux DDoS (déni de service distribué) et attaques similaires ; les vulnérabilités dans le code menant à des actions contradictoires et autres attaques ; la protection contre les attaques malveillantes et autres méthodes d'exploitation ; la confidentialité des données, fuite de données et intégrité des informations ou encore les autorisations inappropriées, élévation des privilèges et autorité excessive.
De l’évaluation de sécurité réalisée par Nethermind, il en ressort que 92,6 % (soit 24) des éléments apparus lors de cette évaluation ont été identifiés comme corrigés après l'étape de vérification, tandis qu'un a été atténué et le dernier a été reconnu. L'équipe de Least Authority a pour sa part identifié trois problèmes et proposé six suggestions, qui ont toutes été résolues ou en cours de résolution, affirme Worldcoin. Et si la carte de l’audit de sécurité peut paraître suffisante pour rassurer certains utilisateurs, d’autres attendront sûrement les résultats des différentes enquêtes menées par les régulateurs chargés de la protection des données personnelles.