Le protocole de preuve d'humanité Worldcoin a publié ses rapports d'audit le 28 juillet, alors que les critiques sur ses pratiques en matière de collecte de données ne cessent de se multiplier. Les nouveaux rapports ont été réalisés par les sociétés de conseil en sécurité Nethermind et Least Authority.
Selon un communiqué de Worldcoin, Nethermind a découvert 26 problèmes de sécurité dans le protocole, dont 24 ont été « identifiés comme corrigés » au cours de la phase de vérification, tandis qu'un autre a été atténué et qu'un autre encore a été reconnu.
Least Authority a découvert trois problèmes et fait six suggestions, qui ont toutes été résolues ou dont la résolution est prévue, selon l'annonce.
Learn more about the results of two separate security audits of the Worldcoin protocol, performed by @NethermindEth & @LeastAuthority.https://t.co/fXa50wNBYE
— Worldcoin (@worldcoin) July 28, 2023
En savoir plus sur les résultats de deux audits de sécurité distincts du protocole Worldcoin, réalisés par @NethermindEth & @LeastAuthority.https://t.co/fXa50wNBYE- Worldcoin (@worldcoin) 28 juillet 2023
Worldcoin s'est fait connaître en 2021 en annonçant qu'il offrirait des tokens gratuits à tous les utilisateurs qui vérifieraient leur humanité, ce qu'ils pourraient faire en faisant scanner leur iris par un appareil appelé « Orb ». Le projet a été cofondé par Sam Altman, cofondateur du développeur d'IA OpenAI.
À l'époque, Altman et d'autres membres de l'équipe estimaient que les robots d'Intelligence Artificielle deviendraient un problème croissant sur internet si les gens ne trouvaient pas un moyen de vérifier leur humanité sans renoncer à leur vie privée. Selon la documentation du protocole, l'Orb produit un hachage du scan de l'iris de l'utilisateur, mais n'en conserve pas de copie.
À lire également : Worldcoin confirme qu'il est à l'origine des mystérieux déploiements de Safe

Le lancement public de Worldcoin a eu lieu le 25 juillet, après près de deux ans de développement et de tests bêta. Mais les critiques ont fusé presque immédiatement. L'Information Commissioner's Office (ICO) du Royaume-Uni aurait déclaré que l'organisme gouvernemental était en train de décider s'il fallait enquêter sur le projet pour violation des lois nationales sur la protection des données. L'agence française de protection des données (CNIL) a également remis en question la légalité de Worldcoin.
La communauté crypto était divisée sur le lancement du projet, certains participants y voyant le début d'un avenir dystopique où la vie privée serait éliminée. D'autres, au contraire, y voient une étape nécessaire pour protéger les humains contre les IA malveillantes.
Les nouveaux rapports d'audit couvrent un large éventail de sujets liés à la sécurité, notamment la résistance aux attaques DDoS, les erreurs de mise en œuvre spécifiques, le stockage des clés et la gestion adéquate du chiffrement et de la signature des clés, les fuites de données et l'intégrité des informations, entre autres. Certains problèmes constatés résultent de dépendances avec Semaphore et Ethereum, notamment « la prise en charge de la précompilation de la courbe elliptique ou la configuration de la fonction de hachage Poséidon », indique l'annonce.
Tous les problèmes, à l'exception d'un seul, ont été corrigés, atténués ou font l'objet de correctifs planifiés. Le problème de sécurité qui n'a pas été résolu au moment de la vérification a une gravité « indéterminée » et est répertorié comme « reconnu ».