La plateforme blockchain décentralisée Aleo, qui se concentre sur la cryptographie à connaissance nulle (zero-knowledge ou zk), a récemment été confrontée à une situation préoccupante. Des documents relatifs à la vérification de l’identité des utilisateurs (KYC) ont été divulgués, soulevant des inquiétudes quant à la sécurité des données personnelles. Pour prétendre à une récompense sur Aleo, les utilisateurs doivent se soumettre à des procédures KYC/AML et passer un contrôle de l’Office of Foreign Assets Control (OFAC), conformément aux politiques internes d’Aleo. Cette démarche s’effectue lors de l’inscription sur HackerOne, un protocole tiers chargé de collecter les données KYC non chiffrées des utilisateurs.
Un utilisateur anonyme du nom de @0xemirsoyturk a signalé avoir reçu par erreur dans son courriel des documents KYC appartenant à une autre personne, incluant des selfies et des photos de cartes d’identité. Cela a suscité des préoccupations concernant la protection de ses propres informations. Un autre utilisateur, @Selim_jpeg, a confirmé cet incident en déclarant avoir également reçu les documents KYC d’un autre individu par courriel.
Les plateformes blockchain axées sur la confidentialité
Les plateformes blockchain de couche 1 qui privilégient le zero-knowledge se concentrent sur l’amélioration de la confidentialité et de la sécurité pour leurs utilisateurs. Elles emploient des techniques cryptographiques de preuve à connaissance nulle pour permettre les transactions sans révéler de détails spécifiques, garantissant ainsi la confidentialité. Cette approche centrée sur la vie privée rend difficile pour des parties externes le traçage ou l’accès à des informations sensibles, offrant aux utilisateurs un contrôle accru sur leurs données. Ces plateformes cherchent à renforcer la confidentialité dans les transactions blockchain, les rendant plus sécurisées et confidentielles pour les participants.
Mike Sarvodaya, fondateur de Galactica, une infrastructure blockchain de couche 1, a expliqué qu’un tel protocole ne devrait jamais théoriquement permettre l’accès aux données utilisateur. Il a commenté : “C’est ironique qu’un protocole pour la confidentialité programmable utilise un tiers pour collecter les données KYC non chiffrées des utilisateurs qui fuient ensuite vers le public. Apparemment, lorsque votre pile zk est si avancée, vous pourriez juste oublier comment pratiquer l’opsec de base.”
La sécurité des données sensibles
Selon Sarvodaya, le cas d’Aleo souligne ironiquement l’importance de créer des systèmes de stockage et de preuve pour des données sensibles – comme les informations personnellement identifiables (PII) – basés sur la connaissance nulle ou le chiffrement homomorphe complet (FHE). Dans ces systèmes, les règles du protocole doivent garantir qu’aucune partie unique ne puisse révéler les données stockées.
L’Aleo mainnet est prévu pour être lancé dans les prochaines semaines, une fois que certains bugs finaux auront été résolus, pour apporter plus de confidentialité aux transactions crypto, comme l’a déclaré Alex Pruden, directeur exécutif de la Fondation Aleo, dans une interview avec The Block.
Conclusion
En tant qu’experts en cryptographie et passionnés du domaine blockchain, nous suivons attentivement ce genre d’événements qui mettent en lumière la nécessité d’une sécurité accrue dans le monde numérique. Il est essentiel que les plateformes telles qu’Aleo prennent au sérieux la protection des données personnelles et mettent en place des mesures robustes pour éviter toute fuite d’informations. La technologie à connaissance nulle offre un potentiel considérable pour améliorer la confidentialité dans l’espace blockchain, mais elle doit être appliquée avec rigueur et précision pour garantir la confiance des utilisateurs.
Sur cours-crypto.fr, nous continuerons à vous tenir informés sur les derniers développements dans ce domaine et à partager notre analyse sur l’impact de ces technologies émergentes.