Web3 connaît une croissance explosive, avec une augmentation notable des DApps et des portefeuilles, atteignant des sommets dans la finance décentralisée. Cependant, la sécurité des données est en péril, en raison des métadonnées vulnérables et de la surveillance accrue. Les transactions sur la blockchain, bien que pseudonymes, ne garantissent pas l’anonymat, rendant les utilisateurs exposés aux fraudes et aux fuites d’informations. Des solutions doivent être mises en place pour protéger la vie privée et sécuriser les données dans cet écosystème en évolution.
Analyse par : Casey Ford, PhD, chercheur chez Nym Technologies
Web3 a émergé avec la promesse de la décentralisation, et les chiffres parlent d’eux-mêmes : en 2024, les applications décentralisées (DApps) ont connu une hausse de 74 %, tandis que le nombre de portefeuilles individuels a explosé de 485 %. La valeur totale verrouillée (TVL) dans la finance décentralisée (DeFi) a atteint près de 214 milliards de dollars, flirtant avec des niveaux records. Cependant, l’industrie doit se réveiller pour éviter un état de capture.
Alors qu’Elon Musk a proposé l’idée controversée de mettre le Trésor américain sur la blockchain, les temps changent rapidement, surtout avec la déréglementation croissante de la crypto. La question se pose alors : Web3 est-il prêt à « protéger les données des utilisateurs », comme le suggèrent certains des représentants de Musk ? Si ce n’est pas le cas, nous pourrions nous retrouver face à une crise mondiale de la sécurité des données.
Cette crise découle d’une vulnérabilité fondamentale dans notre monde numérique : la surveillance des métadonnées à travers tous les réseaux, y compris ceux de Web3. Les technologies d’intelligence artificielle (IA) alimentent désormais ces systèmes de surveillance, les rendant encore plus efficaces. Les réseaux d’anonymat pourraient nous offrir une échappatoire, mais cela commence par la nécessité de renforcer les protections des métadonnées dans chaque domaine.
Les métadonnées : une nouvelle ère de surveillance
Les métadonnées représentent la ressource souvent négligée de la surveillance par IA. En comparaison avec les données de contenu, les métadonnées sont légères et se prêtent à un traitement de masse. C’est dans ce domaine que les systèmes d’IA brillent. Les métadonnées agrégées peuvent révéler bien plus que de simples contenus cryptés : elles peuvent dévoiler des comportements, des réseaux sociaux, des préférences personnelles et, finalement, rendre nos actions prévisibles. Sur le plan légal, ces métadonnées ne bénéficient pas de la même protection que celle accordée aux communications cryptées de bout en bout (E2E) dans certaines régions.
Bien que les métadonnées soient inhérentes à tous les actifs numériques, celles qui s’échappent du trafic E2E crypté nous rendent vulnérables : adresses IP, horodatages, tailles de paquets, formats de cryptage et spécifications de portefeuille. Tout cela est facilement accessible pour les adversaires surveillant un réseau. Les transactions sur la blockchain ne sont pas exemptes de cette réalité.
De ce flux d’informations numériques peut émerger une mine d’or de données détaillées sur nos activités. Les métadonnées représentent notre inconscient numérique, et elles sont à la merci de toutes les machines capables de les exploiter à des fins lucratives.
Les défis inhérents à la blockchain
À l’origine, la protection des métadonnées de transaction n’était pas une priorité pour la technologie blockchain. Bien que souvent associée à l’anonymat, la crypto en réalité offre plutôt une pseudonymie, permettant aux utilisateurs de détenir des jetons dans un portefeuille sous un nom choisi.
Dernières nouvelles : Comment tokeniser des actifs du monde réel sur Bitcoin
Les chercheurs Harry Halpin et Ania Piotrowska ont mis en lumière cette problématique :
“La nature publique du registre des transactions de Bitcoin […] signifie que quiconque peut observer le flux de pièces. Les adresses pseudonymes ne fournissent aucun niveau significatif d’anonymat, car il est possible de collecter les adresses des contreparties de chaque transaction et de reconstruire la chaîne des transactions.”
Étant donné que toutes les transactions sur la chaîne sont publiques, quiconque exécutant un nœud complet peut observer l’activité de manière exhaustive. De plus, des métadonnées comme les adresses IP associées à des portefeuilles pseudonymes peuvent être exploitées pour identifier les emplacements et les identités des utilisateurs si les technologies de suivi sont suffisamment avancées.
Ce qui pose un problème majeur concernant la surveillance des métadonnées dans l’économie blockchain : les systèmes de surveillance peuvent dé-anonymiser notre trafic financier, et ce, par toute partie ayant accès.
La connaissance, source d’insécurité
La connaissance n’est pas seulement un pouvoir, mais également un outil d’exploitation et de désarmement. Dans le cadre de Web3, trois grands risques sont associés aux métadonnées.
-
Fraude : L’insécurité financière et la surveillance sont intrinsèquement liées. Les hacks, vols et escroqueries dépendent souvent des informations accumulées sur une cible : ses actifs, son historique de transactions et son identité. DappRadar a estimé une perte de 1,3 milliard de dollars liée à des « hacks et exploits », notamment des attaques de phishing, rien qu’en 2024.
-
Fuites : Les portefeuilles permettant d’accéder à la tokenomique décentralisée reposent sur des infrastructures centralisées qui peuvent fuir des informations. Des études sur les DApps et les portefeuilles ont révélé des fuites d’adresses IP. Les infrastructures actuelles ne favorisent pas la protection de la vie privée des utilisateurs, permettant aux sites web de les identifier. La pseudonymie devient donc presque inutile si les identités et les modèles de transactions peuvent être facilement exposés par les métadonnées.
-
Consensus de chaîne : Le consensus de chaîne peut représenter un point d’attaque. Un exemple est la récente initiative de Celestia visant à ajouter une couche d’anonymat pour obscurcir les métadonnées des validateurs, afin de prévenir des attaques ciblant le consensus de chaîne lors du processus d’échantillonnage de disponibilité des données (DAS).