La société de sécurité cryptographique CertiK a révélé qu’elle avait récemment découvert une vulnérabilité dans le protocole Worldcoin qui permettait à un attaquant de contourner le processus de vérification pour devenir opérateur d’orbe.
Selon CertiK, cette vulnérabilité aurait permis à n’importe qui de contourner les exigences de vérification pour devenir un opérateur Worldcoin Orb. L’individu n’aurait pas été obligé, par exemple, d’être une entreprise légitime, de se soumettre à une vérification d’identité appropriée ou de passer un entretien de contrôle.
« Dans un cas normal, seules les entreprises légitimes qui passent le processus strict de vérification de l’identité de Worldcoin peuvent mener une opération Orb, qui recueille les informations de l’iris de l’utilisateur », peut-on lire dans le fil de CertiK.
La société de sécurité a déclaré qu’elle avait signalé le problème à Worldcoin par le biais d’une procédure standard de divulgation blanche, après quoi l’équipe de sécurité du projet a confirmé la vulnérabilité et « a rapidement publié un correctif. «
1/ Le 29 mai, CertiK a signalé à l’équipe de sécurité de WorldCoin une vulnérabilité de sécurité qui pourrait potentiellement permettre à un attaquant de devenir un opérateur Orb en contournant le processus de vérification.
– CertiK (@CertiK) Le 3 août 2023
CertiK, à son tour, aurait vérifié et confirmé que le correctif atténuait la menace. L’entreprise de sécurité a ajouté qu’elle rendrait publics « à l’avenir » les détails de la découverte et la manière dont la vulnérabilité a été atténuée.
« Le 29 mai, l’équipe de sécurité de CertiK a signalé à Worldcoin un bogue qui pourrait permettre à un attaquant de créer un compte opérateur inactif », a déclaré un porte-parole de Worldcoin à TCN. « Le bogue n’a pas permis à quiconque de contourner l’examen manuel pour l’établissement d’un compte d’opérateur et à aucun moment l’accès aux orbes ou aux données n’a été autorisé par le biais du bogue. L’équipe de sécurité de Worldcoin a reconnu et corrigé le problème dans les 24 heures suivant la réception des informations de CertiK et a vérifié qu’il n’y avait pas eu d’abus. »
Il convient de noter que la révélation de CertiK intervient une semaine après la publication par Worldcoin d’un rapport sur les audits de sécurité du protocole Worldcoin réalisés par les cabinets d’audit Nethermind et Least Authority.
Ces audits ont porté sur un grand nombre de domaines, notamment les vulnérabilités du code conduisant à des actions adverses et à d’autres attaques, ainsi que la protection contre les attaques malveillantes et d’autres méthodes d’exploitation.
L’audit Nethermind a mis en évidence 26 éléments au cours de son évaluation de la sécurité, dont 24 ont été corrigés après l’étape de vérification, un a été atténué et le dernier a fait l’objet d’un accusé de réception.
Least Authority a identifié trois problèmes dans le protocole et a proposé six suggestions, qui ont toutes été résolues ou dont la résolution est prévue, selon Worldcoin.
Concernations autour du Worldcoin
Lancé au début de cet été, Worldcoin est un projet cryptographique visant à établir une nouvelle identité mondiale et un réseau financier centré sur les scanners de l’iris.
L’entreprise affirme que ces World IDs seront essentiels à mesure que l’intelligence artificielle gagnera en influence, permettant aux humains de prouver qu’ils ne sont pas des robots.
Pour participer à ce réseau, les individus doivent faire scanner leur iris à l’aide d’un appareil appelé Orb. Les utilisateurs sont récompensés par le jeton WLD du projet en échange de leur scan de l’iris.
Le projet a suscité plusieurs inquiétudes concernant la confidentialité et la sécurité des données. Ses détracteurs, dont le célèbre lanceur d’alerte Edward Snowden et le cofondateur d’Ethereum Vitalik Buterin, estiment que Worldcoin pourrait collecter une quantité excessive de données personnelles, qui pourraient être utilisées à des fins malveillantes.
Comme l’a souligné Buterin dans son récent billet de blog, les Orbs sont des dispositifs matériels dans lesquels des portes dérobées pourraient être installées dans le système, permettant ainsi à des fabricants malveillants de créer de multiples fausses identités humaines.
La MIT Technology Review a également accusé Worldcoin de se livrer à des pratiques commerciales trompeuses et de collecter un plus grand nombre de données personnelles que ce qui avait été initialement annoncé.
En réponse à ces préoccupations, Worldcoin a affirmé son engagement à protéger la vie privée des utilisateurs.
Le site web de la société indique que le projet « est entièrement conforme à toutes les lois et réglementations régissant la collecte et le transfert de données biométriques, y compris le Règlement général sur la protection des données (« RGPD ») de l’Europe ».
La société a ajouté que « la Worldcoin Foundation et son contributeur Tools for Humanity n’ont jamais vendu et ne vendront jamais de données personnelles. «
