Il y a quelques jours, ConsenSys a mis à jour son Données privées, dans lequel se trouve un paragraphe dédié au portefeuille MetaMask et à la politique de connexion.
Le portefeuille MetaMask et la nouvelle politique de connexion
MetaMask est de loin l'un des portefeuilles les plus utilisés pour Ethereum dans le monde, avec plus de 21 millions d'utilisateurs actifs par mois, en partie parce qu'il fonctionne avec une extension de navigateur qui permet au portefeuille crypto d'être facilement et rapidement lié à de nombreux sites Web.
ConsenSys Software Inc. est précisément la société qui produit et publie ce portefeuille, ses déclarations à ce sujet sont donc officielles.
MetaMask permet aux utilisateurs de stocker et de gérer leurs clés privées, il s'agit donc d'un portefeuille non dépositaire. Il est évidemment utilisé pour recevoir et envoyer des crypto-monnaies et des jetons basés sur Ethereum, avec la particularité qu'il peut être facilement connecté à divers sites Web et applications décentralisés.
De cette manière, cela permet non seulement d'effectuer des transactions de manière très simple, mais permet également aux sites Web et aux dApps eux-mêmes d'authentifier l'utilisateur sur les contrats intelligents, bien que de manière anonyme.
L'un des reproches qui ont toujours été adressés à cette solution réside justement dans la gestion des données des utilisateurs.
Bien qu'en théorie, le portefeuille non dépositaire devrait laisser à l'utilisateur le contrôle total et exclusif de ses données, garantissant un bon niveau de confidentialité, en réalité, il pourrait potentiellement collecter et partager des informations avec des tiers qui pourraient rendre les utilisateurs identifiables.
L'enregistrement des adresses IP lors de la connexion à l'aide du portefeuille MetaMask
Par conséquent, l'enregistrement de l'adresse IP de l'utilisateur ne fait qu'augmenter les critiques à cet égard.
Le paragraphe de la nouvelle politique de confidentialité de ConsenSys indique que lors de l'utilisation d'Infura comme fournisseur RPC par défaut dans MetaMask, Infura collectera les adresses IP des utilisateurs et les adresses de portefeuille Ethereum lors de l'envoi d'une transaction.
Ceux qui ne souhaitent pas que ces données soient collectées ont la possibilité d'utiliser un fournisseur RPC tiers ou leur propre nœud Ethereum. Cependant, ConsenSys avertit que d'autres fournisseurs RPC collectent également ces informations.
Il convient de noter que le fournisseur Infura RPC est développé par ConsenSys lui-même et est le fournisseur par défaut dans MetaMask.
Ainsi, par défaut, ConsenSys collectera les adresses IP des utilisateurs de MetaMask lorsqu'ils effectueront une transaction, offrant comme alternative uniquement le choix explicite d'un autre fournisseur RPC mais sans indiquer lesquels ne collectent pas les IP des utilisateurs.
Autres informations collectées
La nouvelle page de politique de confidentialité de ConsenSys répertorie également d'autres informations collectées, bien que celles-ci soient répertoriées dans des paragraphes différents de celui dédié à MetaMask.
Certaines de ces informations sont directement et explicitement demandées à l'utilisateur, qui peuvent inclure le nom et le prénom, la date de naissance, l'adresse postale, l'adresse e-mail, le numéro de téléphone, etc.
D'autres, cependant, sont collectés par défaut lorsque vous utilisez d'autres services ConsenSys, comme par exemple Codefi collecte également votre pays et lieu de naissance, nationalité, numéro de sécurité sociale, employeur, profession, pièce d'identité et autres informations nécessaires pour se conformer à la loi anti-argent. les lois sur le blanchiment d'argent (AML) et les exigences KYC.
Cependant, ConsenSys sur cette page rend toutes ces informations publiques et explicites, afin que les utilisateurs puissent être bien informés des données qu'ils transmettent à l'entreprise.
ConsenSys est à toutes fins utiles une société privée, fondée en 2014 par Joseph Lubin, basée à New York. Elle compte plus de 500 employés et aucune donnée sur l'actionnariat ou les revenus n'est accessible au public.
Infura
Les portefeuilles comme MetaMask ne contiennent pas de Ethereum nœud à l'intérieur d'eux. Ils doivent donc se connecter à des nœuds externes pour fonctionner.
Par défaut, le fournisseur RPC (Remote Procedure Call) qu'ils utilisent est Infura, qui gère à la place les nœuds de la blockchain. Lorsque quelqu'un effectue une transaction sur MetaMask, il se connecte à Infura, qui transmet la transaction à la blockchain Ethereum. La connexion est établie via le "Remote Procedure Call", qui envoie à Infura toutes les données afin qu'il puisse transmettre la transaction au réseau Ethereum.
Lors de l'installation de MetaMask, le fournisseur RPC prédéfini est précisément Infura, donc si l'utilisateur ne le change pas, son adresse IP sera enregistrée lorsqu'il enverra une transaction.
Cependant, d'autres fournisseurs RPC sont également disponibles auxquels les utilisateurs peuvent connecter MetaMask afin de ne pas utiliser Infura. Cependant, il faut faire preuve de prudence car il n'est pas certain que d'autres fournisseurs RPC soient réellement meilleurs.
Les risques
Le plus grand risque à ce stade est que ses transactions en chaîne soient reconnaissables.
Toutes les données de transaction en chaîne sur Ethereum sont publiques et en texte brut, y compris l'adresse du portefeuille de l'expéditeur. Cependant, il s'agit de données anonymes, à partir desquelles il devrait être très difficile de retracer l'identité du propriétaire du portefeuille.
L'enregistrement IP en chaîne réduit cette difficulté, ce qui facilite un peu l'identification du propriétaire.
À vrai dire, ConsenSys dispose de pas mal de données pour identifier les utilisateurs, bien qu'avec la simple utilisation de MetaMask, cette identification puisse encore être difficile. Cependant, si d'autres outils, tels que Codefi, sont également utilisés, l'identification devient beaucoup plus facile.
Néanmoins, les informations collectées par ConsenSys sur ses utilisateurs ne sont pas rendues publiques, et seules certaines données anonymes sont enregistrées sur la blockchain.
Enfin, il convient d'ajouter qu'en réalité de nombreux utilisateurs qui souhaitent conserver un haut niveau d'anonymat utilisent déjà des outils pour masquer ou modifier leur IP, tels que les soi-disant VPN, donc même dans le cas où le fournisseur RPC enregistre ces données, il est presque impossible de l'utiliser pour identifier le propriétaire du portefeuille.
Source : https://en.cryptonomist.ch/2022/11/25/metamask-wallet-ips-login/