Vitalik : Réflexions sur Worldcoin et la preuve d'identité biométrique
TechFlow SélectionTechFlow Sélection
Vitalik : Réflexions sur Worldcoin et la preuve d'identité biométrique
En principe, le concept de preuve d'identité humaine semble très précieux, bien que diverses mises en œuvre comportent des risques.
Dédié à des analyses Web3 approfondiesRédaction : Vitalik Buterin
Traduction : Huohuo, Baihua Blockchain
Aujourd'hui, WorldCoin, le projet Web3 cryptographique cofondé par Sam Altman, fondateur d'OpenAI, a officiellement été lancé. Selon les informations, l'équipe de WorldCoin a conçu un système de vérification d'identité biométrique appelé « World ID », utilisant un scanner oculaire nommé « Orb », qui authentifie l'identité des utilisateurs par la numérisation de leurs iris.
Le même jour, Vitalik Buterin, créateur d'Ethereum, a publié un article intitulé « What do I think about biometric proof of personhood? » (Qu'en pensez-vous de la preuve biométrique d'humanité ?), exposant son point de vue sur cette question. Voici la traduction intégrale :
Au sein de la communauté Ethereum, des efforts ont été faits pour construire une solution décentralisée à la « Proof of Humanity » (preuve d’humanité), un problème difficile mais précieux. La Proof of Humanity est une forme limitée d’identité dans le monde réel permettant de s’assurer qu’un compte enregistré donné est bien contrôlé par un être humain (et différent de tout autre compte enregistré), idéalement sans révéler quelle personne réelle il s’agit.
De nombreuses tentatives ont déjà été faites pour résoudre ce problème : BrightID, Idena et Circles en sont des exemples emblématiques. Certains incluent des applications spécifiques (généralement des jetons UBI), tandis que d'autres ont trouvé leur place dans Gitcoin Passport, afin de valider quels comptes sont éligibles au vote quadratique. Les technologies basées sur la preuve à divulgation nulle de connaissance (ZK), comme Sismo, ajoutent davantage de confidentialité à ces solutions.
Jusqu’à présent, nous assistons à l’émergence d’un projet Proof of Humanity plus grand et plus ambitieux : Worldcoin.
Fondé par Sam Altman, auparavant connu comme PDG d’OpenAI, l’idée derrière ce projet est simple : l’IA générera une grande richesse pour l’humanité, mais pourrait aussi supprimer de nombreux emplois, rendant progressivement impossible de distinguer les humains des robots. Il faut donc combler cette faille en :
(1) Créant un excellent système de preuve d’identité humaine, permettant aux individus de prouver qu’ils sont bien des êtres humains ;
(2) Offrant un revenu universel de base (UBI) à chaque personne. Ce qui distingue Worldcoin, c’est sa dépendance à une technologie biométrique très sophistiquée, utilisant un matériel spécialisé appelé « the Orb » pour scanner l’iris de chaque utilisateur.
L’objectif est de produire massivement ces sphères et de les distribuer largement à travers le monde, en les plaçant dans des lieux publics, afin que chacun puisse facilement obtenir son identifiant personnel.
À noter que Worldcoin s’engage également vers une décentralisation. Cela signifie une décentralisation technologique — utilisant la pile Optimism pour devenir une couche 2 sur Ethereum, combinée à des ZK-SNARK et d’autres techniques cryptographiques pour protéger la vie privée des utilisateurs — ainsi qu’une gouvernance décentralisée du système lui-même.
Worldcoin a été critiqué pour les questions liées à la confidentialité et à la sécurité de « l’Orb », pour la conception de son « jeton », ainsi que pour certains choix moraux de l’entreprise. En réalité, le projet Worldcoin continue d’évoluer. Cependant, d’autres soulèvent des préoccupations plus fondamentales : la reconnaissance biométrique — non seulement celle utilisant la numérisation oculaire de Worldcoin, mais aussi les méthodes plus simples comme les vidéos faciales ou les mini-jeux de validation utilisés dans Proof of Humanity et Idena — peut-elle vraiment être acceptée par le grand public ?
Il existe effectivement de nombreuses critiques, notamment les risques inévitables de fuites de données privées, l’érosion croissante de la capacité des individus à naviguer anonymement sur Internet, la coercition par des gouvernements autoritaires, ou encore les difficultés de garantir la sécurité tout en restant décentralisé.
Cet article abordera ces questions et présentera plusieurs arguments pour vous aider à décider si, oui ou non, il est judicieux de scanner vos yeux devant cet outil sphérique. Faut-il abandonner le développement de la Proof of Humanity ? Quelles alternatives existent ?
01 Qu'est-ce que la Proof of Humanity et pourquoi est-elle importante ?
La Proof of Humanity est précieuse car elle résout le problème actuel de concentration du pouvoir sur Internet, évite la dépendance à des entités centrales, et limite autant que possible la divulgation d’informations personnelles. Sans solution à la Proof of Humanity, la gouvernance décentralisée (y compris les votes sur les publications sociales, une forme de « micro-gouvernance ») reste illusoire.
Les principales applications mondiales actuelles traitent ce problème en utilisant des systèmes d’identité soutenus par les gouvernements (cartes d’identité, passeports). Certes, cela fonctionne, mais au prix d’un sacrifice massif et inacceptable en matière de confidentialité.
Les deux risques auxquels sont confrontés nos systèmes actuels de preuve d’humanité
Dans de nombreux projets de preuve d’humanité — pas uniquement Worldcoin, mais aussi Circles — une règle intégrée dans l’application principale (appelée « flagship application ») consiste à attribuer un « jeton par personne » (aussi appelé « jeton UBI »). Chaque utilisateur inscrit reçoit quotidiennement (ou horairement, hebdomadairement) une quantité fixe de jetons. De nombreuses autres applications sont possibles :
- Mécanisme d’airdrop pour la distribution de jetons ;
- Conditions préférentielles pour l’achat de jetons ou NFT destinés aux utilisateurs moins aisés ;
- Vote dans les DAO ;
- Vote quadratique (paiement en argent ou en attention) ;
- Prévention des robots/fraudes Sybil sur les réseaux sociaux ;
- Alternative aux CAPTCHA contre les attaques DoS.
L’objectif commun est de créer des mécanismes ouverts et démocratiques, évitant le contrôle centralisé par les opérateurs de projet ou la domination des utilisateurs riches. Ce dernier point est particulièrement crucial pour la gouvernance décentralisée.
Face à cela, les solutions actuelles reposent sur :
(1) Des algorithmes d’intelligence artificielle hautement opaques ;
(2) Des identifiants centralisés, appelés « KYC ».
Par conséquent, une solution efficace de preuve d’identité serait bien meilleure, offrant les propriétés de sécurité requises par ces applications, sans les défauts inhérents aux méthodes centralisées existantes.
02 Quelles étaient les premières tentatives de preuve d’identité sur Internet ?
Il existe deux formes principales de preuve d’identité humaine : le graphe social et la biométrie.
La preuve d’humanité basée sur le graphe social repose sur une forme de parrainage : si Alice, Bob, Charlie et David sont tous des humains vérifiés, et qu’ils affirment tous qu’Emily est un humain vérifié, alors Emily est probablement elle aussi un humain vérifié.
Le parrainage est souvent renforcé par des incitations : si Alice affirme qu’Emily est humaine, mais qu’il s’avère que ce n’est pas le cas, alors Alice et Emily pourraient toutes deux être sanctionnées. La preuve biométrique de l’humanité consiste à vérifier certaines caractéristiques corporelles ou comportementales d’Emily, permettant de distinguer les humains des robots (et les humains entre eux). La plupart des projets combinent ces deux techniques.
Les quatre systèmes mentionnés en début d’article fonctionnent approximativement comme suit :
(1) Proof of Humanity : Vous téléversez une vidéo de vous-même et déposez une caution. Pour être approuvé, des utilisateurs existants doivent vous parrainer, et d’autres peuvent contester votre inscription pendant une période donnée. En cas de contestation, la cour décentralisée Kleros examine la vidéo ; si elle est fausse, la caution est perdue et le contestataire est récompensé.
(2) BrightID : Vous participez à des « soirées de vérification » via visioconférence avec d’autres utilisateurs, où chacun se vérifie mutuellement. Un niveau de vérification supérieur (Bitu) est possible : si suffisamment d’utilisateurs Bitu vous parrainent, vous êtes validé.
(3) Idena : À un moment précis, vous jouez à un jeu de type captcha (pour empêcher les participations multiples). Une partie du jeu consiste à créer et valider des captchas, utilisés ensuite pour vérifier d’autres personnes.
(4) Circles : Des utilisateurs existants de Circles vous parrainent. Ce qui distingue Circles, c’est qu’il ne cherche pas à créer une « identité globalement vérifiable » ; au contraire, il construit un graphe de relations de confiance, où la crédibilité d’une personne ne peut être vérifiée qu’à partir de votre propre position dans ce graphe.
03 Comment fonctionne Worldcoin ?
Chaque utilisateur de Worldcoin installe une application sur son téléphone, générant une clé privée et une clé publique, comme un portefeuille Ethereum. Ensuite, il se rend physiquement auprès d’un « Orb ». L'utilisateur regarde la caméra de l'Orb tout en présentant un code QR généré par l'application Worldcoin, contenant sa clé publique. L’Orb scanne l’œil de l’utilisateur et utilise un matériel complexe combiné à un classificateur d’apprentissage automatique pour vérifier :
(1) Si l’utilisateur est bien un humain ;
(2) Que l’iris de l’utilisateur ne correspond à aucun autre iris déjà enregistré dans le système.
Si les deux vérifications réussissent, l’Orb signe un message approuvant le hachage spécifique dérivé de l’iris de l’utilisateur. Ce hachage est envoyé vers une base de données — actuellement un serveur centralisé, mais prévu pour être remplacé par un système décentralisé sur chaîne une fois le mécanisme validé. Le système n’enregistre pas l’intégralité du scan d’iris ; il stocke uniquement un hachage utilisé pour vérifier l’unicité. À partir de là, l’utilisateur obtient un « World ID ».
Un détenteur de World ID peut prouver qu’il possède la clé privée correspondant à une clé publique dans la base de données, en générant un ZK-SNARK, sans révéler laquelle. Ainsi, même si quelqu’un re-scanne votre iris, il ne pourra pas voir vos actions passées.
04 Quels sont les principaux problèmes du projet Worldcoin ?
Quatre risques majeurs sont généralement soulevés :
(1) Confidentialité
L’enregistrement des scans d’iris peut fuiter des informations. Au minimum, si quelqu’un scanne votre iris, il peut consulter la base de données pour savoir si vous avez un World ID. Les scans d’iris pourraient aussi révéler davantage.
(2) Accessibilité
Sans un nombre suffisant d’Orbs facilement accessibles partout dans le monde, le World ID ne sera pas fiablement accessible.
(3) Centralisation
L’Orb est un dispositif matériel dont on ne peut pas vérifier s’il est correctement construit et sans porte dérobée. Ainsi, même si la couche logicielle est parfaite et pleinement décentralisée, la fondation Worldcoin pourrait toujours insérer une porte dérobée pour créer arbitrairement de fausses identités humaines.
(4) Sécurité
Le téléphone de l’utilisateur peut être piraté, ou il peut être forcé de scanner son iris tout en présentant la clé publique d’un tiers. De plus, il est possible d’imprimer en 3D des « faux humains » capables de passer le scan d’iris et d’obtenir un World ID.
Il est essentiel de distinguer :
(1) Les problèmes spécifiques aux choix de Worldcoin ;
(2) Les problèmes inévitables de toute preuve biométrique d’humanité ;
(3) Les problèmes inhérents à toute preuve d’identité humaine en général. Par exemple, signer une « preuve d’humanité » implique de publier votre visage sur Internet.
Participer à une soirée de vérification BrightID n’expose pas complètement votre identité, mais la révèle à beaucoup de monde. Rejoindre Circles expose publiquement votre graphe social. Sur le plan de la confidentialité, Worldcoin est nettement meilleur que ces deux-là.
En revanche, Worldcoin dépend d’un matériel spécialisé, ce qui pose la question de savoir si l’on peut faire entièrement confiance au fabricant de l’Orb. Ce défi n’a pas d’équivalent dans Proof of Humanity, BrightID ou Circles. Peut-être que d’autres, hors de Worldcoin, créeront à l’avenir des solutions matérielles spécialisées avec différents compromis.
05 Comment les projets biométriques de preuve d’identité humaine gèrent-ils la confidentialité ?
La fuite de données privées la plus évidente et la plus grave de tout système de preuve d’identité humaine est de lier chaque action d’un individu à son identité réelle. Cette fuite est énorme, voire inacceptable. Heureusement, elle peut facilement être résolue grâce aux preuves à divulgation nulle.
Plutôt que de signer directement avec la clé privée (dont la clé publique figure dans la base de données), l’utilisateur peut générer un ZK-SNARK prouvant qu’il possède une clé privée associée à une clé publique dans la base, sans révéler laquelle. Cela peut être réalisé via des outils comme Sismo, ou intégré directement dans Worldcoin. Ici, la notion de preuve d’identité « native crypto » est cruciale : cette étape fondamentale permet l’anonymisation, chose que presque toutes les solutions d’identité centralisées ne font pas.
L’existence d’un registre public des scans biométriques constitue une fuite plus subtile. Dans le cas de Proof of Humanity, cela concentre beaucoup de données : on obtient la vidéo de chaque participant, rendant leur identité parfaitement visible à quiconque enquête.
Dans le cas de Worldcoin, la fuite est bien moindre : l’Orb calcule localement et ne publie qu’un « hachage » du scan d’iris. Ce hachage n’est pas un hachage standard comme SHA256 ; c’est un algorithme spécialisé basé sur des filtres de Gabor issus de l’apprentissage machine, capable de gérer les imprécisions inhérentes à tout scan biométrique, et garantissant que des scans successifs du même iris produisent des sorties similaires.
Bleu : pourcentage de bits différents entre deux scans du même iris
Orange : pourcentage de bits différents entre deux scans d’iris distincts
Ces hachages d’iris ne divulguent que peu de données. Si un adversaire force (ou discrètement) un scan de votre iris, il peut calculer lui-même votre hachage et le comparer à la base pour savoir si vous êtes inscrit.
Cette possibilité de vérifier l’inscription est nécessaire au bon fonctionnement du système (prévention des doubles inscriptions), mais peut aussi être détournée. De plus, les hachages d’iris pourraient révéler des données médicales (sexe, race, peut-être certains états de santé), mais cette fuite est infiniment moindre que celles des autres systèmes massifs de collecte de données (caméras urbaines, etc.). Globalement, pour moi, la confidentialité du stockage des hachages d’iris semble suffisante.
06 Quels sont les problèmes d’accessibilité des systèmes biométriques de preuve d’identité humaine ?
Le matériel spécialisé crée des problèmes d’accessibilité, car il n’est pas universellement disponible. Actuellement, 51 à 64 % des habitants d’Afrique subsaharienne possèdent un smartphone, et ce chiffre devrait atteindre 87 % d’ici 2030.
Mais s’il y a des milliards de smartphones, il n’y a que quelques centaines d’Orbs. Même avec une fabrication distribuée à grande échelle, il sera difficile d’atteindre un monde où un Orb se trouve à moins de cinq kilomètres de chaque personne.
Mais bravo à Worldcoin pour ses efforts !
Il convient de noter que d’autres formes de preuve d’identité humaine ont des problèmes d’accessibilité encore pires. Sans connaître quelqu’un dans le graphe social, rejoindre un tel système est très difficile. Cela tend à limiter ces systèmes à une seule communauté nationale.
Même les systèmes d’identité centralisés ont tiré cette leçon : le système Aadhaar indien est biométrique, car c’était le seul moyen rapide d’enrôler sa vaste population tout en évitant la fraude massive due aux doublons et faux comptes (ce qui permet d’économiser énormément). Bien sûr, en tant qu’ensemble, Aadhaar est bien plus faible en confidentialité que tout système proposé à grande échelle dans la communauté crypto.
Du point de vue de l’accessibilité, les meilleurs systèmes sont ceux comme Existing Proof, où l’inscription se fait simplement via smartphone. Mais, comme nous allons le voir, ces systèmes impliquent divers autres compromis.
07 Quels sont les problèmes de centralisation des systèmes biométriques de preuve d’identité humaine ?
Trois problèmes majeurs se posent :
(1) Risque de centralisation au niveau de la gouvernance du système ;
(2) Risque spécifique aux systèmes utilisant du matériel spécialisé ;
(3) Risque de centralisation si des algorithmes propriétaires déterminent qui sont les vrais participants.
Tout système de preuve d’identité humaine doit composer avec (1). Si le système utilise des incitations libellées en actifs externes (ex. ETH, USDC, DAI), il ne peut pas être purement subjectif, donc le risque de gouvernance est inévitable.
Pour Worldcoin, ce risque est bien plus grand que pour Proof of Humanity (ou BrightID), car Worldcoin dépend d’un matériel spécialisé, contrairement aux autres systèmes.
En particulier, dans un système « logiquement centralisé » où un seul organe effectue la vérification, à moins que tous les algorithmes soient open source et que l’on puisse garantir qu’ils exécutent bien le code annoncé. Pour les systèmes purement basés sur la validation par les utilisateurs, ce risque n’existe pas.
08 Comment Worldcoin résout-il le problème de la centralisation matérielle ?
Actuellement, l’entité affiliée à Worldcoin (Tools for Humanity) est le seul fabricant d’Orbs. Toutefois, le code source de l’Orb est majoritairement public : vous pouvez consulter les spécifications matérielles dans ce dépôt GitHub, et d’autres parties du code source devraient bientôt être publiées.
La licence est l’un de ces cas intermédiaires, semblable à la BSL d’Uniswap : « source partagée, mais techniquement non open source », qui interdit non seulement le fork, mais aussi des comportements jugés immoraux — ils citent spécifiquement la surveillance de masse et trois déclarations internationales des droits civils.
L’objectif déclaré de l’équipe est d’autoriser et d’encourager d’autres organisations à fabriquer des Orbs, puis de passer progressivement d’un modèle où Tools for Humanity produit les Orbs à un modèle où un DAO approuve et gère quels organismes peuvent fabriquer des Orbs homologués.
Cette conception comporte une vulnérabilité :
Elle pourrait échouer à se décentraliser. Cela pourrait être dû à un défaut commun des accords coopératifs : un fabricant finit toujours par dominer en pratique, ramenant le système à la centralisation.
En réalité, garantir la sécurité d’un tel mécanisme de fabrication distribuée est difficile. Ici, je vois deux risques :
(1) L’émergence de mauvais fabricants d’Orbs : un fabricant malveillant ou piraté pourrait générer un nombre infini de faux hachages de scans d’iris et leur attribuer un World ID.
(2) Restriction gouvernementale de l’Orb : un gouvernement hostile à la participation de ses citoyens au système Worldcoin pourrait interdire l’entrée des Orbs dans son pays. Pire, il pourrait forcer les citoyens à scanner leurs iris, permettant à l’État d’accéder à leurs comptes, sans que les citoyens puissent réagir.
Pour permettre au système d’identifier et de contrer les mauvais fabricants d’Orbs, l’équipe propose des audits réguliers des Orbs, vérifiant leur construction correcte, la conformité des composants matériels clés aux spécifications, et l’absence de modifications postérieures. C’est une tâche ardue : similaire aux inspections nucléaires de l’AIEA, mais appliquée aux Orbs. Espérons qu’un système d’audit même imparfait réduise fortement le nombre d’Orbs falsifiés.
Pour limiter les dégâts causés par un mauvais fabricant, une deuxième mesure d’atténuation est utile. Les World ID enregistrés auprès de différents fabricants d’Orbs, voire avec différents Orbs, devraient être distingués. Si cette information est privée et stockée uniquement sur l’appareil du détenteur, cela va, mais elle doit pouvoir être prouvée à la demande. Cela permettrait à l’écosystème de répondre aux attaques (inévitables) en retirant à la demande un fabricant, voire un Orb, de la liste blanche. Si nous voyons le gouvernement nord-coréen forcer des gens à scanner l’Orb, tous les comptes résultants pourraient être désactivés rétroactivement.
09 Quels sont les problèmes de sécurité dans la preuve d’identité humaine en général ?
Outre les problèmes spécifiques à Worldcoin, d’autres affectent la conception même de la preuve d’identité humaine. Les principaux sont :
(1) Les mannequins imprimés en 3D : des personnes pourraient utiliser des images générées par IA, voire des mannequins imprimés en 3D, suffisamment réalistes pour tromper le logiciel de l’Orb. Même si un seul groupe le fait, il peut générer un nombre infini d’identités.
(2) Possibilité de vendre son identité : quelqu’un pourrait fournir lors de l’inscription la clé publique d’un tiers, lui permettant de contrôler l’identité en échange d’argent. Cela semble déjà se produire. Outre la vente, on peut louer son ID temporairement pour une application.
(3) Piratage du téléphone : si le téléphone d’un utilisateur est piraté, le pirate peut voler la clé contrôlant son World ID.
(4) Coercition gouvernementale pour voler l’identité : un gouvernement peut forcer ses citoyens à se vérifier en présentant un QR code appartenant à l’État. Ainsi, un gouvernement malveillant peut accéder à des millions d’IDs. Dans les systèmes biométriques, cela peut même être fait en secret : le gouvernement peut utiliser un Orb dissimulé pour extraire les World ID de chaque personne entrant dans le pays via un poste de contrôle de passeport.
Spécifique aux systèmes biométriques de preuve d’identité humaine. (2) et (3) sont communs aux conceptions biométriques et non biométriques. (4) est commun aux deux, bien que les technologies nécessaires diffèrent fortement ; ici, je me concentre sur le cas biométrique.
Ce sont des faiblesses très sérieuses. Certaines sont déjà résolues dans des protocoles existants, d’autres pourront l’être par des améliorations futures, d’autres encore semblent être des limites fondamentales en attente de solution.
-
Comment combattre les faux humains ?
Pour Worldcoin, ce risque est bien moindre que dans des systèmes comme Proof of Humanity : un scan en face-à-face peut vérifier de nombreuses caractéristiques d’une personne, et est difficile à falsifier, contrairement à une simple vidéo deepfake. Le matériel spécialisé est intrinsèquement plus dur à tromper que le matériel grand public, qui lui-même l’est plus que les algorithmes numériques vérifiant des images ou vidéos envoyées à distance.
Quelqu’un peut-il imprimer en 3D un objet capable de tromper le matériel spécialisé ? Peut-être. J’anticipe une tension croissante entre l’objectif de maintenir le système ouvert et celui de le garder sécurisé : les algorithmes d’IA open source sont intrinsèquement plus vulnérables aux attaques par apprentissage adversarial. À plus long terme, même les meilleurs algorithmes d’IA pourraient être dupés par les meilleurs mannequins 3D.
Cependant, d’après mes discussions avec les équipes de Worldcoin et de Proof of Humanity, ni l’un ni l’autre ne constatent actuellement de grandes attaques par deepfake, simplement parce qu’embaucher de vrais travailleurs à bas salaire pour s’inscrire à votre place est très bon marché et facile.
-
Pouvons-nous empêcher la vente d’identités ?
À court terme, empêcher cette externalisation est difficile, car la plupart des gens ignorent ce qu’est une preuve d’identité humaine. Si on leur dit qu’en levant un QR code et en scannant leurs yeux, ils gagnent 30 dollars, ils le feront.
Une fois que davantage de personnes connaissent ces protocoles, une mesure d’atténuation assez simple devient possible : permettre aux détenteurs d’un ID enregistré de se réinscrire, annulant ainsi leur ancien ID. Cela rend la « vente d’identité » bien moins fiable, car la personne qui vous vend son ID peut se réinscrire et annuler celle qu’elle vient de vendre. Mais cela suppose que le protocole soit très largement connu et que les Orbs soient très accessibles, pour que la réinscription soit praticable à la demande.
C’est l’une des raisons pour lesquelles intégrer un jeton UBI dans un système de preuve d’identité humaine est précieux : le jeton UBI offre une incitation simple et compréhensible pour que les gens connaissent le protocole, s’inscrivent, et se réinscrivent si leur compte a été utilisé par un tiers.
-
Pouvons-nous empêcher la coercition dans les systèmes biométriques de preuve d’identité humaine ?
Cela dépend du type de coercition envisagé. Les formes possibles incluent :
- Des gouvernements qui scanlent les yeux (ou le visage) des gens aux frontières ou postes de contrôle, et utilisent cela pour enrôler leurs citoyens ;
- Des gouvernements interdisant l’usage de l’Orb dans leur pays, pour empêcher les gens de s’inscrire ind
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@VitalikButerin
