Vie privée – Votre navigateur connaît votre adresse

Dernière modification effectuée le 05.08.2023 21:09

Vie privée et finance décentralisée

Le 14 septembre 2021, quatre ingénieurs travaillant pour la plupart au sein du navigateur Brave Software (BAT) ont publié une étude sur le respect de la vie privée dans le domaine de la finance décentralisée (DeFi).

Le pseudonymat induit par l’usage des cryptomonnaies permet une certaine intimité dans l’usage de ses fonds et seule une recherche approfondie pourrait en lever le voile. Cependant, cette recherche devient bien plus aisée si un simple cookie permet d’enregistrer l’adresse de votre wallet Ethereum ou encore pouvoir associer cette dernière à d’autres informations : nom, prénom, situation géographique, etc.

Cette étude fait le parallèle entre DeFi, sécurité informatique et protection de la vie privée, association nécessaire pour d’une part améliorer les systèmes existants, et d’autre part prendre conscience des paramètres hors pure DeFi à prendre en compte pour bénéficier d’une protection relativement efficace de sa vie privée.

Ne pas se servir de la CeFi (Binance, FTX, …) n’équivaut pas forcément au respect de la vie privée.

Merci à Preethi Kasireddy pour le partage de cette étude.

Philipp Winter, Anna Harbluk Lorimer, Peter Snyder et Benjamin Livshits sont des membres de l’équipe de Brave Software et ont décidé de tester certains sites de DeFi sur la protection que ces derniers accordaient à la vie privée de leurs utilisateurs.

L’idée était de faire une distinction entre d’une part le risque inhérent à l’utilisation de smart contracts et d’autre part l’utilisation du site en lui-même, à savoir l’interface graphique (front) permettant l’interaction de l’utilisateur avec les smart contracts.

D’un côté, le smart contract peut contenir des failles qui peuvent être utilisées par des personnes malveillantes. De l’autre, le front peut utiliser des scripts et des services de tierces personnes pouvant servir à récupérer des informations sur l’utilisateur au passage.

Ce que révèle l’étude de Brave Software

Les questions suivantes se sont posées pour sa réalisation : à quel point les sites de finance décentralisée protègent les données de leurs utilisateurs ? Quelles sont les failles exploitables par des individus mal intentionnés ? Quel est le rôle des cookies issus de tiers ?

Pour ce faire, l’étude a ciblé le top 50 des sites de DeFi en termes de Total Value Locked (TVL, valeur bloquée dans les smart contracts du site) et y a ajouté une liste de 28 sites estimés comme pertinents. Parmi eux, AAVE, Bifi, Yearn.fi, Sushi Swap, Pancake Swap et bien d’autres (liste complète disponible en fin de document).

Sans entrer dans les détails techniques qui sont décrits dans le papier, l’étude a pu déterminer que 56% des sites analysés utilisaient des cookies permettant la traçabilité de l’utilisateur après l’utilisation du site de DeFi.

Par exemple, Google est présent dans 100% des cas d’utilisation de tels cookies.

Pire encore, nous apprenons que 17% des sites testés ont fait fuiter l’adresse Ethereum de l’utilisateur vers des domaines tiers, en majorité liés à Google. Cela se produit lorsque le site de DeFi envoie une requête à un autre site, requête contenant une URL, qui elle-même contient l’adresse Ethereum de l’utilisateur.

C’est pour cette raison que les nombreuses failles ont été découvertes sur des sites d’optimisations de yields qui ont généralement besoin d’interagir avec d’autres sites/APIs pour comparer les taux d’intérêt.

Or, Google peut très facilement relier cette information avec d’autres qu’il a en sa possession : adresse IP, adresse, nom, préférences de consommations, etc.

La simple utilisation d’un site de DeFi fait prendre un risque non négligeable.

Les risques d’un tel leak

Vous pourriez penser que ces informations sont publiques par essence, et que cela n’a pas vraiment d’importance. Or, s’il est vrai que les adresses publiques des wallets sont publiques, elles ne sont, pour autant, pas reliées à votre personne directement. Il s’agit d’un pseudonyme.

Vous relier à ce pseudonyme expose vos données financières à quiconque. Il se pourrait donc que Google puisse faire de la publicité ciblée à votre encontre pour le listing de tel ou tel coin illustré d’un chien et il ne s’agirait là que de la meilleure situation.

S’il est en effet aisé de relier un nom à une adresse Ethereum, puis à une adresse, et que ces données soient malencontreusement leak par le tiers opérateur comme cela arrive fréquemment, il sera alors possible de savoir que Monsieur Dupont détient 10 WrappedBTC stakés sur Bifi finance, que celui-ci habite à Malte et qu’il va souvent acheter des chocolatines (oui) à la boulangerie du coin.

Des gens ont été assassinés pour moins que cela…

Pareillement, cela expose l’utilisateur à un risque important d’hameçonnage sous couvert du site en question, ou simplement, déclencher la connexion à un smart contract qui siphonnera votre wallet s’il est approuvé. On a d’ailleurs vu récemment que le simple fait d’envoyer des jetons à une adresse peut servir comme technique d’hameçonnage.

Beaucoup sont ceux qui, à de multiples reprises, rappellent les risques qu’implique l’utilisation de la DeFi. Cependant, il ne faut pas oublier les autres facteurs de risques, plus insidieux que le basique rug pull, mais qui peuvent avoir non moins de conséquences sur l’utilisateur.

Notons qu’il s’agit d’une première étude sur le sujet, et que d’autres devraient voir le jour pour aider les sites de DeFi à faire courir le moins de risques à leurs utilisateurs.

Un conseil d’ami de la part de la rédaction

Protégez vos fonds et votre anonymat un maximum, personne ne doit savoir que vous possédez un capital important en crypto monnaies. À l’image des pirates des océans, il va devenir de plus en plus facile pour des personnes mal intentionnées sur internet de cibler des attaques sur des crypto investisseurs fortunés afin de leur voler leur argent, cachées bien au chaud derrière leurs ordinateurs.

En cas de piratage de vos fonds, personne (ou presque) ne pourra vous aider, le but de ce message n’est pas de vous faire peur mais plutôt de vous faire prendre conscience que cela n’arrive pas toujours qu’aux autres.

Il est de votre devoir de faire attention et d’apprendre à vous protéger. Moins les gens en savent sur vous, mieux vous vous porterez.

Articles qui pourraient vous intéresser