Qu'est-ce que je pense de la preuve biométrique de la personnalité ?

Merci tout particulièrement à l'équipe de Worldcoin, à la communauté Proof of Humanity et à Andrew Miller pour cette discussion.

L'un des gadgets les plus délicats, mais potentiellement les plus précieux, que les membres de la communauté Ethereum ont essayé de créer est une solution décentralisée de preuve de personnalité. La preuve de personnalité, également appelée « problème humain unique », est une forme limitée d'identité réelle qui affirme qu'un compte enregistré est contrôlé par une personne réelle (et une personne réelle différente de tous les autres comptes enregistrés), idéalement sans révéler de quelle personne il s'agit.

Quelques efforts ont été déployés pour résoudre ce problème : Proof of Humanity, BrightID, Idena et Circles en sont des exemples. Certains d'entre eux sont fournis avec leur propre application (souvent un jeton UBI), et d'autres ont été utilisés dans Gitcoin Passport pour vérifier quels comptes sont valides pour le vote quadratique. Les technologies à connaissance nulle, comme Sismo, garantissent la confidentialité de bon nombre de ces solutions. Plus récemment, nous avons assisté à l'essor d'un projet de preuve de personnalité bien plus vaste et plus ambitieux : Worldcoin.

Worldcoin a été cofondé par Sam Altman, surtout connu pour être le PDG d'OpenAI. La philosophie du projet est simple : l'IA va créer beaucoup d'abondance et de richesse pour l'humanité, mais elle peut aussi supprimer des emplois et rendre presque impossible de savoir qui est un humain et non un robot. Nous devons donc combler cette lacune en (i) en créant un très bon système de preuve de personnalité afin que les humains puissent prouver qu'ils sont réellement des humains, et (ii) en donnant un UBI à chacun. Worldcoin est unique en ce sens qu'il repose sur des données biométriques très sophistiquées (qui scanne l'iris de chaque utilisateur) à l'aide d'un matériel spécialisé appelé « l'Orbe » :

L'objectif est de produire un grand nombre de ces orbes, de les diffuser largement dans le monde entier et de les mettre dans les lieux publics afin que chacun puisse obtenir une carte d'identité facilement. Tout à l'honneur de Worldcoin, l'entreprise s'est également engagée à décentraliser au fil du temps. Dans un premier temps, cela implique une décentralisation technique : être une L2 sur Ethereum grâce à la pile Optimism, et protéger la vie privée des utilisateurs à l'aide de zk-SNARKS et d'autres techniques cryptographiques. Plus tard, cela inclut la décentralisation de la gouvernance du système lui-même.

Worldcoin a été critiquée pour les problèmes de confidentialité et de sécurité liés à l'Orbe, pour les problèmes de design de sa « pièce » et pour les problèmes éthiques liés à certains choix de l'entreprise. Certaines critiques sont très spécifiques et portent sur des décisions prises dans le cadre du projet qui auraient facilement pu être prises d'une autre manière. En fait, le projet Worldcoin lui-même est peut-être prêt à changer. D'autres soulèvent toutefois la question la plus fondamentale de savoir si la biométrie, pas seulement celle qui permet de scanner les yeux de Worldcoin, mais aussi les téléchargements de vidéos faciales et les jeux de vérification plus simples utilisés dans Proof of Humanity et Idena, sont une bonne idée. Et d'autres encore critiquent les preuves de personnalité en général. Les risques incluent des fuites inévitables de confidentialité, une nouvelle érosion de la capacité des utilisateurs à naviguer sur Internet de manière anonyme, la coercition exercée par des gouvernements autoritaires et l'impossibilité potentielle d'assurer la sécurité tout en étant décentralisée.

Ce billet abordera ces questions et abordera quelques arguments qui peuvent vous aider à décider si c'est une bonne idée de vous incliner et de scanner vos yeux (ou votre visage, votre voix, ou...) devant nos nouveaux seigneurs sphériques, et si les alternatives naturelles, soit utiliser une preuve de personnalité basée sur les graphes sociaux, soit renoncer complètement à la preuve de personnalité, sont meilleures ou non.

Qu'est-ce qu'une preuve de personnalité et pourquoi est-ce important ?

Le moyen le plus simple de définir un système de preuve de personnalité est de créer une liste de clés publiques dans laquelle le système garantit que chaque clé est contrôlée par un être humain unique. En d'autres termes, si vous êtes un humain, vous pouvez mettre une clé sur la liste, mais vous ne pouvez pas en mettre deux, et si vous êtes un robot, vous ne pouvez mettre aucune clé sur la liste.

La preuve de personnalité est précieuse car elle permet de résoudre de nombreux problèmes liés à la lutte contre le spam et à la concentration du pouvoir auxquels de nombreuses personnes sont confrontées, tout en évitant de dépendre des autorités centralisées et en révélant le minimum d'informations possible. Si les preuves de personnalité ne sont pas résolues, la gouvernance décentralisée (y compris la « micro-gouvernance », comme les votes sur les réseaux sociaux) sera beaucoup plus facile à saisir par des acteurs très fortunés, y compris des gouvernements hostiles. De nombreux services ne peuvent empêcher les attaques par déni de service qu'en fixant un prix d'accès, et parfois, un prix suffisamment élevé pour empêcher les attaquants d'entrer est également trop élevé pour de nombreux utilisateurs légitimes à faible revenu.

De nombreuses applications majeures dans le monde traitent aujourd'hui de ce problème en utilisant des systèmes d'identité soutenus par le gouvernement, tels que les cartes de crédit et les passeports. Cela résout le problème, mais cela représente des sacrifices importants et peut-être inacceptables en matière de vie privée, et les gouvernements eux-mêmes peuvent s'y attaquer de manière banale.

Combien de partisans de Proof of Personhood voient le double risque auquel nous sommes confrontés ? Source de l'image.

Dans de nombreux projets de preuve de personnalité, pas seulement Worldcoin, mais aussi Proof of Humanity, Circles et autres, « l'application phare » est un « jeton N par personne » intégré (parfois appelé « jeton UBI »). Chaque utilisateur enregistré dans le système reçoit un nombre fixe de jetons par jour (par heure ou par semaine). Mais il existe de nombreuses autres applications :

• Airdrops pour les distributions de jetons
• Des ventes de jetons ou de NFT qui offrent des conditions plus favorables aux utilisateurs les moins fortunés
• Voter dans les DAO
• Un moyen de « créer » des systèmes de réputation basés sur des graphes
• Vote quadratique (et financement, attention et paiements)
• Protection contre les robots et les attaques de Sybil sur les réseaux sociaux
• Une alternative aux captchas pour empêcher les attaques DoS

Dans bon nombre de ces cas, le fil conducteur est le désir de créer des mécanismes ouverts et démocratiques, afin d'éviter à la fois le contrôle centralisé par les opérateurs d'un projet et la domination par ses utilisateurs les plus fortunés. Ce dernier point est particulièrement important dans le cadre de la gouvernance décentralisée. Dans la plupart de ces cas, les solutions existantes reposent sur une combinaison (i) d'algorithmes d'IA très opaques qui laissent une grande marge de manœuvre pour discriminer de manière indétectable les utilisateurs que les opérateurs n'aiment tout simplement pas, et (ii) des identifiants centralisés, alias « KYC ». Une solution de preuve de personnalité efficace serait une bien meilleure alternative, car elle permettrait d'obtenir les propriétés de sécurité dont ces applications ont besoin sans les pièges des approches centralisées existantes.

Quelles sont les premières tentatives visant à prouver la personnalité ?

Il existe deux formes principales de preuve de personnalité : la preuve biométrique et la preuve basée sur les graphes sociaux. La preuve de personnalité basée sur les graphes sociaux repose sur une forme de garantie : si Alice, Bob, Charlie et David sont tous des humains vérifiés et qu'ils disent tous qu'Emily est une humaine vérifiée, alors Emily l'est probablement aussi. Le fait de se porter garante est souvent renforcé par des incitations : si Alice dit qu'Emily est une humaine, mais qu'il s'avère que ce n'est pas le cas, Alice et Emily risquent toutes deux d'être pénalisées. La preuve biométrique de l'identité personnelle consiste à vérifier certains traits physiques ou comportementaux d'Emily, qui permettent de distinguer les humains des robots (et les humains les uns des autres). La plupart des projets utilisent une combinaison des deux techniques.

Les quatre systèmes que j'ai mentionnés au début de l'article fonctionnent à peu près comme suit :

• Preuve d'humanité: vous mettez en ligne une vidéo de vous-même et vous faites un dépôt. Pour être approuvée, un utilisateur existant doit se porter garant de vous, et il faut un certain temps pour que vous puissiez être mise au défi. En cas de contestation, un tribunal décentralisé de Kleros détermine si votre vidéo était authentique ou non ; si ce n'est pas le cas, vous perdez votre dépôt et le challenger reçoit une récompense.
• BrightID: vous participez à une « partie de vérification » par appel vidéo avec d'autres utilisateurs, au cours de laquelle tout le monde vérifie les uns les autres. Des niveaux de vérification plus élevés sont disponibles via Bitu, un système dans lequel vous pouvez vous faire vérifier si suffisamment d'autres utilisateurs vérifiés par Bitu se portent garants de vous.
• Idena: vous jouez à un jeu de captcha à un moment précis (pour empêcher les joueurs de participer plusieurs fois) ; une partie du jeu consiste à créer et à vérifier des captchas qui seront ensuite utilisés pour vérifier les autres joueurs.
• Circles: un utilisateur existant de Circles se porte garant de vous. Circles est unique en ce sens qu'il ne cherche pas à créer un « identifiant vérifiable dans le monde entier » ; il crée plutôt un graphique des relations de confiance, dans lequel la fiabilité d'une personne ne peut être vérifiée que du point de vue de votre propre position dans ce graphique.

Comment fonctionne Worldcoin ?

Chaque utilisateur de Worldcoin installe une application sur son téléphone, qui génère une clé privée et une clé publique, un peu comme un portefeuille Ethereum. Ils se rendent ensuite en personne pour visiter un « orbe ». L'utilisateur regarde la caméra de l'Orb tout en lui montrant un code QR généré par son application Worldcoin, qui contient sa clé publique. L'Orbe scanne les yeux de l'utilisateur et utilise un scanner matériel complexe et des classificateurs appris par machine pour vérifier que :

1. L'utilisateur est un vrai être humain
2. L'iris de l'utilisateur ne correspond à celui d'aucun autre utilisateur ayant déjà utilisé le système

Si les deux scans sont réussis, l'Orbe signe un message approuvant un hachage spécialisé du scan de l'iris de l'utilisateur. Le hachage est chargé dans une base de données. Il s'agit actuellement d'un serveur centralisé, destiné à être remplacé par un système décentralisé en chaîne une fois que l'on sera sûre que le mécanisme de hachage fonctionne. Le système ne stocke pas les scans complets de l'iris ; il ne stocke que des hachages, qui sont utilisés pour vérifier l'unicité. À partir de ce moment, l'utilisateur possède un « World ID ».

Le détenteur d'un World ID peut prouver qu'il est un être humain unique en générant un ZK-SNARK prouvant qu'il détient la clé privée correspondant à une clé publique de la base de données, sans révéler quelle clé il détient. Ainsi, même si quelqu'un scanne à nouveau votre iris, il ne sera pas en mesure de voir les mesures que vous avez prises.

Quels sont les principaux problèmes liés à la construction de Worldcoin ?

Quatre risques majeurs me viennent immédiatement à l'esprit :

• Confidentialité. Le registre des scanners de l'iris peut révéler des informations. À tout le moins, si quelqu'un d'autre scanne votre iris, il pourra le comparer à la base de données pour déterminer si vous avez un World ID ou non. La scintigraphie de l'iris pourrait révéler plus d'informations.
• Accessibilité. Les World ID ne seront pas accessibles de manière fiable s'il n'y a pas tellement d'orbes que n'importe qui dans le monde pourra facilement y accéder.
• Centralisation. L'Orb est un appareil, et nous n'avons aucun moyen de vérifier qu'il a été correctement construit et qu'il ne possède pas de portes dérobées. Ainsi, même si la couche logicielle est parfaite et totalement décentralisée, la Worldcoin Foundation a toujours la possibilité d'insérer une porte dérobée dans le système, ce qui lui permet de créer arbitrairement de nombreuses fausses identités humaines.
• Sécurité. Les téléphones des utilisateurs peuvent être piratés, les utilisateurs peuvent être contraints de scanner leur iris sur présentation d'une clé publique appartenant à quelqu'un d'autre, et il est possible d'imprimer en 3D de « fausses personnes » capables de réussir le scan de l'iris et d'obtenir des World ID.

Il est important de faire la distinction entre (i) les problèmes spécifiques aux choix faits par Worldcoin, (ii) les problèmes que posera inévitablement toute preuve biométrique de personnalité et (iii) les problèmes que posera toute preuve de personnalité en général. Par exemple, s'inscrire à Proof of Humanity signifie publier votre visage sur Internet. Rejoindre une équipe de vérification BrightID ne suffit pas, mais cela permet tout de même de révéler qui vous êtes à de nombreuses personnes. Et le fait de rejoindre Circles dévoile publiquement votre graphe social. Worldcoin est bien meilleur que l'un ou l'autre en matière de protection de la vie privée. D'un autre côté, Worldcoin utilise du matériel spécialisé, ce qui pose le défi de faire confiance aux fabricants d'orbes pour les avoir correctement construits, un défi qui n'a aucun équivalent dans Proof of Humanity, BrightID ou Circles. Il est même concevable qu'à l'avenir, quelqu'un d'autre que Worldcoin crée une solution matérielle spécialisée différente avec différents compromis.

Comment les systèmes de preuve biométrique de personnalité répondent-ils aux problèmes de confidentialité ?

La fuite de confidentialité la plus évidente et la plus importante de tout système de preuve de personnalité est de relier chaque action d'une personne à une identité réelle. Cette fuite de données est très importante, sans doute d'une ampleur inacceptable, mais heureusement, elle est facile à résoudre sans aucune technologie à l'épreuve des connaissances. Au lieu de signer directement avec une clé privée dont la clé publique correspondante se trouve dans la base de données, un utilisateur pourrait créer un ZK-SNARK prouvant qu'il possède la clé privée dont la clé publique correspondante se trouve quelque part dans la base de données, sans révéler de quelle clé spécifique il possède. Cela peut être fait de manière générique à l'aide d'outils tels que Sismo (voir ici pour l'implémentation spécifique à Proof of Humanity), et Worldcoin possède sa propre implémentation intégrée. Il est important d'attribuer une preuve de personnalité « native à la cryptographie » ici : ils tiennent vraiment à suivre cette étape de base pour assurer l'anonymisation, alors que ce n'est pas le cas de toutes les solutions d'identité centralisées.

Une fuite de confidentialité plus subtile mais tout de même importante est la simple existence d'un registre public de scans biométriques. Dans le cas de Proof of Humanity, cela représente beaucoup de données : vous pouvez voir une vidéo de chaque participant à Proof of Humanity, qui montre clairement à tous ceux qui veulent savoir qui sont tous les participants à Proof of Humanity. Dans le cas de Worldcoin , la fuite est bien plus limitée : l'Orb calcule et publie localement uniquement un « hash » du scan de l'iris de chaque personne. Ce hachage n'est pas un hachage normal comme SHA256 ; il s'agit plutôt d'un algorithme spécialisé basé sur des filtres de Gabor appris automatiquement qui traite les inexactitudes inhérentes à tout scan biométrique et garantit que les hachages successifs effectués sur l'iris d'une même personne ont des résultats similaires.

Bleu : pourcentage de bits qui diffèrent entre deux scans de l'iris d'une même personne. Orange : pourcentage de bits qui diffèrent entre deux scans de l'iris de deux personnes différentes.

Ces hachages d'iris ne divulguent qu'une petite quantité de données. Si un adversaire peut scanner votre iris de force (ou secrètement), il peut calculer lui-même le hachage de votre iris et le comparer à la base de données des hachages d'iris pour voir si vous avez participé au système ou non. Cette capacité à vérifier si une personne s'est inscrite est nécessaire pour que le système lui-même empêche les utilisateurs de s'inscrire plusieurs fois, mais il est toujours possible qu'elle soit utilisée à mauvais escient d'une manière ou d'une autre. De plus, il est possible que les hachages de l'iris divulguent un certain nombre de données médicales (sexe, origine ethnique, peut-être problèmes de santé), mais cette fuite est bien moindre que ce qui pourrait être capturé par pratiquement tous les autres systèmes de collecte de données de masse utilisés aujourd'hui (par ex. même des caméras de rue). Dans l'ensemble, la confidentialité liée au stockage des hachages d'iris me semble suffisante.

Si d'autres personnes ne sont pas d'accord avec ce jugement et décident de concevoir un système offrant encore plus de confidentialité, il y a deux manières de procéder :

1. Si l'algorithme de hachage de l'iris peut être amélioré pour réduire considérablement la différence entre deux scans de la même personne (par ex. de manière fiable (moins de 10 % de retournements de bits), alors au lieu de stocker des hachages d'iris complets, le système peut stocker un plus petit nombre de bits de correction d'erreurs pour les hachages d'iris (voir : Fuzzy Extractor). Si la différence entre deux scans est inférieure à 10 %, le nombre de bits à publier serait au moins 5 fois inférieur.
2. Si nous voulons aller plus loin, nous pourrions stocker la base de données de hachage de l'iris dans un système de calcul multipartite (MPC) accessible uniquement par Orbs (avec une limite de débit), rendant les données totalement inaccessibles, mais au prix d'une complexité protocolaire et sociale importante dans la gestion de l'ensemble des participants au MPC. Cela aurait l'avantage que les utilisateurs ne seraient pas en mesure de prouver l'existence d'un lien entre deux World ID différents qu'ils détenaient à des moments différents, même s'ils le souhaitaient.

Malheureusement, ces techniques ne sont pas applicables à Proof of Humanity, car Proof of Humanity exige que la vidéo complète de chaque participant soit mise à la disposition du public afin qu'elle puisse être contestée s'il y a des signes indiquant qu'elle est fausse (y compris des vidéos générées par l'IA) et, dans ce cas, faire l'objet d'une enquête plus approfondie.

Dans l'ensemble, malgré l' « ambiance dystopique » qui consiste à regarder un globe et à le laisser scanner profondément dans vos yeux, il semblerait que des systèmes matériels spécialisés puissent faire un bon travail en matière de protection de la vie privée. Cependant, le revers de la médaille, c'est que les systèmes matériels spécialisés posent des problèmes de centralisation bien plus importants. Nous, les cypherpunks, semblons donc être coincés dans une situation difficile : nous devons trouver un compromis entre une valeur profondément ancrée dans le cypherpunk et une autre.

Quels sont les problèmes d'accessibilité liés aux systèmes de preuve biométrique de personnalité ?

Le matériel spécialisé pose des problèmes d'accessibilité car, eh bien, le matériel spécialisé n'est pas très accessible. Entre 51 % et 64 % des habitants d'Afrique subsaharienne possèdent aujourd'hui un smartphone, et ce chiffre devrait passer à 87 % d'ici 2030. Mais s'il existe des milliards de smartphones, il n'y a que quelques centaines d'orbes. Même avec une fabrication distribuée à une plus grande échelle, il serait difficile de créer un monde où il y aurait un globe à moins de cinq kilomètres de tout le monde.

Mais c'est tout à l'honneur de l'équipe qu'elle a essayé!

Il convient également de noter que de nombreuses autres formes de preuve de personnalité présentent des problèmes d'accessibilité encore plus graves. Il est très difficile de rejoindre un système de preuve de personnalité basé sur les graphes sociaux, sauf si vous connaissez déjà quelqu'un qui figure dans le graphe social. Il est donc très facile pour ces systèmes de rester limités à une seule communauté dans un seul pays.

Même les systèmes d'identité centralisés ont retenu cette leçon : le système d'identification Aadhaar en Inde est basé sur la biométrie, car c'était le seul moyen d'intégrer rapidement sa population nombreuse tout en évitant les fraudes massives liées à des doublons et à de faux comptes (ce qui a permis de réaliser d'énormes économies), même si, bien entendu, le système Aadhaar dans son ensemble est bien plus faible en termes de confidentialité que tout ce qui est proposé à grande échelle au sein de la communauté cryptographique.

Les systèmes les plus performants du point de vue de l'accessibilité sont en fait des systèmes tels que Proof of Humanity, auxquels vous pouvez vous inscrire en utilisant uniquement un smartphone. Mais, comme nous l'avons vu et comme nous allons le voir, ces systèmes proposent toutes sortes d'autres compromis.

Quels sont les problèmes de centralisation des systèmes biométriques de preuve de personnalité ?

Il y en a trois :

1. Risques liés à la centralisation au plus haut niveau de gouvernance du système (en particulier le système qui prend les résolutions finales au plus haut niveau (si les différents acteurs du système ne sont pas d'accord sur des jugements subjectifs).
2. Risques liés à la centralisation propres aux systèmes utilisant du matériel spécialisé.
3. Risques de centralisation si des algorithmes propriétaires sont utilisés pour déterminer qui est un participant authentique.

Tout système de preuve de personnalité doit répondre à (1), peut-être à l'exception des systèmes où l'ensemble des pièces d'identité « acceptées » est totalement subjectif. Si un système utilise des incitations libellées en actifs extérieurs (par ex. ETH, USDC, DAI), cela ne peut pas être totalement subjectif et les risques de gouvernance deviennent donc inévitables.

[2] représente un risque bien plus important pour Worldcoin que pour Proof of Humanity (ou BrightID), car Worldcoin dépend de matériel spécialisé alors que les autres systèmes ne le font pas.

[3] représente un risque, en particulier dans les systèmes « < a href= " https://medium.com/@VitalikButerin/the-meaning-of-decentralization-a0c92b76a274 " > centralisés de manière logique » où un seul système effectue la vérification, à moins que tous les algorithmes ne soient open source et que nous ayons l'assurance qu'ils exécutent réellement le code qu'ils prétendent être. Pour les systèmes qui reposent uniquement sur la vérification des autres utilisateurs (comme Proof of Humanity), cela ne présente aucun risque.

Comment Worldcoin résout-il les problèmes de centralisation du matériel ?

Actuellement, Tools for Humanity, une entité affiliée à Worldcoin, est la seule organisation qui fabrique des orbes. Cependant, le code source de l'Orb est pour la plupart public: vous pouvez consulter les spécifications matérielles sur ce dépôt Github, et d'autres parties du code source devraient être publiées prochainement. Cette licence est une autre de ces licences « source partagée mais pas techniquement open source avant quatre ans », similaires à la BSL Uniswap, sauf qu'en plus d'empêcher le fork, elle prévient également ce qu'ils considèrent comme des comportements contraires à l'éthique. Elles répertorient spécifiquement la surveillance de masse et trois déclarations internationales sur les droits civils.

L'objectif déclaré de l'équipe est d'autoriser et d'encourager d'autres organisations à créer des orbes et, au fil du temps, de passer des orbes créés par Tools for Humanity à une sorte de DAO qui approuve et gère les organisations qui peuvent créer des orbes reconnus par le système.

Ce design peut échouer de deux manières :

1. Cela ne permet pas de réellement décentraliser. Cela peut être dû au piège courant des protocoles fédérés: un fabricant finit par dominer dans la pratique, ce qui entraîne une recentralisation du système. La gouvernance pourrait probablement limiter le nombre d'orbes valides que chaque fabricant peut produire, mais cela devrait être géré avec soin, et cela met beaucoup de pression sur la gouvernance pour qu'elle soit décentralisée, surveille l'écosystème et réponde efficacement aux menaces : une tâche bien plus difficile que, par exemple, un DAO assez statique qui ne gère que les tâches de haut niveau de résolution des litiges.
2. Il s'avère qu'il n'est pas possible de sécuriser un tel mécanisme de fabrication distribuée. À mon avis, il y a deux risques :
   • Fragilité face aux mauvais fabricants d'orbes : si un seul fabricant d'orbes est malveillant ou piraté, il peut générer un nombre illimité de faux hachages d'iris et lui attribuer des World ID.
   • Restriction gouvernementale concernant les orbes : les gouvernements qui ne veulent pas que leurs citoyens participent à l'écosystème Worldcoin peuvent bannir les orbes de leur pays. En outre, ils pourraient même obliger leurs citoyens à faire scanner leur iris, ce qui permettrait au gouvernement d'accéder à leurs comptes, sans que les citoyens n'aient aucun moyen de répondre.

Pour renforcer la résistance du système face aux fabricants de mauvais orbes, l'équipe Worldcoin propose de procéder à des audits réguliers sur les orbes, afin de vérifier qu'ils sont correctement fabriqués et que les principaux composants matériels ont été fabriqués conformément aux spécifications et n'ont pas été modifiés après coup. C'est une tâche difficile : cela ressemble en gros à la bureaucratie des inspections nucléaires de l'AIEA, sauf pour Orbs. L'espoir est que même la mise en œuvre très imparfaite d'un régime d'audit puisse réduire considérablement le nombre de faux orbes.

Pour limiter les dégâts causés par un mauvais orbe qui passe à travers, il est logique de prendre une deuxième mesure d'atténuation. Les World ID enregistrés auprès de différents fabricants d'orbes, et idéalement avec des orbes différents, devraient pouvoir être distingués les uns des autres. Ce n'est pas grave si ces informations sont privées et stockées uniquement sur l'appareil du titulaire du World ID ; mais elles doivent être prouvables sur demande. Cela permet à l'écosystème de répondre aux attaques (inévitables) en retirant certains fabricants d'orbes, et peut-être même certains orbes, de la liste blanche à la demande. Si nous voyons le gouvernement de la Corée du Nord se déplacer et obliger les gens à scanner leurs globes oculaires, ces orbes et tous les comptes qu'il produit pourraient être immédiatement désactivés rétroactivement.

Problèmes de sécurité liés à la preuve de personnalité en général

Outre les problèmes spécifiques à Worldcoin, certains problèmes concernent les designs de preuve de personnalité en général. Les principaux auxquels je peux penser sont les suivants :

1. De fausses personnes imprimées en 3D : on pourrait utiliser l'IA pour générer des photos ou même des impressions 3D de fausses personnes suffisamment convaincantes pour être acceptées par le logiciel Orb. Si un seul groupe le fait, il peut générer un nombre illimité d'identités.
2. Possibilité de vendre des identifiants : quelqu'un peut fournir la clé publique de quelqu'un d'autre au lieu de la sienne lors de son inscription, en donnant à cette personne le contrôle de son identifiant enregistré, en échange d'argent. Cela semble déjà se produire. Outre la vente, il est également possible de louer des cartes d'identité à utiliser pendant une courte période en une seule demande.
3. Piratage téléphonique : si le téléphone d'une personne est piraté, le hacker peut voler la clé qui permet de contrôler son World ID.
4. Contrainte gouvernementale pour voler des cartes d'identité : un gouvernement peut obliger ses citoyens à se faire vérifier sur présentation d'un code QR appartenant au gouvernement. De cette façon, un gouvernement malveillant pourrait avoir accès à des millions d'identifiants. Dans un système biométrique, cela pourrait même se faire secrètement : les gouvernements pourraient utiliser des orbes obfusqués pour extraire les cartes d'identité mondiales de toutes les personnes entrant dans leur pays au poste de contrôle des passeports.

[1] est spécifique aux systèmes biométriques de preuve de personnalité. [2] et [3] sont communs aux modèles biométriques et non biométriques. [4] est également commun aux deux, bien que les techniques requises soient très différentes dans les deux cas ; dans cette section, je me concentrerai sur les problèmes liés à la biométrie.

Ce sont de sérieux points faibles. Certaines ont déjà été corrigées dans les protocoles existants, d'autres peuvent être corrigées grâce à de futures améliorations, et d'autres encore semblent constituer des limites fondamentales.

Comment faire face à de fausses personnes ?

Le risque est nettement moindre pour Worldcoin que pour les systèmes similaires à Proof of Humanity : un scan en personne peut examiner de nombreuses caractéristiques d'une personne et est assez difficile à falsifier, par rapport à une simple falsification d'une vidéo. Le matériel spécialisé est intrinsèquement plus difficile à tromper que le matériel standard, qui est lui-même plus difficile à tromper que les algorithmes numériques vérifiant les photos et les vidéos envoyées à distance.

Quelqu'un pourrait-il imprimer en 3D quelque chose qui puisse tromper même du matériel spécialisé ? Probablement. Je pense qu'à un moment donné, nous assisterons à des tensions croissantes entre l'objectif de maintenir le mécanisme ouvert et celui de le sécuriser : les algorithmes d'IA open source sont intrinsèquement plus vulnérables à l'apprentissage automatique contradictoire. Les algorithmes de type boîte noire sont mieux protégés, mais il est difficile de dire qu'un algorithme de boîte noire n'a pas été conçu pour inclure des portes dérobées. Peut-être que les technologies ZK-ML pourraient nous offrir le meilleur des deux mondes. Mais dans un avenir encore plus lointain, il est probable que même les meilleurs algorithmes d'IA seront dupés par les meilleurs faux personnages imprimés en 3D.

Cependant, d'après mes discussions avec les équipes de Worldcoin et de Proof of Humanity, il semble qu'à l'heure actuelle, aucun des deux protocoles ne fait encore l'objet de fausses attaques de grande envergure, pour la simple raison qu'il est facile et peu coûteux d'engager de vrais travailleurs à bas salaires pour s'inscrire en votre nom.

Pouvons-nous empêcher la vente d'identifiants ?

À court terme, il est difficile d'empêcher ce type d'externalisation, car la plupart des habitants du monde ne connaissent même pas les protocoles de preuve de personnalité, et si vous leur demandez de montrer un code QR et de scanner leurs yeux pour 30 dollars, ils le feront. Une fois que les gens seront à nouveau conscients de ce que sont les protocoles de preuve de personnalité, une solution assez simple sera possible : autoriser les personnes qui ont une carte d'identité enregistrée à se réenregistrer, annuler la précédente. Cela rend la « vente d'identité » beaucoup moins crédible, car quelqu'un qui vous vend sa carte d'identité peut simplement se réinscrire, en annulant la carte d'identité qu'elle vient de vendre. Cependant, pour en arriver là, il faut que le protocole soit très connu et qu'Orbs soit très largement accessible afin de faciliter l'inscription à la demande.

C'est l'une des raisons pour lesquelles il est intéressant d'intégrer une pièce UBI à un système de preuve de personnalité : une pièce UBI incite les gens à (i) en savoir plus sur le protocole et à s'inscrire, et (ii) à se réinscrire immédiatement s'ils s'enregistrent pour le compte de quelqu'un d'autre. La réinscription empêche également le piratage téléphonique.

Pouvons-nous empêcher la coercition dans les systèmes de preuve biométrique de personnalité ?

Cela dépend du type de coercition dont nous parlons. Les formes de coercition possibles incluent :

• Les gouvernements scannent les yeux (ou le visage, ou...) des personnes lors des contrôles aux frontières et à d'autres points de contrôle gouvernementaux de routine, et s'en servent pour enregistrer (et réenregistrer fréquemment) leurs citoyens
• Les gouvernements interdisent les orbes dans le pays pour empêcher les gens de se réinscrire de manière indépendante
• Des personnes qui achètent des cartes d'identité puis menacent de blesser le vendeur si elles détectent que la carte d'identité a été invalidée pour cause de réenregistrement
• Des applications (peut-être gérées par le gouvernement) qui obligent les utilisateurs à « se connecter » en signant directement avec leur clé publique, ce qui leur permet de voir le scan biométrique correspondant, et donc le lien entre l'identifiant actuel de l'utilisateur et les futurs identifiants qu'ils obtiendront en se réenregistrant. On craint souvent que cela ne facilite la création de « dossiers permanents » qui restent gravés sur une personne toute sa vie.

Tout votre UBI et votre pouvoir de vote nous appartiennent. Source de l'image.

Surtout entre les mains d'utilisateurs peu avertis, il semble assez difficile de prévenir carrément de telles situations. Les utilisateurs peuvent quitter leur pays pour se (ré) enregistrer sur un Orb dans un pays plus sûr, mais c'est une procédure difficile et coûteuse. Dans un environnement juridique vraiment hostile, rechercher un orbe indépendant semble trop difficile et risqué.

Ce qui est faisable, c'est de rendre ce type d'abus plus ennuyeux à mettre en œuvre et à détecter. L'approche Proof of Humanity qui consiste à demander à une personne de prononcer une phrase précise lors de son inscription en est un bon exemple : cela peut suffire à empêcher le scan caché, la coercition étant encore plus flagrante, et la phrase d'inscription pourrait même inclure une déclaration confirmant que le répondant sait qu'il a le droit de se réinscrire de manière indépendante et qu'il peut obtenir des pièces UBI ou d'autres récompenses. Si une contrainte est détectée, les droits d'accès des appareils utilisés pour effectuer des enregistrements coercitifs en masse pourraient voir leurs droits d'accès révoqués. Pour empêcher les applications de relier les identifiants actuels et précédents des utilisateurs et de tenter de laisser des « dossiers permanents », l'application de preuve de personnalité par défaut peut verrouiller la clé de l'utilisateur sur un matériel fiable, empêchant ainsi toute application de l'utiliser directement sans la couche d'anonymisation ZK-SNARK entre les deux. Si un gouvernement ou un développeur d'applications veut contourner ce problème, il devra autoriser l'utilisation de sa propre application personnalisée.

En combinant ces techniques et une vigilance active, il semble possible de bloquer les régimes réellement hostiles et de rester honnête avec les régimes qui sont simplement moyennement méchants (comme l'est la majeure partie du monde). Cela peut être fait soit par un projet comme Worldcoin ou Proof of Humanity qui gère sa propre bureaucratie pour cette tâche, soit en révélant plus d'informations sur la manière dont un identifiant a été enregistré (par exemple dans Worldcoin, de quel orbe il provient), et en laissant cette tâche de classification à la communauté.

Pouvons-nous empêcher la location de cartes d'identité (pour vendre des votes, par exemple) ?

La location de votre carte d'identité n'est pas empêchée par la réinscription. Ce n'est pas grave pour certaines applications : le coût de la location de votre droit de collecter la part journalière de la pièce UBI sera exactement la valeur de la part journalière de la pièce UBI. Mais pour des applications telles que le vote, la vente facile de votes pose un énorme problème.

Des systèmes tels que MACI peuvent vous empêcher de vendre votre vote de manière crédible, en vous permettant de voter à nouveau ultérieurement, ce qui invaliderait votre vote précédent, de telle sorte que personne ne puisse dire si vous avez réellement voté. Cependant, si le pot-de-vin contrôle la touche que vous obtenez au moment de l'inscription, cela n'aide pas.

Je vois deux solutions ici :

1. Exécutez des applications complètes dans un MPC. Cela couvrirait également le processus de réinscription : lorsqu'une personne s'inscrit auprès du MPC, celui-ci lui attribue un identifiant distinct de sa preuve de personnalité et qui n'est pas lié à celui-ci, et lorsqu'une personne se réenregistre, seul le MPC sait quel compte désactiver. Cela empêche les utilisateurs de prouver leurs actions, car chaque étape importante est effectuée dans un MPC en utilisant des informations privées que seul le MPC connaît.
2. Cérémonies d'inscription décentralisées. En gros, mettez en œuvre quelque chose comme ce protocole d'enregistrement des clés en personne qui oblige quatre participants locaux sélectionnés au hasard à travailler ensemble pour enregistrer quelqu'un. Cela pourrait garantir que l'enregistrement est une procédure « fiable » qu'aucun attaquant ne peut espionner.

Les systèmes basés sur des graphes sociaux sont peut-être plus performants ici, car ils peuvent créer automatiquement des processus d'enregistrement locaux décentralisés en fonction de leur mode de fonctionnement.

Comment se situe la biométrie par rapport à l'autre meilleur candidat en matière de preuve de personnalité, la vérification basée sur des graphes sociaux ?

Outre les approches biométriques, le principal autre candidat à la preuve de personnalité est jusqu'à présent la vérification basée sur les graphes sociaux. Les systèmes de vérification basés sur les graphes sociaux fonctionnent tous selon le même principe : s'il existe toute une série d'identités vérifiées qui attestent toutes de la validité de votre identité, alors vous êtes probablement valide et vous devriez également obtenir un statut vérifié.

Si seuls quelques utilisateurs réels (accidentellement ou par malveillance) vérifient de faux utilisateurs, vous pouvez utiliser les techniques de base de la théorie des graphes pour fixer une limite supérieure au nombre de faux utilisateurs vérifiés par le système. Source : https://www.sciencedirect.com/science/article/abs/pii/S0045790622000611.

Les partisans de la vérification basée sur les graphes sociaux la décrivent souvent comme une meilleure alternative à la biométrie pour plusieurs raisons :

• Il ne repose pas sur du matériel spécial, ce qui le rend beaucoup plus facile à déployer
• Cela évite une course aux armements permanente entre les fabricants qui essaient de créer de fausses personnes et l'Orbe qui doit être mis à jour pour rejeter ces fausses personnes
• Il ne nécessite pas de collecter de données biométriques, ce qui le rend plus respectueux de la vie privée
• Le pseudonyme est potentiellement plus convivial, car si quelqu'un choisit de partager sa vie sur Internet entre plusieurs identités distinctes, ces deux identités pourraient être vérifiées (mais le fait de conserver plusieurs identités authentiques et distinctes sacrifie les effets de réseau et coûte cher, donc ce n'est pas quelque chose que les attaquants pourraient faire facilement)
• Les approches biométriques donnent un score binaire « c'est un être humain » ou « ce n'est pas un humain », ce qui est fragile : les personnes rejetées accidentellement se retrouveraient sans aucun UBI, et potentiellement aucune possibilité de participer à la vie en ligne. Les approches basées sur les graphes sociaux peuvent donner un score numérique plus nuancé, ce qui peut bien sûr être légèrement injuste pour certains participants, mais il est peu probable que cela « dépersonnalise » complètement quelqu'un.

Mon point de vue sur ces arguments est que je suis largement d'accord avec eux ! Ce sont là de véritables avantages des approches basées sur les graphes sociaux et ils doivent être pris au sérieux. Cependant, il convient également de prendre en compte les faiblesses des approches basées sur les graphes sociaux :

• Bootstrapping : pour qu'un utilisateur puisse rejoindre un système basé sur des graphes sociaux, il doit connaître quelqu'un qui figure déjà dans le graphique. Cela complique l'adoption à grande échelle et risque d'exclure des régions entières du monde qui n'auront pas de chance lors du processus initial de démarrage.
• Confidentialité : bien que les approches basées sur les graphes sociaux évitent de collecter des données biométriques, elles finissent souvent par divulguer des informations sur les relations sociales d'une personne, ce qui peut entraîner des risques encore plus importants. Bien entendu, la technologie zéro connaissance peut atténuer ce problème (par ex. voir cette proposition de Barry Whitehat), mais l'interdépendance inhérente à un graphique et la nécessité d'effectuer des analyses mathématiques sur le graphique font qu'il est plus difficile d'atteindre le même niveau de masquage des données que celui possible avec la biométrie.
• Inégalité : chaque personne ne peut avoir qu'une seule identification biométrique, mais une personne riche et socialement connectée pourrait utiliser ses connexions pour générer de nombreuses cartes d'identité. En gros, la même flexibilité qui pourrait permettre à un système basé sur des graphes sociaux de donner plusieurs pseudonymes à quelqu'un (par ex. une militante) qui a vraiment besoin de cette fonctionnalité impliquerait probablement aussi que les personnes les plus influentes et les mieux connectées peuvent obtenir plus de pseudonymes que les personnes moins influentes et mieux connectées.
• Risque de basculer dans la centralisation : la plupart des gens sont trop paresseux pour passer du temps à signaler sur une application Internet qui est une vraie personne et qui ne l'est pas. Par conséquent, au fil du temps, le système risque de favoriser des méthodes « simples » d'intronisation qui dépendent des autorités centralisées, et le « graphe social » selon lequel les utilisateurs du système deviendront de facto le graphe social des pays reconnaissant quelles personnes sont citoyennes, ce qui nous permettrait de centraliser le KYC avec des étapes supplémentaires inutiles.

La preuve de personnalité est-elle compatible avec le pseudonyme dans le monde réel ?

En principe, la preuve de personnalité est compatible avec toutes sortes de pseudonymes. Les applications peuvent être conçues de telle sorte qu'une personne possédant une seule preuve d'identité puisse créer jusqu'à cinq profils dans l'application, laissant de la place aux comptes pseudonymes. On pourrait même utiliser des formules quadratiques: N représente un coût de N² dollars. Mais le feront-ils ?

Un pessimiste pourrait toutefois dire qu'il est naïf d'essayer de créer une forme d'identification plus respectueuse de la vie privée en espérant qu'elle sera adoptée de la bonne manière, parce que les pouvoirs en place ne sont pas respectueux de la vie privée, et si un acteur influent obtient un outil qui pourrait être utilisé pour obtenir beaucoup plus d'informations sur une personne, il l'utilisera de cette façon. Dans un tel monde, selon l'argument, la seule approche réaliste est malheureusement de mettre de l'eau à la poubelle de toute solution d'identité et de défendre un monde où règnent un anonymat total et des îlots numériques peuplés de communautés très confiantes.

Je comprends le raisonnement qui sous-tend cette façon de penser, mais je crains qu'une telle approche, même si elle est couronnée de succès, ne conduise à un monde où personne n'aura aucun moyen de contrecarrer la concentration des richesses et la centralisation de la gouvernance, car une personne peut toujours prétendre avoir dix mille ans. De tels points de centralisation seraient, à leur tour, faciles à saisir pour les pouvoirs en place. Je suis plutôt favorable à une approche modérée, dans laquelle nous défendons vigoureusement les solutions de preuve de personnalité afin de garantir une confidentialité renforcée, voire d'inclure, si vous le souhaitez, un mécanisme « N comptes pour N² de dollars » au niveau du protocole, et de créer quelque chose qui soit respectueux de la vie privée et qui ait des chances d'être accepté par le monde extérieur.

Alors... qu'est-ce que j'en pense ?

Il n'existe pas de forme idéale de preuve de personnalité. Au lieu de cela, nous avons au moins trois paradigmes d'approches différents qui ont tous leurs propres forces et faiblesses. Le tableau comparatif peut se présenter comme suit :

Dans l'idéal, nous devrions traiter ces trois techniques comme complémentaires et les combiner toutes. Comme l'a démontré la société indienne Aadhaar à grande échelle, la biométrie matérielle spécialisée présente l'avantage d'être sécurisée à grande échelle. Ils sont très faibles en matière de décentralisation, même si cela peut être résolu en demandant des comptes à chaque Orbe. La biométrie à usage général peut être adoptée très facilement aujourd'hui, mais leur sécurité diminue rapidement et il se peut qu'elle ne fonctionne que pendant encore 1 à 2 ans. Les systèmes basés sur des graphes sociaux créés par quelques centaines de personnes proches de l'équipe fondatrice sont susceptibles de devoir constamment faire face à un compromis entre la disparition complète de grandes parties du monde et la vulnérabilité aux attaques au sein de communautés sur lesquelles ils n'ont aucune visibilité. Un système basé sur des graphes sociaux utilisant des dizaines de millions de détenteurs d'identifiants biométriques pourrait toutefois fonctionner. Le bootstrap biométrique peut être plus efficace à court terme, et les techniques basées sur les graphes sociaux peuvent être plus robustes à long terme, et assumer une plus grande part de responsabilité au fil du temps à mesure que leurs algorithmes s'améliorent.

Une voie hybride possible.

Toutes ces équipes sont en position de commettre de nombreuses erreurs, et il y a inévitablement des tensions entre les intérêts commerciaux et les besoins de l'ensemble de la communauté. Il est donc important de faire preuve de beaucoup de vigilance. En tant que communauté, nous pouvons et devons améliorer la zone de confort de tous les participants en matière d'open source de technologie, exiger des audits tiers et même des logiciels écrits par des tiers, et d'autres freins et contrepoids. Nous avons également besoin de plus d'alternatives dans chacune des trois catégories.

Dans le même temps, il est important de reconnaître le travail déjà accompli : de nombreuses équipes qui gèrent ces systèmes se sont montrées prêtes à prendre la confidentialité bien plus au sérieux que n'importe quel système d'identité géré par le gouvernement ou les grandes entreprises, et c'est un succès sur lequel nous devons nous appuyer.

La création d'un système de preuve de personnalité efficace et fiable, en particulier pour les personnes éloignées de la communauté cryptographique existante, semble assez difficile. Je n'envie vraiment pas ceux qui s'y attelent, et il faudra probablement des années pour trouver une formule qui fonctionne. Le concept de preuve de personnalité semble en principe très utile, et si les différentes implémentations comportent des risques, le fait de ne pas avoir de preuve de personnalité comporte également des risques : un monde sans preuve de personnalité semble plus susceptible d'être un monde dominé par des solutions d'identité centralisées, de l'argent, de petites communautés fermées ou une combinaison des trois. J'ai hâte de voir de nouveaux progrès en ce qui concerne tous les types de preuves de personnalité, et j'espère voir les différentes approches aboutir à un ensemble cohérent.

Avertissement：

1. Cet article est reproduit depuis [Vitalik]. Tous les droits d'auteur appartiennent à l'auteur original[Vitalik]. En cas d'objection à cette réimpression, contactez l'équipe de Gate Learn, elle s'en occupera rapidement.
2. Avertissement en matière de responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent en aucun cas un conseil d'investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe de Gate Learn. Sauf mention contraire, il est interdit de copier, de distribuer ou de plagier les articles traduits.