Worldcoin : faut-il avoir peur de ce certificat numérique d'humanité ?
Le fondateur d'OpenAI lance Worldcoin, un tout nouveau type de service mélangeant biométrie et cryptomonnaie afin de fournir une preuve numérique d'humanité via un scan de l'iris. Un projet futuriste, aussi audacieux qu'inquiétant.
Après trois longues années de développement, Sam Altman, le PDG d'OpenAI – la société qui a créé le fameux ChatGPT –, a lancé le lundi 24 juillet un tout nouveau service baptisé Worldcoin. Un projet ambitieux et même un peu fou, digne de la célèbre série d'anticipation Black Mirror combinant un système d'identification numérique et un portefeuille de cryptomonnaie. Sa grande originalité ? Il repose sur une authentification exploitant un scan de l'iris de l'œil : un "identifiant anatomique" permettant de générer un passeport numérique (World ID) que ses utilisateurs emploieraient pour prouver leur identité en ligne sans avoir partager leurs données personnelles. Une sorte de "certificat d'humanité" destiné à prouver, face à l'essor des intelligences artificielles et des chatbots, que l'on n'est pas un robot. En prime, ce système permet d'acquérir une nouvelle cryptomonnaie, baptisée WLD.
Mais si l'idée suscite l'enthousiasme et la curiosité chez certains, elle génère des inquiétudes tout à fait légitimes chez d'autres. Moins d'une semaine après son lancement, Worldcoin est déjà dans le collimateur de plusieurs régulateurs, qui s'inquiètent de son système de vérification basé sur une reconnaissance de l'iris humain, qui est une donnée biométrique sensible, et jugent la démarche dangereuse.
Worldcoin : un passeport numérique et des cryptomonnaies gratuites
L'iris est une membrane de l'œil qui, à l'instar des empreintes digitales, a la particularité d'être unique pour chaque humain et d'être stable de le temps. De ce fait, il peut être utilisé pour établir une donnée biométrique, propre à chaque individu, et donc une certification numérique, qui atteste qu'il est bien lui. Comme l'indique l'entreprise sur son site, le scan est réalisé grâce à un appareil baptisé The Orb, une sorte de sphère métallique dotée de capteurs. L'utilisateur obtient alors son certificat numérique, chargé de prouver qu'il est bien une "personne réelle et unique" tout en "préservant sa vie privée". Le passeport numérique est ensuite accessible depuis l'application World App, qui permet de réaliser les paiements et l'authentification biométrique. On compte pour le moment des Orbs dans trente-cinq villes dans le monde, dont Paris. La démarche est totalement gratuite : il suffit simplement de se créer un compte dans l'application et de se rendre au Level Coworking Cafe, au 11 Rue de l'École Polytechnique, 75005 Paris. L'entreprise revendique déjà plus de deux millions d'inscrits dans le monde.
Mieux encore, Worldcoin offre 25 jetons de la nouvelle cryptomonnais WLD à toute personne qui réalise un scan de son iris. Un moyen d'attirer du public grâce à l'appât du gain et de leur mettre un pied dans le secteur. Le portefeuille de cryptomonnaie est ensuite, lui aussi, accessible via l'application World App, qui servira à effectuer des paiements. Avec les WLD, l'entreprise cherche à mettre en place une monnaie qui pourrait mener à la création d'un revenu universel, afin d'aider ceux qui auront perdu leur emploi à cause de l'IA à continuer de vivre dignement – on compte 143 millions de WLD en circulation en juillet 2023. Wordcoin vise les un milliard d'ici la fin de l'année, mais sans prendre en compte les différents obstacles et difficultés.
Les WLD arrivent alors que la réputation de l'industrie des cryptomonnaies souffre de l'effondrement spectaculaire de FTX et d'autres faillites de plateformes majeures, et que les différents régulateurs européens se penchent plus que jamais sur le problème de la gestion des données personnelles. Aussi, le 28 juillet, la Commission nationale de l'informatique et des libertés (CNIL) a déclaré auprès de Reuters avoir pris connaissance de Worldcoin et a jugé que la légalité de la collecte de données biométriques était "discutable", de même que les conditions de conservation des données biométriques. Car si celles-ci sortent du système de l'entreprise et qu'il y a la combinaison de données biométriques et des données personnelles, cela risque de poser problème…
Worldcoin : un projet opaque qui soulève de nombreux problèmes
Sur son site, Worldcoin se veut rassurant et assure que "les données biométriques ne quittent jamais l'Orb. Et une fois que vous vous êtes inscrit, elles sont définitivement supprimées". "Vos données biométriques sont d'abord traitées localement sur l'Orb, puis définitivement effacées", explique l'entreprise. "La seule donnée qui subsiste est votre IrisCode. Cet IrisCode est un ensemble de chiffres générés par l'Orb et n'est pas lié à votre portefeuille ni à aucune de vos informations personnelles. Par conséquent, il ne nous dit rien de vous, ni à nous ni à personne d'autre". Mais si elle supprime bien le scan de l'iris, elle garde toujours l'IrisCode. Or, si une personne tierce accède au code, elle pourrait certainement l'usurper ou même le modifier. Non seulement la victime se ferait vider son portefeuille de cryptomonnaies, mais son identité pourrait être utilisée pour tout un tas d'activités illicites. Sans compter que Worldcoin pourrait chercher à capitaliser sur ces données et les revendre à d'autres entités.
L'information biométrique, en particulier l'iris, étant considérée comme des données très sensibles au regard de l'article 9 du RGPD, les autorités européennes n'ont pas tardé à se pencher sur le sujet. La CNIL va donc mener une enquête, en collaboration avec les autorités allemandes en Bavière. L'Information Commissionner Office (ICO), en Angleterre, va en faire de même. Notons d'ailleurs que, si la cryptomonnaie de Worldcoin est disponible dans une vingtaine de pays dans le monde, elle ne l'est pas aux Etats-Unis, où les autorités surveillent de très près les crypto-actifs.
En tout cas, les autorités vont visiblement avoir de quoi faire, entre l'organisation nébuleuse de l'entreprise, le fonctionnement opaque de la cryptomonnaie et la gestion des données personnelles ! Le scan de l'iris étant une donnée biométrique, sa collecte est soumise à des règles très strictes. Celle-ci doit faire l'objet d'un consentement "éclairé" et "libre", ce qui signifie que les utilisateurs doivent avoir accès à plusieurs informations, dont l'identité du responsable du traitement et les finalités poursuivies – ce qui n'est pour le moment pas très clair, en témoigne l'enquête menée par BuzzFeed en avril dernier –, et qu'ils peuvent refuser la collecte de ces données sans pour autant perdre l'accès au service – ce qui semble être difficile le cas de Worldcoin.
De plus, alors que le dispositif a déjà été testé dans plusieurs pays, comme le Soudan et l'Indonésie, il semblerait que sept ordinateurs de The Orb aient déjà été piratés, comme le révélait TechCrunch en mai dernier. Plusieurs opérateurs Worldcoin auraient également vu leurs appareils personnels compromis par des logiciels malveillants voleurs de mots de passe. Les cybercriminels auraient eu un accès complet au tableau de bord de l'opérateur sans que cela ne nécessite d'authentification à plusieurs facteurs. Les informations collectées par les opérateurs comprennent des adresses électroniques, des numéros de téléphone et des scans de cartes d'identité nationales dans certaines régions, mais l'entreprise a assuré qu'aucune donnée personnelle ou sensible n'avait été dérobée. Voilà qui promet !