RAPPORT | Les Orbes de WorldCoin ne contiennent aucune vulnérabilité, selon un nouveau rapport d'audit

La technologie ORB de WorldCoin respecte des protocoles de confidentialité rigoureux, notamment en ce qui concerne le traitement et le stockage des informations personnelles identifiables (PII), selon un nouveau rapport d’audit.

L’audit, mené par la société de cybersécurité Trail of Bits, a été publié le 13 mars 2024 et révèle qu’il n’y a aucune vulnérabilité dans le logiciel ORB, tout en validant de nombreuses affirmations formulées par WorldCoin.

L’audit a débuté le 14 août 2023, à la suite de préoccupations soulevées par plusieurs régulateurs dans le monde au sujet de la collecte de données biométriques par WorldCoin, ce qui a conduit certains régulateurs à interdire purement et simplement ses activités. Cela inclut une suspension au Kenya, où les activités de l’entreprise ont suscité un tollé au sein du public.

L’audit de Trail of Bits visait à examiner avec minutie le logiciel de l’orb, en mettant particulièrement l’accent sur son traitement des informations personnelles identifiables (PII) et sur la gestion des codes d’iris des utilisateurs.

Dans le processus d’inscription par défaut avec option de retrait (opt-out), l’orb ne collecte aucune information personnelle identifiable (PII), à l’exception du code d’iris. Ce code d’iris n’est pas stocké de manière persistante et n’est pas transmis en dehors de l’orb. Dans les cas où les utilisateurs choisissent de s’inscrire en opt-in, leur PII est chiffrée sur le disque à état solide (SSD) de l’orb d’une manière que l’orb elle-même ne peut pas déchiffrer, démontrant un engagement solide envers la confidentialité des données.

De plus, l’audit a confirmé que l’orb n’extrait aucune autre donnée sensible depuis l’appareil d’un utilisateur. Les seules informations collectées proviennent d’un code QR, garantissant une approche minimaliste de la collecte de données qui correspond aux meilleures pratiques en matière de confidentialité.

Il est crucial de noter que le code d’iris, en tant qu’élément essentiel de la donnée biométrique, est géré de façon sécurisée tout au long de son processus de collecte et de transmission, réduisant efficacement le risque d’accès non autorisé ou d’interception.

L’audit a également identifié des domaines d’amélioration, suggérant un renforcement supplémentaire du logiciel et des configurations matérielles de l’orb afin d’améliorer encore la sécurité.

En réponse, WorldCoin a mis en œuvre des changements tels que le remplacement d’une bibliothèque vulnérable utilisée pour le scan de codes QR par une alternative plus sécurisée.

L’audit de Trail of Bits ne représente qu’un seul volet des efforts continus de WorldCoin visant à protéger la sécurité et la confidentialité de sa technologie. Étant donné que la technologie ORB est essentielle à la mission du projet WorldCoin consistant à offrir un revenu de base universel, ces évaluations rigoureuses de la sécurité sont indispensables pour préserver la confiance des utilisateurs et l’intégrité du projet.