Dans le contexte de l'augmentation des enlèvements liés aux cryptomonnaies et du doxxing du co-fondateur de Solana, de nombreuses personnes dans l'industrie se demandent si le KYC (Know Your Customer - Connaître votre client) en vaut vraiment les risques qu'il engendre.
Pour les utilisateurs de cryptomonnaies qui attachent de l'importance à la vie privée, #kyc peut être un terme effrayant. C'est un processus qui exige la fourniture d'informations personnelles telles que le nom et l'adresse aux fournisseurs de services, principalement des échanges de cryptomonnaies. Dans de nombreuses juridictions, y compris les États-Unis, le KYC est obligatoire par la loi. Bien qu'il joue un rôle crucial dans la prévention des activités illégales, le KYC présente des risques tant pour l'entreprise qui collecte les données que pour les utilisateurs qui fournissent des informations.
Au début de cette semaine, le co-fondateur de Solana, Raj Gokal, et sa femme ont été doxxés par des individus malintentionnés, exigeant qu'il paie 40 $BTC (d'une valeur de 4,3 millions de dollars). Gokal a déclaré que les photos de ses documents avaient été divulguées lors du processus KYC, mais il n'a pas révélé de détails. Le doxxing est l'acte de rendre publiques des informations personnelles en ligne, pouvant inclure l'adresse de domicile ou des informations bancaires. Dans le cas de Gokal, il s'agissait de photos de documents d'identité, y compris l'adresse de sa maison.
L'incident s'est produit seulement deux semaines après que Coinbase, la plus grande plateforme d'échange de cryptomonnaies aux États-Unis, a reconnu une violation de données, entraînant la fuite d'informations sensibles des clients entre les mains de hackers. Michael Arrington, fondateur d'Arrington Capital, a averti que cela pourrait « mener à la mort de nombreuses personnes » alors que la vague d'enlèvements augmente dans le secteur.
Beaucoup pensent que le doxxing de Gokal est lié à l'incident Coinbase, bien que cela n'ait pas été confirmé. Quoi qu'il en soit, cet événement a suscité des inquiétudes parmi les utilisateurs de cryptomonnaies concernant la fourniture d'informations personnelles aux échanges. Le KYC exige souvent des photos de passeport, des preuves d'adresse et des selfies tenant des documents – des données sensibles qui peuvent être volées par des hackers, amenant des criminels jusqu'à la porte des utilisateurs, surtout avec l'augmentation des enlèvements liés aux cryptomonnaies en France, aux États-Unis et ailleurs.
Nick Vaiman, PDG de Bubblemaps, a déclaré à #Decrypt : « Lorsqu'une plateforme collecte trop de données KYC, elle devient une cible. Les hackers peuvent utiliser ces données pour mener des attaques de phishing ou pire, se rendre sur place pour cambrioler. Les données KYC créent des risques – plus vous conservez de données, plus vous êtes susceptible d'être attaqué. »
Cependant, Arnaud Droz, COO de Bubblemaps, estime qu'éliminer complètement le KYC est irréaliste. Le KYC peut être « le mal nécessaire » pour prévenir la criminalité sur la blockchain. Slava Demchuk, PDG de l'AMLBot, est d'accord : « Le KYC est un outil essentiel pour se conformer à la réglementation et prévenir la criminalité. Bien que les criminels sophistiqués puissent contourner la loi, le KYC crée une barrière, et lorsqu'il est combiné avec d'autres mesures telles que la surveillance des transactions, il devient un bouclier puissant. »
Le KYC est une exigence légale dans de nombreux pays, y compris les États-Unis, en vertu de la loi Patriot de 2001. Cependant, après le piratage de Coinbase, de nombreux leaders du secteur se sont exprimés contre cela. Erik Voorhees, le fondateur de ShapeShift, a qualifié le KYC imposé par l'État de « crime » sur les réseaux sociaux, et le PDG de Coinbase, Brian Armstrong, a acquiescé.
Vaiman reçoit ce constat : « Le problème fondamental est que les fraudeurs peuvent facilement tromper le système. Ils peuvent acheter des KYC faux ou utiliser l'identité d'autres personnes. Avec le développement de l'IA, la création d'identités fictives devient de plus en plus facile, rendant le système KYC inefficace. Le KYC ne prévient pas les malfaiteurs, mais complique la vie des utilisateurs honnêtes. »
Alors, si le système KYC est nécessaire mais présente des vulnérabilités, quelle est la solution ? Jeff Feng, co-fondateur de Sei Labs, suggère : « Nous voyons des solutions innovantes comme la confidentialité à zéro connaissance et le KYC sans connaissance (ZK-KYC). » Les preuves ZK permettent aux utilisateurs de prouver des informations (comme ne pas vivre dans un pays sous embargo) sans révéler directement de données. Cependant, Demchuk de l'AMLBot estime que le ZK-KYC est difficile à mettre en œuvre en raison de réglementations telles que le RGPD dans l'UE, qui exigent que les échanges conservent les données KYC pendant 5 ans – ce que le ZK-KYC ne peut pas respecter.
Peu importe comment le KYC peut évoluer, certains utilisateurs estiment que cela reflète une crise plus grande. Charlotte Fang, la fondatrice anonyme de Remilia Corporation, a déclaré à Decrypt : « La capacité de faire des transactions anonymes est au cœur des cryptomonnaies – une technologie révolutionnaire contre l'intrusion de l'État. L'industrie s'est écartée de l'esprit cypherpunk, non seulement à cause du KYC, mais aussi à cause de la culture de la recherche d'acceptation. »
Les partisans de la vie privée appellent à des transactions complètement anonymes sur la blockchain, tandis que les régulateurs s'y opposent. Cependant, la décision du ministère des Finances des États-Unis de lever l'interdiction sur Tornado Cash – un outil de protection de la vie privée sur Ethereum – en début d'année montre qu'un changement pourrait être en cours à Washington. Le KYC peut-il trouver un équilibre entre la vie privée et la réglementation ? Cette question reste au centre d'un débat animé dans l'industrie des cryptomonnaies.
