La start-up berlinoise d'identité Fractal ID a récemment été victime d'un piratage : les données de plus de 6 000 clients ont été volées. C'est dommage car Fractal ID propose en réalité un produit passionnant pour la finance décentralisée.
Le 14 juillet de cette année, il a dû y avoir une certaine effervescence dans les bureaux berlinois de Fractal ID. À 7 heures du matin, les systèmes ont déclenché une alarme car ils ont détecté une activité inhabituelle sur un serveur. Peu de temps après, il est devenu clair qu’il s’agissait d’une attaque. Les ingénieurs ont arrêté le sous-système pour réduire les dégâts.
Mais pour 6 300 utilisateurs, soit environ 0,5 % de tous les clients de Fractal ID, il était déjà trop tard. Les pirates ont volé des données sensibles. Ce qui varie exactement en fonction de l’utilisateur. Dans le meilleur des cas, uniquement le nom, le portefeuille et l'adresse e-mail, dans le pire des cas, l'ensemble du programme, y compris l'adresse postale et la numérisation d'identité. Un cauchemar.
L’incident serait le résultat d’un piratage survenu en septembre 2022, au cours duquel un « opérateur » – un client ou un fournisseur de services de Fractal ID – a été infecté par un logiciel malveillant qui circulait à ce moment-là. Ce malware a volé un mot de passe et l'opérateur ne l'a pas modifié, bien qu'il soit au courant de l'incident. Grâce à ce mot de passe, le pirate informatique a récemment pu accéder aux systèmes internes avec des privilèges d'administrateur et voler des données personnelles.
Fractal ID a désormais introduit de nouvelles mesures de sécurité, telles que des systèmes de connexion plus robustes et des contrôles IP plus stricts. Mais il ne fait aucun doute que l’incident constitue un sérieux revers pour la startup. Comme il l’écrit, ils sont conscients que cela est « vraiment douloureux pour les utilisateurs concernés » et « également douloureux pour nous, car nous avons le devoir de protéger les données des utilisateurs ».
Identité décentralisée pour des écosystèmes décentralisés
En tant que fournisseur de services d'identité, la startup berlinoise évolue entre l'ancien Web et le Web3 basé sur la blockchain. Il propose un logiciel grâce auquel les utilisateurs peuvent faire vérifier leur identité directement ou des entreprises telles que des bourses ou des banques peuvent externaliser la vérification d'identité. Contrairement à d’autres fournisseurs de ce type, Fractal ID relie l’identité au Web3 des blockchains.
Les utilisateurs peuvent associer leur identité à une adresse de portefeuille. Les applications décentralisées (Dapps), telles que les échanges décentralisés, peuvent ensuite interroger la base de données Fractal ID pour obtenir une adresse de portefeuille via l'API. Alternativement, les contrats intelligents peuvent se connecter au registre DID pour accéder aux listes d'adresses de portefeuille vérifiées.
Ceux pour qui la force des cryptomonnaies réside avant tout dans l’anonymat ou le pseudonymat des utilisateurs rejetteront probablement avec véhémence de telles solutions identitaires. Mais il existe certaines applications dans lesquelles il n’y a pratiquement aucun moyen de les contourner ; La question n'est pas de savoir si, mais de savoir à quel point la situation s'aggrave.
Les airdrops qui distribuent des pièces, les DAO où les utilisateurs votent ou les Dapps sociales comme Common Ground ont intérêt à ne pas être envahis par les marionnettes chaussettes, les robots et les IA. « Preuve de personnalité » permet à Dapps de vérifier si un utilisateur est un individu unique.
D’un autre côté, les bourses décentralisées qui permettent de négocier des « actifs du monde réel » – tels que des obligations d’État, des actions ou d’autres titres – nécessitent une preuve d’une vérification complète. Ces échanges peuvent vérifier avec Fractal ID si un portefeuille qui se connecte est vérifié.
Pas parfait, mais un énorme pas en avant
Dans les deux cas, le Dapp n’accède à aucune donnée privée. Tout ce que vous savez, c'est que Fractal ID a vérifié l'utilisateur et, si nécessaire et selon le niveau de vérification, dispose également de ces données.
Pourquoi un échange décentralisé devrait-il savoir qui est un utilisateur – si la police ou l'administration fiscale peut découvrir l'identité si nécessaire ? Et pourquoi un Dapp devrait-il vérifier l’intégralité de votre identité pour exclure que vous ayez affaire à un robot – alors qu’une simple « preuve d’identité » suffit ?
Bien sûr, Fractal ID n’est pas parfait. Mais il s'agit d'un énorme progrès par rapport aux processus d'identité classiques, dans lesquels les données privées, les photos, les scans d'identité, les noms, les adresses, etc. ne se trouvent pas sur un seul serveur, mais sur de nombreux serveurs, car chaque échange et chaque fournisseur de services doit collecter eux-mêmes.
Plus important encore, Fractal ID semble être l'un des premiers fournisseurs de services d'identité Web3 à atteindre une pénétration assez significative du marché. La startup travaille avec des écosystèmes blockchain tels que Polygon, Avalanche, Ripple, Near ou Manta, ainsi qu'avec des Dapps tels que Polytrade, un échange décentralisé d'actifs du monde réel, ou Common Ground, une application de chat basée sur des jetons comme Discord ou Slack. Il serait dommage que le piratage détruise ces réalisations.
Découvrez-en davantage sur BitcoinBlog.de – le blog pour Bitcoin et autres monnaies virtuelles
Abonnez-vous pour recevoir les derniers articles par e-mail.
Source:https://bitcoinblog.de/2024/07/23/sensible-daten-von-mehr-als-6-000-web3-usern-gestohlen/