Quelles informations peut-on retirer d'un wallet crypto ?
Si les cryptomonnaies souffrent encore d'une réputation de technologie intraçable, il n'en a en réalité jamais rien été, à l'exception de Monero : en effet, elles reposent en majorité sur des blockchains, lesquelles ne sont finalement que des bases de données distribuées. Or, par définition, une base de données contient des informations. De fait, les utilisateurs ne sont donc pas anonymes mais pseudonymes, représentés par des adresses publiques. Et les wallets contiennent nombre de données révélant leur comportement, voire dans certains cas des informations plus sensibles.
Quelles sont les informations les plus courantes visibles dans un wallet ?
Un wallet crypto révèle aisément trois types de données :
- l'adresse publique de l'utilisateur
- le solde des actifs
- l'historique des transactions, incluant le montant, l'horodatage et l'adresse du destinataire
Ces données sont d'autant plus visibles dans le cas d'une blockchain basée sur un modèle de compte, comme Ethereum, plutôt que sur un modèle dit UTXO, à traduire par sortie de transaction non dépensée, comme Bitcoin. Avec Bitcoin, chaque transaction est censée générer une nouvelle adresse sur laquelle sont consolidées les unités bitcoin non dépensées des précédentes adresses. Ainsi, chaque nouvelle transaction est associée à une adresse unique.
Ethereum fonctionne sur un modèle de compte, lequel repose sur une adresse unique, de fait utilisée pour chaque transaction. Même si le modèle UTXO est loin de tout obfusquer, il a donc le mérite de rendre la découverte de l'historique des transactions d'un utilisateur plus compliqué.
Héberger son propre nœud ou se connecter à un tiers : une différence fondamentale
Les blockchains reposent sur un modèle pair-à-pair (p2p) et pour exécuter une transaction, il n'y a pas d'autre choix que de se connecter à son réseau, distribué par des nœuds, en résumé des ordinateurs ou serveurs stockant et partageant l'historique de la blockchain.
En réalité, avec l'essor des plateformes d'échange, des wallets mobiles et hot wallets, peu d'utilisateurs crypto utilisent leurs propres nœuds : sur le réseau layer-1 Bitcoin, le site analytique Bitnodes compte environ 14 800 nœuds joignables (qui acceptent les connexions entrantes) et un total de 43 000 nœuds dans le monde tandis qu'une application du développeur bitcoin Luke Dash Jr décompte environ 47 000 nœuds dans le monde ; le layer-2 bitcoin Lightning Network atteint environ 16 000 nœuds publics, selon 1ML.com. Du côté d'Ethereum, le site Ethernodes relève environ 3 500 nœuds synchronisés. Dans le même temps, la firme Triple A estime le nombre d'utilisateurs crypto à 320 millions dans le monde en 2022 tandis que pour la France, KPMG l'estimait à 8% de la population. Dès lors, il est évident que la majeure partie de ces utilisateurs passe par des nœuds tiers (selon nos sources, même certains brokers n'hébergent pas des nœuds pour l'ensemble des actifs). Or, la connexion à un nœud tiers pour accéder à la blockchain signifie compromettre son adresse IP, laquelle peut être donc être associée à un historique de transactions, un solde de wallet.
Des données collectées par les nœud des services crypto
Pis, l'hôte du nœud tiers ne garantit pas la confidentialité de ces informations : en novembre 2022, la firme ConsenSys, propriétaire du wallet Metamask, indiquait qu'elle collectait des informations personnelles d'utilisateurs si ceux-ci utilisaient la configuration par défaut de Metamask, c'est-à-dire avec un nœud Infura, également propriété de la firme. Des informations à même d'être partagées avec filiales, partenaires commerciaux, autorités et autres fournisseurs de services, selon les conditions affichées sur le site de ConsenSys. La faculté des nœuds à collecter des informations explique par ailleurs bien pourquoi des sociétés d'analyse de blockchain comme Chainalysis en hébergent, notamment dans le cadre de prestations pour des gouvernements et autorités policières.
Pour se prémunir du mieux possible de ce type de collecte de données, il est tout à fait possible d'héberger son propre nœud, ce qui permet de se garantir un accès au réseau sans tiers et de participer à son consensus. Puisqu'un nœud complet relaie l'ensemble des transactions du réseau, il dissimule aussi plus aisément celles de son propriétaire. Enfin, et même si cette pratique ne garantit en rien une confidentialité totale, il est aussi possible d'exécuter un nœud derrière Tor afin de dissimuler son adresse IP.
Par ailleurs, l'hébergement d'un nœud n'est pas incompatible avec l'utilisation d'un hardware wallet comme Ledger ou Trezor : la firme française a d'ailleurs publié un guide sur son site tandis que son concurrent donne également un mode d'emploi impliquant l'utilisation d'Electrum.
Le cas des NFT
A l'heure du RGPD, de nombreuses sociétés convoitent le NFT comme un nouvel outil d'acquisition et de gestion de clientèle car il permet de se priver des données relatives à l'identité des clients, et ainsi faire l'économie de bases sensibles au piratage et aux régulations. "Le NFT nous permet de nous adresser aux clients avec un total respect de la data et de la confidentialité", nous confiait Stéphanie Zolesio, directrice générale de la branche immobilière au sein du groupe Casino, en 2022.
Les entreprises n'ont en effet plus besoin de conserver des données privées puisque les wallets des utilisateurs le font pour elles : en collectant un NFT, un client renseigne ainsi l'adresse d'un wallet et, si celui-ci n'a pas été généré pour l'occasion, l'ensemble de son historique. "Le wallet donne beaucoup d'informations : combien d'éthers (la monnaie de la blockchain Ethereum, ndlr), de NFT il y a-t-il ? Et est-ce que cette personne interagit beaucoup avec un smart contract. Achète-elle régulièrement et si oui, quel type de NFT ? À quelle fréquence ? Par la suite, on peut cibler ces wallets en fonction de leur budget, de leur pays", soulignait le patron de l'agence Web3 Exclusible dans le même article. "C'est beaucoup plus intéressant pour une enseigne de connaitre le parcours d'achat, de revente, de l'utilisation d'un NFT que de savoir la véritable identité d'un client", renchérissait Stéphanie Zolesio.
Parfois, le client donne même de lui-même son identité : avec la blockchain, les noms de domaine décentralisés connaissent un essor considérable. Ces extensions sont des noms enregistrés sur une blockchain sous la forme d'un NFT et peuvent être liés à une adresse URL ou une adresse crypto. Il n'est donc plus rare de voir certains utilisateurs enregistrer leur patronyme sur la blockchain et l'associer à un wallet : à titre d'exemple, Paris Hilton détient parishilton.eth, une adresse qui renvoie vers un wallet détenant plus de 1 500 NFT, dont un Bored Ape évalué à environ 100 000 dollars.
Evidemment, un patronyme peut toujours faire l'objet de cybersquatting, cette pratique consistant à parasiter un nom de domaine correspondant au nom d'une marque ou d'une personne, mais en dehors de ce cas de figure, il est clair que ces noms de domaine décentralisés sont un moyen de plus de lier une identité physique à un utilisateur virtuel.