P256 : l'application de Cometh pour enfin rendre le wallet crypto accessible à tous
Comment mettre un wallet crypto dans les mains de millions d'utilisateurs ? Comment le rendre facile d'utilisation sans sacrifier la sécurité de sa clef privée ? Ces questions préoccupent toujours les entreprises désireuses de sensibiliser leur clientèle aux technologies du Web3. Sur mobile, Coinbase Wallet et Rainbow essayent d'améliorer l'expérience utilisateur déficiente chez le rival et leader du marché Metamask. Avec sa fonctionnalité de Guardians, des tuteurs de confiance désigner pour rendre accès au wallet en cas de perte de clef privée, et avec l'usage natif de noms de domaine ENS pour rendre les adresses lisibles, Argent a également optimisé l'accessibilité. En France, l'entreprise Arianee vante les mérites de son wallet, avec un backup chiffré possible de sa clef sur le cloud, notamment adopté par le Club Leader Price. Toujours dans l'Hexagone, Ledger s'attelle à démocratiser l'usage du wallet physique, notamment par son interface Ledger Live ou avec l'arrivée du modèle Stax, à l'ergonomie prometteuse mais à un tarif qui peut rebuter le plus grand nombre.
Pour autant, toutes ces solutions s'accompagnent toujours d'étapes laborieuses. "Mettre un wallet dans les mains de quelqu'un, c'est un bizutage, et il y a des bizutages plus ou moins agréables dans tous les cas. C'est un nouveau modèle de sécurité alors qu'il y a déjà l'email avec le mot de passe, la connexion via Google ou Apple ID, des changements assez profonds dans les habitudes des gens. Or, l'approche crypto qui exige l'installation d'un wallet est très rude pour l'utilisateur", estime Jérôme de Tichey, fondateur et CEO de Cometh. La startup et studio de jeu français en a fait le constat au moment d'acquérir de nouveaux joueurs. "On a essayé beaucoup de solutions de l'écosystème qui ont toutes des propositions de valeur intéressantes, comme MagicLink (une authentification par un lien, ndlr), du Web3Auth (infrastructure d'authentification sans mot de passe par le wallet), Torus (système de gestion de clefs construit sur Web3Auth) et à chaque fois, il y a des points de friction", poursuit-il. "Avec un jeu vidéo classique, on accueille les joueurs en deux clics. Au regard de la maturité actuelle de la blockchain, comment peut-on accueillir les joueurs en deux clics, sans pop-up qui renvoie vers Metamask, sans changer de réseau ?"
Une combinaison de WebAuthn et de l'EIP-4337
Pour faciliter ce processus, Alembic, le département innovation de Cometh, lance p256, l'application qui permet à un utilisateur le mint de NFT sans installer de wallet et sans payer de frais de transaction. Pour cela, l'équipe de recherche a collaboré avec Ledger pour combiner deux technologies, notamment WebAuthn, déjà intégré par le réseau Starknet. Ce standard de signature électronique est une initiative de la WorldWideWeb Consortium, l'organe de décision des infrastructures Internet, afin de se débarrasser des mots de passe. En dépit de rumeurs de vulnérabilité, aucune faille n'a encore jamais été révélée. "Des gens sérieux comme Onfido, Yubikey ou Ledger l'approuvent. Force est de constater qu'elle est aujourd'hui portée par un organisme très puissant et qu'elle est aussi disponible dans des trucs comme Safari, Firefox, Google Chrome, iOS jusque dans le trousseau de clefs d'Apple. C'est un standard de signature très pratique puisqu'il permet de générer une clé de session pour interagir avec un site Internet", détaille Jérôme de Tichey. Avec WebAuthn, la clef d'authentification est générée par un site sur le téléphone. Grâce à cette clef, le téléphone devient un moyen de s'authentifier. Après des travaux de recherche, Alembic et Ledger ont optimisé l'algorithme de WebAuthn dans le langage Solidity, utilisé par les réseaux Ethereum.
Pendant ces travaux, le réseau Ethereum a quant à lui adopté un nouveau standard, l'EIP-4337, qui permet l'abstraction de compte : en résumé, il devient possible d'utiliser les fonctionnalités de la blockchain sans créer un portefeuille associé à une clef privée. Avec ce standard, plusieurs utilisateurs peuvent même effectuer des transactions distinctes en utilisant un même compte.
Dès lors, en combinant WebAuthn et la norme EIP-4337, la solution p256 d'Alembic permet à l'utilisateur d'une application de s'authentifier avec son téléphone et d'exécuter des transactions blockchain sans se soucier de la gestion d'un wallet. Sur la page d'accueil de présentation de p256, l'application propose ainsi simplement de scanner un QR code avec son téléphone pour minter un NFT : pas de phrase de douze mots à retenir ou de clef privée à stocker dans un lieu secret.
Toujours en phase de test, l'outil représente une solution intéressante pour les entreprises désireuses d'accueillir leurs clients dans un environnement Web3 sans les frictions qui vont de pair. Tous les sites, jeux ou applications utilisant le programme pourra identifier l'utilisateur et ce, quel que soit le réseau EVM (compatible avec Ethereum) utilisé. Cometh devrait le déployer sur Polygon pour son jeu Cometh Battle "dès ce mois d'avril", selon Jérôme de Tichey, avant de le porter sur un autre layer-2, Optimism. A terme, p256 pourrait bien être l'une des briques pour faciliter l'arrivée des nouveaux entrants dans le Web3. "C'est un début de solution mais ce n'est pas la carotte", tempère Jérôme de Tichey. "Il faut donner des solutions et du contenu qui apporte une plus-value au quotidien des gens : je suis convaincu que la DeFi en apporte beaucoup, le jeu également, et c'est notre cheval de bataille", poursuit le dirigeant de Cometh, qui travaille par ailleurs sur l'infrastructure technologique du prochain projet Web3 de la Française des Jeux.