Les méthodes peu connues par lesquelles Ethereum révèle les données de localisation des utilisateurs

« Les gens ne se rendent T compte de la quantité d’informations qui sont disponibles. »

C'est Peter Szilagyi, un développeur CORE Ethereum qui gère le client logiciel Geth, faisant référence au fait que peu d'attention a été accordée à la couche réseau sous-jacente de la blockchain, où les informations sont parfois exposées de manière complexe et imprévisible.

En effet, il existe une prise de conscience des implications d’une telle exposition, et cela a donné lieu à uneaccélération continue dans le cadre de recherches sur la manière de mieux masquer les données utilisateur au niveau de l'application, qui repose sur la blockchain Ethereum , un système transparent qui publie des données de contrats intelligents et de transactions.

Dans une interview, Szilagyi a décrit les composants peer-to-peer qui sous-tendent la deuxième plus grande blockchain au monde en termes de capitalisation boursière comme une « chose de magie noire ».

Cet état de fait a été mis en lumière lors de son intervention à la conférence annuelle des développeurs, Devcon4, à Prague la semaine dernière. Szilágyi a détaillé plusieurs préoccupations susceptibles d'entraîner une fuite de métadonnées utilisateur au fil du temps et, dans le pire des cas, de fournir les bases d'une cartographie mondiale précise de la localisation des utilisateurs Ethereum .

Lors de son exposé de vendredi dernier, Szilagyi s'est concentré sur deux manières dont cela pourrait se produire, en mettant l'accent sur des sites Web comme l'explorateur de blockchain populaire, Etherscan, et des « clients légers » tels que des applications mobiles ou basées sur un navigateur.

« Lorsque les gens abandonnent les nœuds complets, ils renoncent à certaines garanties et je veux simplement souligner les problèmes potentiels qui pourraient survenir », a déclaré Szilagyi à CoinDesk.

Szilagyi a commencé à rencontrer ces problèmes suite à la mise en place d'un projet parallèle : une alternative à Facebook, décentralisée et privée par défaut. Suite à ses recherches, Szilagyi a constaté que les fuites de métadonnées rendent difficile l'interaction anonyme avec les autres.

« Nous n'avons T ça avec Ethereum», a expliqué Szilagyi. « C'est à cause de ce projet que ces fuites ont commencé à me perturber. »

S'exprimant vendredi, Szilágyi a déclaré que de nombreux problèmes sont si profondément ancrés qu'il est difficile de les résoudre sans risquer de compromettre les applications fonctionnant sur Ethereum. Néanmoins, le développeur a détaillé des méthodes susceptibles d'atténuer les risques pour les utilisateurs.

« La plupart des gens dans la blockchain et Ethereum veulent construire au sommet, tandis qu'il y a une équipe en bas qui fait le sale boulot », a-t-il déclaré à CoinDesk, ajoutant :

« Ce n’est pas que ce soient des problèmes insolubles, mais il faut que quelqu’un comprenne qu’ils existent. »

« Traqueurs étranges »

Lors de sa conférence Devcon, Szilágyi a détaillé les différentes manières dont les informations sensibles des utilisateurs peuvent être exposées lors de leurs interactions avec Ethereum. Prenant l'exemple d'Etherscan, Szilagyi a expliqué qu'une combinaison particulière est révélée au site web lorsque les utilisateurs y accèdent : un LINK entre l'adresse IP d'un utilisateur et son adresse Ethereum .

Et c’est remarquable car, en tant que numéro d’identification informatique unique, une adresse IP révèle les données de localisation de l’utilisateur.

Ces informations sont ensuite partagées avec Google Analytics et Etherscan. De plus, l'outil de commentaires sous-jacent d'Etherscan – un module complémentaire populaire pour les commentaires de sites web appelé Disqus – reçoit également ces informations et partage ensuite cette activité avec ses partenaires.

« Disqus révèle en fait le mappage des adresses IP vers Ethereum vers Facebook, Twitter et Google Plus », a déclaré Szilagyi.

Disqus compte au total 11 intégrations de ce type, telles que YouTube, Vimeo et d'autres services, qui reçoivent également ces informations. L'outil contient également d'autres « trackers étranges », a expliqué Szilágyi, notamment des plateformes d'intelligence artificielle et des places de marché de données.

Et c'est remarquable car cela n'impacte T seulement Etherscan, mais toute application décentralisée (dapp) qui utilise les mêmes outils.

« C'est un problème car vous associez essentiellement votre mappage d'adresse IP à Ethereum et vous le révélez à de nombreux services », a poursuivi Szilagyi.

Etherscan a pris des mesures pour supprimer ces fonctionnalités, a déclaré Szilagyi. Actuellement, l'entreprise utilise Google Analytics, mais l'équipe en charge du projet cherche à supprimer cet aspect du site web. Après avoir fait appel à une agence de publicité externe, Etherscan prend également des mesures pour internaliser le réseau publicitaire.

Mais d'autres dapps affectées pourraient ne pas être aussi proactives qu'Etherscan pour traiter les fuites, selon Szilagyi.

Comme il l’a expliqué :

« Nous avons fait appel à Etherscan pour résoudre le problème, mais pouvons-nous utiliser l'application décentralisée numéro 2 000 pour le résoudre ? Probablement pas. Les utilisateurs doivent donc aussi se protéger. »

Les mêmes informations – adresse IP vers Ethereum – sont également partagées lorsque les utilisateurs accèdent à d'autres services, a poursuivi Szilágyi, comme Infura, MetaMask et MyCryptoWallet.

Protocole À découvrir

Szilagyi a proposé d’autres solutions pour contourner ce dilemme, notamment l’utilisation du réseau Tor pour masquer les adresses IP et du navigateur Brave pour bloquer les traqueurs en ligne.

Mais selon le développeur, l'accès à Ethereum peut également exposer des informations sensibles par d'autres moyens plus subtils. Prenant l'exemple des clients légers – la solution simplifiée et peu gourmande en stockage permettant aux utilisateurs Ethereum d'accéder au réseau –, Szilagyi a expliqué qu'il existe deux types d'activités sur le réseau hautement traçables.

Le premier est ce qu’on appelle le « protocole À découvrir ».

Lorsque les clients légers se connectent au réseau Ethereum , l'adresse IP est également révélée. Comme les clients légers se reconnectent continuellement, le protocole À découvrir révèle une carte précise de la localisation de l'utilisateur.

« Chaque fois que je me connecte au réseau, je révèle en fait au réseau que cette machine qui était à Berlin la semaine dernière était à Prague cette semaine », a déclaré Szilagyi.

Ces données de localisation sont publiques, donc en théorie, n'importe qui peut scanner le réseau pour créer une carte mondiale très précise des emplacements des utilisateurs Ethereum .

« Si vous êtes prêt à faire cela, par exemple, tous les jours, essayez simplement de scanner le réseau tous les jours, alors vous pouvez réellement créer un historique extrêmement précis de l'endroit où chaque nœud Ethereum individuel se déplaçait au fil du temps », a déclaré Szilagyi.

De plus, l'un des aspects clés du fonctionnement des clients légers réside dans la manière dont le logiciel minimise l'activité en se connectant aux adresses associées à un utilisateur. Si cette approche réduit la bande passante, la latence et le trafic, elle a pour conséquence de rendre explicites les relations IP et adresses sur le réseau.

« Les serveurs légers seront capables de cartographier statistiquement que cette adresse IP particulière est intéressée par une adresse particulière », a déclaré Szilagyi.

Tout comme pour le protocole À découvrir , ces informations sont facilement accessibles. Malheureusement, une connexion via Tor risque de nuire à la fiabilité du client léger.

« Nous n'avons T de carte mondiale des adresses IP mobiles, mais plutôt une carte mondiale des adresses Ethereum mobiles », a déclaré Szilagyi, ajoutant :

« Et encore une fois, comme pour le protocole À découvrir Ethereum , cela peut être fait publiquement par tout le monde. »

Meilleures pratiques

Malheureusement, selon Szilagyi, il n'existe pas de solution simple à nombre de ces problèmes, certains étant inhérents au fonctionnement des clients légers et des explorateurs. Cependant, lors de son intervention vendredi, le développeur a partagé des recommandations précises avec les utilisateurs et les développeurs Ethereum .

Plus précisément, Szilagyi a identifié trois manières par lesquelles ces informations peuvent être mieux dissimulées à court terme.

Premièrement, il a fait valoir que les utilisateurs devraient exécuter des nœuds complets. Bien que plus gourmands en matériel, les nœuds complets signifient que vous pouvez stocker toutes les données localement et y accéder sans interagir avec qui que ce soit d'autre. De plus, comme les nœuds complets vérifient que l'état sous-jacent d'Ethereum est correct, l'exécution d'un nœud complet présente également des avantages en matière de sécurité.

« Bien que les gens n'aiment T les nœuds complets, les nœuds complets sont en fait les meilleurs anonymiseurs de l'écosystème Ethereum », a déclaré Szilagyi.

Deuxièmement, Szilagyi a soutenu que les développeurs devraient s'inspirer du travail effectué en anonymisant les couches réseau, telles que le navigateur Tor et I2P, pour rechercher comment mieux dissimuler les fuites de métadonnées au niveau du réseau.

«La Politique de confidentialité sur Ethereum est une très mauvaise chose. Mais cela ne signifie T que ce soit une tâche impossible à résoudre », a-t-il déclaré. « Vingt ans de recherche ont été consacrés à la manière de la mettre en œuvre correctement, alors essayons au moins de Guides de leurs résultats et de trouver une solution. »

Enfin, Szilagy a exhorté les développeurs à ne pas blâmer les utilisateurs pour leurs mauvaises pratiques en Politique de confidentialité lors de leurs interactions avec Ethereum. Il a également souligné que de nombreux utilisateurs ignorent peut-être l'existence d'options comme le navigateur Tor.

Ainsi, Szilagy a déclaré : « C'est en quelque sorte à nous, en tant que développeurs d'applications et de plateformes, de comprendre le problème et de le résoudre. »

Dans cette optique, Szilagy a conclu sur une note de prudence. Citant Facebook comme exemple, le développeur a déclaré que si les caractéristiques de protection de la vie privée ne sont T intégrées dès le départ, une telle approche pourrait avoir des répercussions à l'avenir.

« Je ne pense T que Facebook ait été créé pour collecter des données sur les utilisateurs, T pour abuser des élections, ce genre de choses s'est produit comme ça », a déclaré Szilagy, concluant :

« Nous ne voulons T le réparer uniquement pour protéger les utilisateurs contre les attaques externes. Je pense qu'il est également important de souligner que nous voulons également protéger les utilisateurs contre nous-mêmes. »

Image Devcon via les archives CoinDesk