DeSo veut votre phrase d'encouragement. Laissez-les venir la chercher.

Tard le dimanche 9 janvier, le fondateur de DeSo, Nader Al-Naji, a annoncé que son service de « médias sociaux décentralisés » seraitmettre à jour son FLOW de connexion, qui avait été largement critiquée. Mais les experts étaient presque tous d'avis que cette mise à jour aggraverait considérablement la sécurité des utilisateurs de DeSo, voire compromettrait la sécurité de l'ensemble du paysage émergent du « Web 3 ».

DeSo (anciennement BitClout) est en principe un exemple de ce que pourrait devenir le Web 3. Le système repose sur une économie de jetons destinée à aider les créateurs de contenu à être rémunérés pour leur travail, et les utilisateurs à gérer leurs actifs DeSo à l'aide de portefeuilles numériques analogues à MetaMask ou Samourai. D'autres systèmes de « jetons créateurs », notamment Roll et Rally, ont adopté des modèles similaires.

Mais des critiques ont déjà souligné que DeSo incitait les utilisateurs à adopter un comportement étrange et dangereux : saisir la « seed phrase » de leur portefeuille via une interface web pour se connecter à leurs comptes DeSo. Une « seed phrase », parfois appelée « seed phrase », donne un accès complet au contenu d'un portefeuille à quiconque la connaît, et il est impossible de la remplacer ou de la réinitialiser correctement une fois compromise.

En raison de leur grande sensibilité, la meilleure pratique généralement acceptée pour gérer les phrases clés est de ne jamais les saisir sur une interface connectée à Internet, un site web étant peut-être le pire choix possible. La responsabilité individuelle de la gestion des portefeuilles est essentielle au concept du Web 3, et la formation des utilisateurs à une bonne sécurité sera fondamentale pour la réussite globale de l'initiative.

Sur le même sujet : Nader Al-Naji (anciennement connu sous le nom de « Diamondhands ») dévoile son plan à long terme pour la blockchain BitClout

Mais au lieu de s'attaquer à ce problème fondamental en utilisant une phrase de départ comme identifiant Web, DeSo semble avoir doublé la mise : la nouvelle fonctionnalité encouragerait les utilisateurs à transmettre leur phrase de départ à Google Drive.

« Cela ne peut T être réel »

Cette prétendue solution a été accueillie avec un mépris incandescent de la part de dirigeants, d'ingénieurs et d'investisseurs de premier plan dans le Crypto - un mépris atténué par incrédulité sardoniqueque, oui, une prétendue opération Web 3 avec 200 millions de dollars d'investissement d'Andreessen Horowitz et d'autresdéfenseurs du Web 3 de premier ordre en fait, je l'ai fait.

Des personnalités importantes, dont le PDG de Sino Global Capital, Matthew Graham, semblent d'accord : utiliser le cloud pour stocker des phrases de départ contrôlant potentiellement des centaines de milliers de dollars d'actifs Crypto est, à première vue, aussi stupide que possible.

La réaction la plus énergique à la nouvelle « fonctionnalité » de DeSo est peut-être venue de Taylor Monahan, expert en cybersécurité et PDG du développeur de portefeuille MyCrypto.

Qu’est-ce qu’une phrase de départ ?

Pourquoi est-il si inacceptable de demander aux utilisateurs de saisir la phrase clé d'un portefeuille Crypto dans une extension web ? Pour les portefeuilles logiciels comme Exodus ou Electrum, une phrase clé est comparable à la « clé privée » qui donne le contrôle direct d'un compte Bitcoin sur la blockchain. Elle est générée automatiquement et, contrairement à un mot de passe Google, même le développeur du portefeuille ne peut T la voir, ni la réinitialiser ou la récupérer en cas de perte.

Et une fois que quelqu'un a la phrase clé d'un portefeuille, il peut simplement voler son contenu - ce qui, comme l'a admis dimanche Al-Naji, est exactement ce qui est arrivé à un nombre stupéfiant10%des premiers utilisateurs de DeSo.

En matière de cybersécurité, une phrase clé est donc presque aussi sensible que des données biométriques. La biométrie constitue l'épine dorsale de sécurité d'un autre projet de pseudo-cryptographie profondément malavisé :Worldcoin de Sam Altman, dont le modèle a été vivement critiqué par des experts, dont Edward Snowden. Comme l'a souligné Snowden, les données biométriques sont dangereuses car impossibles à remplacer une fois compromises. Une phrase de Crypto peut, dans une certaine mesure, être remplacée après une fuite, mais c'est un processus fastidieux qui implique la création de portefeuilles entièrement nouveaux – et lorsque cela est fait, votre portefeuille compromis peut déjà être vidé.

Sur le même sujet : Nader Al-Naji - Les réseaux sociaux Web 3 nécessitent des blockchains dédiées

Au sens strict, cela signifie que la connexion par phrase de connexion de DeSo représente un risque immense et constant pour les utilisateurs du système lui-même. En particulier, les attaques de phishing imitant fidèlement les pages de connexion officielles pour récupérer les identifiants Crypto sont devenues extrêmement répandues. Elles ont conduit à des compromissions majeures d'utilisateurs sur des plateformes comme OpenSeaet Coinbase. Mais les portefeuilles auto-hébergés sont beaucoup plus difficiles à pirater, lorsqu'ils sont utilisés correctement. Selon ses détracteurs, Al-Naji met tout en œuvre pour rendre vulnérables les portefeuilles de ses propres utilisateurs. (Les questions adressées à l'équipe DeSo concernant le rôle spécifique des phrases clés sur la plateforme DeSo ont été renvoyées au fil de discussion d'Al-Naji dimanche.)

La présentation narcissique du problème par Al-Naji a sans aucun doute exaspéré davantage les gens. Ses tweets d'annonce ont créé un choix totalement erroné entre « exiger des utilisateurs qu'ils fassent mieux » ou proposer un FLOW de sécurité fondamentalement inférieur. Mais le problème initial résidait entièrement dans la conception de DeSo, et non dans la paresse des utilisateurs. La nouvelle « solution » semble avoir été choisie pour les apparences plutôt que pour l'efficacité : Al-Naji et son équipe ne veulent T contrarier les utilisateurs avec le téléchargement d'un portefeuille logiciel sécurisé, mais ils ne peuvent T non plus admettre leur erreur en revenant sur leur mauvaise décision de conception antérieure. Au lieu de cela, nous avons assisté à un double-down classique.

L'UX est un problème de sécurité

Même si DeSo joue avec le diable, le problème bien plus important pour les critiques semble être que leur FLOW de connexion par phrase de départ entraînera les utilisateurs à adopter de mauvaises pratiques de sécurité. Cela pourrait engendrer encore plus d'incompréhensions et de tragédies dans l'ensemble de l'écosystème naissant du Web 3.

« DeSo m'exaspère parce qu'ils reconnaissent la responsabilité du portefeuille tout en ignorant délibérément toutes les bonnes pratiques de base », m'a confié Monahan lorsque je l'ai contacté pour en savoir plus. « Ce n'est pas seulement qu'ils stockent les secrets de manière non sécurisée dans le navigateur ou qu'ils expliquent aux utilisateurs qu'il est acceptable de saisir des secrets sur n'importe quel site web, c'est aussi la manière dont ils se défendent contre leurs actions malveillantes.

« Cela soulève la question : si servir les utilisateurs n’est pas une priorité, quelle est la véritable motivation de DeSo au sein de l’écosystème Web 3 ? »

Cette critique est particulièrement acerbe, car DeSo est étroitement lié aux entités qui cherchent à populariser le « Web 3 » (ou du moins à en tirer profit). À ses débuts, lorsqu'elle exploitait et vendait des jetons sous le nom de BitClout, DeSo levait des fonds auprès d'au moins 19 sources, dontBlockchain.com Capital, Arrington XRP Capital, Winklevoss Capital et, plus particulièrement, Andreessen Horowitz. Andreessen Horowitz a défendu le Web 3, notamment lors de la récente conférence de Jack Dorsey. explosion anti-Web 3.

Bien sûr, ces fonds ne contrôlent T directement les choix des fondateurs ou des entreprises dans lesquelles ils investissent. Mais ce n’est T la première fois que DeSo menace de devenir une source d’embarras pour ses bailleurs de fonds.

Un « motif sombre »

La débâcle de Google Drive fait suite à d'autres initiatives de DeSo, largement accueillies avec scepticisme ou suspicion. En tête de liste figure la conception douteuse de la levée de fonds initiale de DeSo, menée sous le nom de BitClout. La vente initiale de jetons CLOUT a utilisé ce que l'on appelle une « courbe de liaison » qui, selon les critiques, s'est traduite par un montant exceptionnellement généreux.cadeau aux investisseurs privés en prévente (même selon les normes Crypto ).

BitClout a également suscité la colère de certains, car certains ont perçu un mépris désinvolte des droits de propriété et de la Politique de confidentialité. Pour créer des profils sur la première version du produit, BitClout a utilisé Twitter pour photos de profil des utilisateurset d'autres actifs. Elle a ensuite encouragé les utilisateurs à payer pour avoir le privilège de prendre le contrôle de comptes BitClout créés sans leur autorisation, en utilisant leur propre propriété intellectuelle.

Certains utilisateurs pensaient qu'ils étaientêtre usurpépar les profils récupérés. Adam Singer, ancien responsable marketing de Google, a qualifié cette pratique de « hostile à l'utilisateur ».motif sombre BS.”

Dans le cadre du changement de nom en DeSo, le jeton CLOUT a été échangé contre deso. BitClout est désormais présenté comme une application unique construite sur la blockchain DeSo. Cependant, il y a de bonnes raisons de penser qu'il s'agissait d'un changement de nom par commodité, compte tenu du large rejet de BitClout sur ces points et d'autres. Il est également à noter que, comme l'a décrit Protos Media, le changement de nom a parfois été présenté à tort comme une levée de fonds par DeSo, alors qu'il a été reporté.les mêmes 200 millions de dollarsélevé sous le nom de BitClout.

Point positif, Al-Naji semble avoir été quelque peu humilié par les réactions négatives suscitées par son annonce de dimanche. Il s'est depuis exprimé sur Twitter, avec une apparente sincérité :demander de meilleures options pour « une connexion entièrement en auto-garde, totalement privée (pas d'informations personnelles identifiables), sans friction, adaptée aux appareils mobiles et ne nécessitant T d'extension ».

Personnellement, je trouve malavisé d'insister pour éviter une extension ou une autre couche de sécurité clairement protégée par un pare-feu. Al-Naji souligne à juste titre que le téléchargement et l'installation d'une extension constituent un obstacle pour certains utilisateurs, tout comme le téléchargement d'une application de streaming sur son Roku, et Netflix semble s'en sortir sans problème. Certains compromis peuvent être nécessaires pour ajouter de nouveaux utilisateurs, mais la gestion des clés est une fonctionnalité inhérente au Web 3, et non un bug gênant. À ce stade, il incombe aux startups de former les futurs utilisateurs du Web 3 à la bonne utilisation des fonctionnalités.

Choisir plutôt de permettre aux utilisateurs de contourner paresseusement l'architecture fondamentale du Web 3 pourrait favoriser la croissance d'opérations individuelles comme DeSo à court terme. Mais en enseignant les mauvaises leçons, ces pratiques augmentent les risques pour les utilisateurs et, par conséquent, fragilisent les fondations de tous les autres projets de l'écosystème. Cela explique précisément pourquoi tant de personnes sont furieuses : l'erreur de sécurité de DeSo équivaut, ironiquement, à une sorte de vol à l'effort global du Web 3.