Collecte d’IP sur MetaMask : Consensys clarifie l’affaire, mais cela change-t-il le fond du problème ?

Consensys répond aux critiques – MetaMask est de loin le wallet de référence d’Ethereum et les chaînes EVM. Néanmoins, son leadership pourrait être remis en cause après qu’il se soit attiré les foudres de la communauté. En effet, Infura couplé à MetaMask entraînerait une collecte des adresses IP.

MetaMask et collecte des données

Jeudi 24 novembre, toute la sphère crypto de Twitter n’avait qu’un mot à la bouche : MetaMask. En effet, le wallet au renard s’est retrouvé au cœur de la tourmente après qu’une modification des politiques de confidentialité de Consensys ait été mise en lumière

Ainsi, les nouvelles politiques de confidentialités de Consensys stipulent : 

« Lorsque vous utilisez Infura comme fournisseur RPC par défaut dans MetaMask, Infura collecte votre adresse IP et votre adresse de portefeuille Ethereum lorsque vous envoyez une transaction. »

En d’autres termes, si vous utilisez MetaMask avec le RPC par défaut, Infura va collecter votre adresse IP et l’adresse de vos wallets. Cette collecte pourrait engendrer une base de données reliant chaque adresse ayant utilisé le wallet MetaMask à son IP. 

Évidemment, il n’en aura pas fallu plus pour qu’une partie de la communauté appelle au boycott de MetaMask. 

Affaire des adresses IP et MetaMask

Consensys veut éclaircir la situation

Peu après la naissance du bad buzz sur Twitter, l’entreprise Consensys a publié un billet de blog visant à éclaircir certains points qui pouvaient prêter à confusion


Dans un premier temps, Consensys déclare que les nouvelles politiques « n’entraînent pas une collecte ou un traitement plus intrusif des données ». Celle-ci souhaite également calmer les rumeurs d’une pression externe, stipulant que ces modifications ne font pas suite à des demandes réglementaires. 

Celle-ci explique que lorsqu’un utilisateur se sert de MetaMask via le RPC Infura, le RPC doit recevoir l’IP et l’adresse du wallet pour traiter la demande

« Ce n’est pas spécifique à Infura et c’est conforme à la façon dont l’architecture web fonctionne dans l’ensemble. »

Selon les informations révélées par des développeurs du projet, les informations telles que l’IP ou les adresses de wallet sont uniquement stockées afin d’améliorer l’expérience utilisateur. Notamment pour créer des données en cache qui permettront d’accélérer la récupération des données. 

De surcroît, l’entreprise a déclaré qu’elle n’exploite pas les données ni les monétise.

Qu’en est-il vraiment ? 

L’ensemble des informations données par Consensys semble être justifié. En effet, les adresses IP sont également visibles lors de l’utilisation d’un autre RPC que celui d’Infura, bien que ce dernier puisse ne pas stocker les données. 

Vis-à-vis du respect des réglementations en vigueur, notamment RGPD, l’ensemble des usages qui pourraient être faits de ces informations sont listés sur le site officiel de Consensys. 

Néanmoins, certains termes pourraient être utilisés à des fins détournées. C’est notamment le cas du terme suivant : 

« Nous pouvons utiliser vos informations personnelles pour protéger, enquêter et décourager les activités frauduleuses, non autorisées ou illégales. »

Les développeurs de MetaMask voient un autre problème

De surcroît, plusieurs développeurs débattent du sujet sur une Issue GitHub du projet MetaMask et leurs trouvailles sont également surprenantes. 

En effet, Consensys déclare que les utilisateurs peuvent contourner cette collecte en utilisant un autre RPC que celui par défaut dans MetaMask. 

Néanmoins, il semblerait que le RPC d’Infura soit au moins appelé une fois lors de la création du wallet, comme souligné par Micah Zoltu :

« Lors du premier déverrouillage du portefeuille, MetaMask envoie une demande de solde par lot pour chaque compte au point final JSON-RPC actuellement sélectionné. Cela signifie que le point final JSON-RPC peut relier tous les comptes de l’utilisateur. »

Par conséquent, cette première connexion pourrait permettre de créer un lien entre IP et adresses de wallets. 

Bien que cela puisse être pour des raisons de performance et de confort utilisateur, de nombreux développeurs s’entendent sur le fait que cela ne devrait pas être le cas par défaut. Il faudrait à l’inverse privilégier une configuration qui favorise davantage l’anonymat. 

Reste maintenant à voir ce que Consensys fera de ces remarques. Espérons pour l’entreprise que celle-ci saura entendre les craintes de ses utilisateurs, au risque de perdre bon nombre d’entre eux sans réaction de leur part. 

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.