Vérification d'identité pour prévenir les attaques Sybil sur les blockchains

Imaginez un réseau où n’importe qui peut créer des centaines, voire des milliers, d’identités fausses pour contrôler les votes, voler des airdrops ou fausser les décisions. Ce n’est pas un scénario de film. C’est une réalité dans les blockchains publiques non vérifiées. C’est ce qu’on appelle une attaque Sybil. Et sans vérification d’identité, elle est presque inévitable.

Qu’est-ce qu’une attaque Sybil ?

Une attaque Sybil se produit quand un seul acteur malveillant crée de nombreuses fausses identités pour dominer un réseau décentralisé. Le nom vient d’un livre de 1973 sur une femme ayant 16 personnalités différentes - un cas extrême de dissociation. Dans le monde de la blockchain, ça veut dire qu’un seul hacker peut faire croire qu’il est des centaines d’utilisateurs. Il peut alors voter plusieurs fois dans un DAO, réclamer des tokens plusieurs fois lors d’un airdrop, ou même manipuler les mécanismes de consensus.

Les blockchains comme Bitcoin ou Ethereum sont conçues pour être ouvertes. N’importe qui peut rejoindre, sans avoir à prouver qui il est. C’est une force… mais aussi une faille. Sans vérification, il n’y a aucun moyen de dire si une identité est réelle ou fabriquée. Les bots, les fermes de machines, les comptes créés en masse - tout cela devient un problème majeur.

Pourquoi la vérification d’identité est-elle nécessaire ?

Les mécanismes comme Proof-of-Work (PoW) ou Proof-of-Stake (PoS) tentent de résoudre ce problème en rendant coûteux le contrôle du réseau. Avec PoW, il faut de la puissance de calcul. Avec PoS, il faut posséder des tokens. Mais ces solutions ont leurs limites. Le PoW consomme une énergie énorme. Le PoS favorise les riches. Et dans les DAO ou les protocoles DeFi, où les votes ou les distributions de tokens dépendent du nombre d’identités, ces mécanismes ne suffisent pas.

C’est là que la vérification d’identité entre en jeu. Elle permet de dire : « Tu es une personne réelle, pas 500 bots. » Des plateformes comme Formo ou Proof of Humanity utilisent des méthodes pour prouver l’unicité humaine - par exemple, en demandant une vidéo selfie avec un code, ou en vérifiant une pièce d’identité. Formo traite environ 12 000 vérifications par jour avec une précision de 98,7 %. Ce n’est pas parfait, mais c’est beaucoup mieux que rien.

Comment ça marche ?

Il existe deux grandes approches : directe et indirecte.

La vérification directe, c’est quand un système vérifie une identité en se connectant à une source fiable - comme une base de données gouvernementale, un numéro de téléphone, ou une carte bancaire. Mais ces méthodes ont un gros défaut : elles sont faciles à contourner. On peut acheter des numéros de téléphone prépayés par milliers. On peut pirater des serveurs SMS. On peut utiliser des IP proxy. Ce n’est pas une solution durable.

La vérification indirecte, elle, repose sur la confiance. Si une identité déjà vérifiée vouch pour une autre, alors cette dernière est considérée comme légitime. C’est un peu comme un système de recommandations. C’est plus résistant aux attaques, mais plus lent à démarrer. Et il faut déjà avoir une communauté de participants de confiance.

Les solutions les plus avancées utilisent l’identité décentralisée (DID). Avec ce système, vous gardez le contrôle de vos données. Vous ne les envoyez pas à un serveur central. Vous montrez seulement une preuve cryptographique que vous êtes une personne unique - sans révéler votre nom, votre adresse ou votre date de naissance. C’est ce qu’on appelle la vérification à preuve nulle (zero-knowledge proof). Ethereum a commencé à intégrer ces standards avec les EIP-725 et EIP-735. Les premiers tests montrent 89 % d’efficacité pour bloquer les Sybil sans violer la vie privée.

Les défis : vie privée vs sécurité

Il n’y a pas de solution parfaite. Chaque méthode implique un compromis.

D’un côté, vous avez les puristes de la blockchain. Ils disent : « Si vous exigez une pièce d’identité, vous détruisez l’anonymat. Vous créez un système de surveillance. » Vitalik Buterin a écrit en 2023 qu’une vérification obligatoire va à l’encontre de l’esprit même des blockchains publiques. Et il a raison : si vous devez passer par un KYC pour voter dans un DAO, vous n’êtes plus vraiment décentralisé.

De l’autre côté, vous avez les développeurs de DeFi et les DAO. Ils voient leurs airdrops pillés par des bots, leurs votes faussés, leurs budgets dilués. En 2023, 63 % des nouveaux DAO intégraient une forme de vérification d’identité - contre seulement 22 % en 2021. Pour eux, la sécurité prime.

Les utilisateurs eux-mêmes sont divisés. Sur Reddit, certains se plaignent de passer 17 minutes à vérifier leur identité pour un airdrop. Mais 82 % disent que c’était nécessaire. Sur Trustpilot, 47 % des critiques négatives parlent de gens exclus parce qu’ils n’ont pas de carte d’identité valide - souvent des personnes dans les pays en développement ou sans accès à la bureaucratie.

Qui utilise quoi ?

Les blockchains publiques comme Bitcoin ou Ethereum ne veulent pas de vérification obligatoire. Mais les réseaux semi-permissionnés, comme ceux utilisés par les entreprises, l’adoptent massivement. Hyperledger Fabric, par exemple, exige une identité vérifiée pour chaque participant. Selon une enquête de la Linux Foundation, 91 % des entreprises disent que cela a réduit les attaques Sybil.

Les protocoles DeFi, eux, adoptent des solutions hybrides. Certains utilisent Proof of Humanity - un registre où les gens s’inscrivent en prouvant qu’ils sont humains. D’autres utilisent des systèmes comme Civic ou Microsoft ION. Microsoft ION a reçu une note de 4,2 sur 5 pour les applications d’entreprise, mais seulement 2,1 sur 5 pour les blockchains publiques. Pourquoi ? Parce que les entreprises acceptent la vérification. Les particuliers, non.

Le marché et l’avenir

Le marché mondial de la vérification d’identité sur blockchain a valu 1,27 milliard de dollars en 2023. Il devrait atteindre 8,42 milliards d’ici 2028. C’est une croissance de 46 % par an.

Les régulations accélèrent tout ça. L’Union européenne a adopté son portefeuille d’identité numérique en juin 2023. Il oblige les applications blockchain qui gèrent des transactions financières à intégrer des mécanismes de vérification robustes. Aux États-Unis, la SEC surveille de près les airdrops. Si des bots les pillent, les projets peuvent être poursuivis pour fraude.

Les innovations arrivent vite. Le W3C a publié en février 2024 une nouvelle version du standard Verifiable Credentials, qui permet de prouver que vous êtes unique - sans rien révéler sur vous. Des projets comme zk-SNARKs et zk-Rollups intègrent désormais cette technologie. Dans cinq ans, selon Forrester, 60 % des applications blockchain d’entreprise utiliseront une forme de vérification d’identité. Pour les blockchains publiques, ce sera différent : des systèmes hybrides, où une partie de l’identité est vérifiée, mais pas complètement révélée.

Que faire si vous développez un projet blockchain ?

Si vous créez un DAO, un protocole DeFi, ou un système de récompenses, voici ce qu’il faut faire :

• Ne partez pas du principe que la décentralisation signifie l’anonymat total. Acceptez que la sécurité passe par une vérification limitée.
• Évitez les systèmes basés sur les numéros de téléphone ou les IP. Ils sont trop faciles à pirater.
• Privilégiez les solutions basées sur l’identité décentralisée (DID) et les preuves à connaissance nulle.
• Testez avec des utilisateurs réels. Si 30 % d’entre eux abandonnent la vérification, votre système est trop lourd.
• Offrez des alternatives : une vérification partielle pour les utilisateurs sans documents, un système de réputation pour les anciens participants.
• Documentez clairement pourquoi vous faites cette vérification. Les gens acceptent mieux ce qu’ils comprennent.

Les pièges à éviter

• Ne stockez pas les données d’identité. Si vous les gardez sur un serveur, vous devenez une cible pour les pirates. Utilisez des protocoles qui gardent les données chez l’utilisateur.
• Ne forcez pas le KYC sur tout le monde. Certains utilisateurs n’ont pas de passeport. Ils sont exclus. Cela va à l’encontre de l’esprit ouvert de la blockchain.
• Ne pensez pas que la vérification est une solution magique. Elle bloque les bots, mais pas les attaques par collusion. Si 10 personnes réelles collaborent pour créer 100 comptes, ça peut encore marcher.
• Ne négligez pas la conformité. Si vous ciblez l’Europe, la Suisse ou le Canada, vos systèmes doivent respecter le RGPD. Les lois varient d’un pays à l’autre.

La vérification d’identité n’est pas une fin en soi. C’est un outil. Et comme tout outil, il faut l’utiliser au bon endroit, avec la bonne intention. Les blockchains ne doivent pas devenir des systèmes de surveillance. Mais elles ne peuvent pas non plus rester des terrains de jeu pour les bots. Le chemin du milieu existe : prouver que vous êtes humain, sans révéler qui vous êtes.