Metamask, la principale extension de navigateur d’Ethereum, diffuserait les adresses ETH à tous les sites web qu’un utilisateur visite dans ses paramètres par défaut, selon la déclaration d’un numéro de GitHub soumis le 20 mars.
Il est à noter que Metamask est une extension du navigateur Brave qui permet à ses utilisateurs de travailler avec des applications basées sur Ethereum. Metamask est compatible avec Google Chrome, Mozilla Firefox, et Opera. Conformément à la problématique GitHub mentionnée ci-dessus, Metamask diffuse l’adresse ETH de ses utilisateurs sur tous les sites web visités dans ses paramètres par défaut. L’article précisait en outre que les adresses ETH sont affichées dans des objets de données contenus dans les messages diffusés, par opposition aux objets de fenêtres.
Selon le rapport, cela peut conduire à l’identification des utilisateurs et exclut l’utilisation de Metamask par des DApps sensibles à la protection de la vie privée. Plus précisément, l’utilisateur cite en exemple la chaîne de fessée des DApps pornographiques récemment piratées et les DApps de la santé.
En outre, non seulement les administrateurs des sites web visités ont accès aux adresses Metamask des utilisateurs, mais aussi les « trackers » tels que les boutons retweet, les boutons share ou similaires, et les systèmes analogues qui peuvent prendre les empreintes digitales du navigateur. En outre, l’utilisateur a noté sur GitHub qu’il s’attend à ce que ces messages diffusés diminuent considérablement la valeur de l’EPF à long terme.
Dans sa réponse à la question de GitHub, le développeur Dan Miller a fait valoir que l’activation du mode privé résout le problème. À cela, l’utilisateur qui a créé le rapport répond qu’il ne résout pas le problème. Daniel Finlay, un développeur de ConsenSyssoftware, a admis qu’ils sont d’accord sur le fait qu’il est nécessaire d’autoriser le mode privé par défaut et que la confidentialité de l’extension pourrait être améliorée.
Enfin, M. Finlay a également répondu aux affirmations de l’utilisateur selon lesquelles les fonctions de confidentialité prétendument déficientes du logiciel sont des caractères malveillants :
« Nous rejetons catégoriquement toutes vos affirmations selon lesquelles il s’agirait d’une étrange malveillance de notre part. Ce serait le geste le plus fou que nous puissions faire sur un projet de cryptographie atotalement open source. »
Comme l’ont rapporté les médias cryptographiques en novembre dernier, Metamask a présenté la version amobile de son logiciel dans le passé. Cependant, elle n’a pas encore été publiée. En revanche, un logiciel malveillant se faisant passer pour l’outil est apparu sur GooglePlay et a ensuite été retiré du magasin en février.