MetaMask admet qu'ils stockent temporairement les adresses IP

"Nous n'utilisons pas les adresses IP même si elles sont temporairement stockées, ce qui n'est pas nécessaire, car nous ne les utilisons pour rien", a déclaré Dan Finlay, co-fondateur de MetaMask.

Cela fait suite aux révélations liées au RGPD de ConsenSys, la société mère de MetaMask, selon lesquelles Infura collectera votre adresse IP et votre adresse Ethereum, qui sont en fait liées l'une à l'autre.

Infura est un fournisseur d'infrastructure de nœuds et agit comme nœud par défaut de MetaMask. Lorsque ces valeurs par défaut sont utilisées, MetaMask stockera également votre adresse IP.

Micah Zoltu, un développeur d'Ethereum, affirme que les adresses IP sont collectées non seulement lorsque vous envoyez une transaction, mais également lorsque vous déverrouillez - comme pour vous connecter à - MetaMask.

"Dès que vous débloquerez votre compte, Infura collectera votre adresse IP et toutes vos adresses. De plus, lorsque vous connectez un grand livre, il enverra également toutes ces adresses à Infura », a déclaré Zoltu.

Il s'agit simplement de regrouper les demandes, dit Finlay, pour rendre les soldes. "Nous ne faisons rien de malveillant ici, tout le monde projette simplement ses pires craintes", insiste-t-il.

Finlay confirme que si un autre point d'appel de procédure distante (RPC) est utilisé, comme votre propre nœud, MetaMask ne collecte pas les adresses IP.

L'exécution de votre propre nœud peut cependant être un processus fastidieux qui nécessite plus de stockage qu'un ordinateur ordinaire, mais le stockage est bon marché et pour tous ceux qui veulent vraiment une confidentialité totale, vous pouvez exécuter un nœud sur Raspberry Pi.

Ou vous pouvez simplement exécuter un VPN. Pour les cryptoniens américains en particulier, qui sont bannis de certains dapps et projets en raison des restrictions de la SEC, l'exécution d'un VPN devrait devenir courante pour la confidentialité générale.

Pourtant, la majorité se connectera probablement via leur IP ordinaire et via Infura plutôt que leur propre nœud. Finlay insiste sur le fait que même pour ces utilisateurs, la collecte d'IP est accidentelle.

"Certains logiciels, y compris l'infrastructure cloud que nous pourrions utiliser, peuvent se connecter par défaut sans être évidents, nous devons donc exclure ce risque pendant que nous recherchons et éliminons ceux-ci", dit-il. "En gros : supposez que si vous accédez à un serveur public, il y a un risque que des journaux se produisent, même accidentellement."

Alors que Joseph Lubin, le fondateur de ConsenSys, précise que l'adresse et la communication IP avec Infura, ou la blockchain, et votre navigateur sont nécessaires pour fournir le service. Il dit:

« Premièrement, l'adresse de la blockchain est nécessaire car elle fait partie de la requête envoyée à une blockchain.

L'adresse IP est également requise pour renvoyer la réponse au demandeur. »

MyEtherWallet (MEW) a cependant annoncé qu'il ne collectait pas d'adresses IP, affirmant que "nous n'avons jamais collecté et ne collecterons jamais d'informations identifiables sur nos utilisateurs".

MEW semble exécuter sa propre infrastructure de nœuds et possède une extension de navigateur appelée Enkrypt.

Le code d'Enkrypt est open source, vous pouvez donc vérifier qu'ils ne collectent pas réellement de données, mais l'infrastructure de nœuds exécutée par MEW n'est évidemment pas open source, vous ne pouvez donc pas en être certain.

La meilleure option est donc d'exécuter un VPN ou de se connecter à votre propre nœud, sachant depuis longtemps que les nœuds peuvent collecter des adresses IP qui s'y connectent, cette affaire MetaMask n'étant pas non plus un nouvel état comme le dit Finlay :

« Nous ne commençons pas [juste] à [collecter les adresses IP], nous essayons en fait de réduire toutes les instances de PII mises en cache. Il s'agissait d'un avis juridique de conformité au RGPD [qu'ils collectent des adresses IP]. »