Préambule:
Ceci est une traduction du topic de 1miau expliquant pourquoi le KYC est potentiellement extrêmement dangereux et inutile. Merci à lui.

Quelques termes ont été volontairement laissé en anglais comme shitcoins, altcoins ou bounties. Un lexique est disponible.

Quand ci-dessous il est écrit 'je', il s'agit de l'avis de 1miau, pas du mien.

---

---

Chacun d’entre nous est effrayé à l’idée de perdre de l’argent suite à des piratages, arnaques, nos propres erreurs ou même de mauvaises décisions (acheter des shitcoins inutiles, vendre ses coins trop tard ou bien trop tôt, etc.). La plupart des sujets traitent de problèmes comme ceux-ci. Mais quand il s’agit de pertes, vous devriez savoir que nous pouvons perdre bien plus que de l’argent. Je parle ici de vol de documents d’identité quel qu’il soit. Protéger ces documents et faire attention à sa vie privée devrait être au moins aussi important que de protéger son argent. Après tout, l’argent est remplaçable ; c’est « seulement » de l’argent perdu. Cependant, une fois que votre identité est dérobée, il n’y a pas de retour en arrière.

C’est là que les ennuis commencent. L’une des meilleures façons de vous protéger contre le vol d’identité est de bien comprendre les fausses idées reçues que nous avons sur le KYC. Certains crypto-services requièrent de la part des leurs utilisateurs de se soumettre à un processus appelé « KYC ». KYC signifie « Know Your Customer » (connaitre son client ndlr.) et oblige les utilisateurs à envoyer des documents personnels à une société ou organisation. C’est déjà un problème en soit que certaines sociétés soit tant obtus et ne vous permettent pas d’utiliser leurs services, même si vous ne souhaitez acquérir que l’équivalent de quelques centaines de dollars en cryptomonnaie.

L’objectif officiel du KYC devrait être de lutter contre le blanchiment de capitaux (nous utiliserons le terme AML, anti-money laundering). L’application d’une procédure stricte du KYC et d’AML ont été mises en place par les États-Unis d’Amérique après les attentats du 11 Septembre 2001 et de nombreux pays ont ensuite imposé le KYC comme une obligation, guidée par la SEC, l’organisme fédéral américain de réglementation et de contrôle des marchés financiers. La lutte contre le blanchiment d’argent existait déjà auparavant mais visait les institutions et les gros transferts d’argent. Le client moyen n’a commencé à être affecté par ce processus qu’après les restrictions introduites par le SEC.
À première vue, le KYC parait être une bonne idée pour mettre fin aux activités criminelles. Malheureusement, la réalité est tout autre. Le KYC dans le domaine de la crypto n’aide pas nécessairement à stopper le blanchiment d’argent ou réduire l’activité criminelle ; ni d’ailleurs à empêcher le financement du terrorisme. Au contraire – Le KYC met en péril notre vie privée et encourage les activités criminelles (via des arnaques au KYC, vol d’identité ou autre moyens).

---

KYC encourage le vol d’identité

Quand quelqu’un se soumet au KYC, il est forcé de fournir à un tier (comme une plateforme d’échange, ICO, etc.) des informations sur son identité. À partir de ce moment-là, il n’a plus aucun contrôle sur ces données et doit faire une confiance aveugle au tiers afin de garder ses informations en sécurité. Si ce tiers se fait pirater, la personne concernée ne peut rien faire.

Toute personne un tant soit peu soucieuse de la sécurité de ses données personnelles et qui ne fournit pas les informations personnelles requises par le KYC ne peut utiliser le service.

Il apparait clair qu’il y a un risque réel pour les utilisateurs lambdas quand ils sont forcés de soumettre des informations personnelles à des inconnus ou à un service centralisé. Il n’y a aucune garantie qu’elles soient en sécurité puisque même les grandes entreprises, avec des normes de sécurités élevées, peuvent être sujettes aux piratages.

Comme pour tout dans un monde numérique, les sociétés ou organisations collectant nos informations personnelles à travers du KYC sont vulnérables aux piratages. Nous avons déjà pu constater que lorsque des grandes compagnies comme Binance sont piratées, les pirates ont été en mesure de dérober un grand nombre de documents personnels issue du KYC.

Et ce ne sont que les faits dont nous avons connaissance. Il n’est donc pas impossible que le piratage de Binance ne soit que le sommet de l’iceberg de terribles piratages contre le KYC qui n’ont pas été reconnu publiquement, puisqu’il est évident que la communication sur de telles agissements serait préjudiciable pour le business des plateformes d’échange ou pour les prestataires du KYC. Il ne fait aucun doute que des pirates professionnels développent des outils afin de pirater et d’obtenir des documents personnels servant à passer avec succès la procédure de KYC.

Cela nous mène à un autre problème : avec cette obligation du KYC partout, les documents personnels sont devenus des marchandises précieuses sur le marché noir et il existe déjà un grand attrait au piratage ou vol d’identité. Il apparait inévitable qu’un énorme marché illégal des identités naisse si le KYC soit amené à être généralisé.
Chaque utilisateur forcé de se soumettre au KYC court donc le risque de voir ses données personnelles être mis en vente sur le marché noir. Cela facilite la vie des criminels à la recherche de « packs de documents » d’identité issue de piratages sur le marché noir, qui contient toutes les données nécessaires afin de se faire passer pour la personne dont les données ont été piratées, d’ouvrir un compte à leur nom et ainsi pouvoir perpétrer ses crimes.


Source: https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

Le piratage d’identités peut être très précieuse pour les criminels, spécialement si cette identité peut fournir son lot de détails pertinents afin d'incriminer la personne concernée. Cela inclut :

• nom et adresse postale (issues de documents ou de factures.)
• carte d’identité, passeport, photos ou selfies
• données biométriques (empreinte digitale, scan du visage ou de l’iris)
• des données personnelles variées issues de factures de services courant, relevés d’imposition, sur l’employeur ou des relevés bancaires
• mot de passes, adresses emails utilisées
• adresses crypto utilisées, y compris pour des dépôts retraits (+ la possibilité d’y associer d’autres adresses via une recherche blockchain)

Les criminels peuvent utiliser ces données malicieusement de différentes façons :

• Ils peuvent les utiliser pour commettre des activités criminelles simplement en se faisant passer pour la personne dont les données ont été piratées et ouvrir un compte au nom de cette personne afin d’y mener des actes illégaux.

• Les criminels peuvent utiliser certaines données pour accéder à d’autre comptes de la victime et:
  
  • réinitialiser le compte via l’adresse e-mail
  • réinitialiser le compte via les données biométriques
  • tenter de pirater d’autres comptes en utilisant le même mot de passe

• L'un des pires aspects de cette situation serait la possibilité pour un criminel de collecter suffisamment de données piratées sur une personne pour évaluer la rentabilité d'un vol. Cela nécessiterait :
  
  • l’adresse postale de la victime (obtenu à partir d’un document personnel), et
  • des informations sur son patrimoine financier (obtenues à partir de dépôts retraits de ses adresses cryptographiques ou à partir de documents tels que des fiches de paies, documents fiscaux, etc.).
  Un tel ensemble de données pourrait suffire à évaluer une victime pour un éventuel vol. Même si les escrocs se trouvent dans un autre pays, ils pourraient vendre des informations sur des « cibles de vol prometteuses » à d'autres criminels dans le pays d'origine de la victime.

• Il est également possible pour les criminels de collecter des données afin de les associer avec d'autres données piratées de différents sites pour rendre cet ensemble plus précieux pour la revente.

---

KYC encourage les arnaques

En plus du vol d’identité, le KYC offre une nouvelle source de revenue potentielle pour les arnaqueurs, actuellement en hausse et appelé « arnaque au KYC », exécutée de la manière suivante :

• L’utilisateur fait un dépôt de cryptomonnaie sur un service où le KYC est optionnel.
• Après qu’assez de personnes aient effectué un dépôt, le site annonce que le KYC est désormais obligatoire et tous les fonds sont gelés.
• Le site oblige les utilisateurs à se soumettre au KYC. Si un utilisateur ne veut pas le faire, sa cryptomonnaie est perdue, saisie par la plateforme d’échange. Si la plateforme d’échange se révèle être une arnaque, les pirates disposent en outre de précieux documents d'identité de leurs clients qu'ils pourraient vendre ou utiliser eux-mêmes.
• Les utilisateurs n’ont aucune chance de se défendre.

La même stratégie est également utilisée pour les « bounties », en particulier les bounties altcoin des ICO shitcoin. Par conséquent, il est important de connaître l’existence des escroqueries au KYC. Cela se produit surtout avec des plateformes d’échange inconnues ou des bounties de shitcoin. Il est recommandé de se limiter à l’utilisation de grandes plateformes d’échange fiables, qui ne pourraient pas se permettre de perdre leur crédibilité en tentant une arnaque au KYC.

Les utilisateurs ne doivent en aucune façon se soumettre au processus de KYC s’ils suspectent une arnaque au KYC. Il faut savoir qu’une plateforme d’échange réputée appliquera toujours les « Conditions Générales d’Utilisation » applicable au moment où l’utilisateur aura fait son dépôt et n’enverra qu’une notification de mise en œuvre du processus KYC. Mais les utilisateurs pourront toujours retirer des fonds, bien que certaines limites inférieures puissent être appliquées. De cette façon, les utilisateurs ont la possibilité de retirer leurs cryptomonnaies sans se faire arnaquer.

---

KYC aide les arnaqueurs à se cacher

Le KYC est grandement apprécié par toutes sortes d’arnaqueurs puisque cela leur permet de rester dans l’ombre et de continuer leurs activités criminelles simplement en utilisant une identité piratée ou voler afin de passer le processus de vérification. Quand beaucoup d’argent est en jeu, ils ne reculent devant rien :

• Il existe déjà un grand nombre d’ensembles de documents d’identités disponibles sur le marché noir, provenant de sites rendant obligatoires le KYC hébergés ou piratés par des escrocs. Plus l’ensemble de document est complet, plus il est précieux et cher. Afin de passer le processus de KYC, certains criminels ont donc seulement besoin d’acquérir les données nécessaires sur le marché noir.
• Les arnaqueurs peuvent également organiser des ICO eux-mêmes ou mettre en place une fausse plateforme d’échange et y faire appliquer le KYC. Ils peuvent ainsi y demander les données nécessaires à leurs besoins futurs. Cela permet aux criminels d’obtenir des documents spécifiques nécessaires pour un ICO ou une plateforme d’échange donnée.

De manière contre-productive, certains « experts » proposent désormais d’appliquer une procédure de KYC encore plus excessive à laquelle les clients devraient se soumettre, incluant la soumission de scans de meilleures qualités ou de plus de données, comme des données biométriques. Cette façon de penser est totalement erronée car de telles mesures sont susceptibles de mettre encore plus en danger les utilisateurs :

• Les données biométriques (empreintes digitales, scan du visage ou de l’iris), peuvent également être utilisées à des fins illicites une fois piratées par des criminels. Les dommages causés aux victimes sont peut-être bien pires, car les données biométriques sont parmi les plus sensibles qui peuvent être exposées.
• Une amélioration de la qualité des données soumises signifie seulement que les pirates pourraient recevoir des données encore plus précises et donc plus précieuses et permettrait d’usurper l’identité de quelqu’un encore plus facilement pour un criminel.
• Les criminels commencent de plus en plus à fabriquer des données manquantes pour passer le processus de KYC à partir de documents volés existants. Des méthodes permettant de contrecarrer une identification vidéo, comme les « deep-fake videos » se développent rapidement. La production de masques réalistes qu’on peut difficilement différencier de vrais visages est une autre méthode utilisée pour tromper les processus d’identification d’identité. D’autres méthodes, dont certaines basées sur l’intelligence artificielle, ont déjà été présentées au 2018 35c3 à Leipzig, prouvant que les vérifications d’identités vidéo pouvaient être court-circuiter.
  
  Ces techniques sont encore à un stade très précoce de développement et leurs résultats pas encore parfaits, mais en théorie elles sont donc déjà possibles. Les perspectives d'augmentation de la rentabilité dans le cas où le KYC est appliqué partout incitent de manière exponentielle les escrocs à développer des méthodes de truquage du KYC encore plus sophistiqués.
  
  En principe, seuls quelques criminels sont nécessaires : ceux qui sont capables de vérifier les comptes avec des données piratées. Ensuite, ce service pourraient être vendu à d'autres criminels via le darknet, ce qui permettrait à lui seul de saper complètement un processus KYC

Par conséquent, si le KYC a été conçu pour empêcher les criminels de faire leur travail, c’est déjà un échec cuisant. Il existe probablement des millions d'ensembles de données KYC sur le marché noir et ce nombre augmente quotidiennement à mesure que l'application du KYC se généralise.

Avec les dernières techniques émergentes pour contourner toutes les procédures KYC en ligne, les organisations criminelles sont en bonne place pour vérifier les comptes et les vendre à d'autres criminels à un prix élevé sur le marché noir. Alternativement, ils pourraient simplement pirater des comptes déjà vérifiés et les vendre.

Par conséquent, les criminels mal intentionnés ont un large éventail de choix pour contrecarrer le KYC.

---

Conclusion: le KYC est inutile

Le constat est évident : le KYC est non seulement inutile mais encourage finalement ce qu'il est censé empêcher. Le KYC crée de nouveaux domaines de criminalité (échange d'identité d'utilisateurs réels) et renforce les domaines de criminalité existants (les criminels peuvent désormais passer inaperçus en abusant de l'identité d'utilisateurs innocents). Il met également en danger de manière flagrante la vie privée et la sécurité de tous les clients.

Par conséquent, l'efficacité annoncée du KYC en crypto n'existe malheureusement qu'en théorie. Il vaudrait mieux pour la communauté de reconnaître que non seulement le KYC est inutile, mais qu'il est également dangereux et favorise le crime. Étant donné que les documents pour le KYC sont vendus illégalement sur le Web ou peuvent même être truqué par une intelligence artificielle, le KYC ne prouve plus désormais que nous ayons à faire à une personne donnée.

En fait, le KYC encourage les escroqueries et la criminalité et met en danger la vie privée et la sécurité de tous les clients en permettant le vol d'identité. Cela crée une dynamique dangereuse pour les utilisateurs qui sont obligés d'effectuer une vérification KYC: des tonnes de documents personnels sont collectés par des criminels et seront probablement rendus publics à l'avenir à un degré jamais vu auparavant.

---

Comment se protéger du KYC?

Soyez prudent et essayez d'évaluer si l'utilisation du service vaut vraiment le risque de vol d'identité, en tenant compte de toutes les conséquences négatives associées. Faites également attention aux adresses que vous liez à un compte potentiellement piratable. Le lien entre votre identité et des adresses bitcoin altcoin ne peut être défait si quelqu'un sait comment faire le rapprochement.

Il est recommandé d’utiliser des services de confiance sans KYC comme les plateformes d’échange P2P ou d’utiliser ce site pour échanger des devises en utilisant les services d’un tiers de confiance.

Évitez le KYC pour tout le reste:

• Pas de KYC pour les altcoin shitcoin bounties ou les altcoin shitcoin airdrops quand les propriétaires sont probablement des arnaqueurs, ou même incompétents.
• Pas de KYC pour les plateformes d’échanges où les propriétaires sont probablement des arnaqueurs, ou même incompétents.
• Pas de KYC pour des petites sommes, le jeu n’en vaut pas la chandelle (cela inclut probablement tout ce qui ne peut vous rendre riche.)

Il est important de souligner les dangers du KYC à titre préventif. Après tout, ce n'est qu'une question de temps avant qu'un scandale majeur impliquant le KYC ne fasse prendre conscience au grand public de sa dangerosité et de son inutilité. Malheureusement, il sera trop tard quand cela arrivera et les dégâts seront déjà faits. Vous êtes invités à partager ce texte afin que le plus grand nombre d'utilisateurs (et de services) soient mis au courant des défauts de KYC.

En particulier, les services qui abusent de la sécurité des utilisateurs pour remplir leurs propres poches doivent être conscients de l’irresponsabilité de leur comportement.

Il est recommandé d'utiliser un service qui ne demande pas d'informations KYC (ou dont les limites sont justifiées). Ce n'est pas seulement pour nous protéger, mais aussi pour soutenir les services qui protègent leurs clients.

Note de fin : j'écris ce texte depuis un certain temps maintenant, depuis le début de 2019. Depuis la première fois que j'ai résumé la plupart des faits connus, il y a eu plusieurs articles informatifs publiés sur Internet qui analysent les problèmes de KYC en détail et les dénoncent.
Les observations que j'avais faites jusqu'alors n'ont pas seulement été confirmées en lisant ces articles, puisque je dois admettre que j'ai sous-estimé de loin le danger et l'inutilité du KYC dans ma version originale. La technologie et le marché criminel impliquant le KYC sont déjà beaucoup plus avancés que je ne le craignais et sont susceptibles de devenir encore plus lucratifs en raison de l'application de plus en plus excessive du KYC. Les fraudeurs criminels ont détourné le KYC à leur avantage pour commettre de nouveaux délits (comme l'arnaque KYC), pour marchander des identités, et en même temps pour pouvoir continuer leurs activités criminelles, tapis dans l’ombre, utilisant l’identités d'utilisateurs innocents.
Il serait utile pour la sécurité, la protection des données et la prévention du crime s'il était rapidement reconnu par le public que le KYC numérique n'est pas une solution, mais plutôt un risque qui met en danger des utilisateurs innocents.


Gardez à l’esprit que:

Le monde numérique n'est pas aussi simple que beaucoup de gens le croient. En tant qu'utilisateur moyen de crypto ou d'Internet, vous pouvez faire de nombreuses erreurs, mais un seul mauvais choix est suffisant pour tout risquer même si tout le reste est parfait.
Les escrocs sont souvent intelligents, couvrant les traces de leur activité et profitant d'idées reçues. Une de ces idées reçues est la nécessité du KYC pour les services centralisés, qui sont souvent faciles à attaquer et à contourner.
Si nous, les utilisateurs moyens, ne nous soucions pas de notre vie privée, ne nous éduquons pas ou ne revendiquons pas notre droit de protection contre les criminels sur le Web, nous pouvons avoir des ennuis très rapidement. Le droit à la vie privée signifie la protection contre de tels escrocs, et c'est un bien précieux que nous avons tous le droit de revendiquer. Le droit à la vie privée n'est pas un crime, c'est notre protection sur le Web contre les criminels et un droit personnel que nous devons essayer de garantir dans la mesure du possible.

N'hésitez pas à partager cet article ou à le traduire sur votre forum local. Il y a beaucoup de désinformation promouvant une inexistante nécessité du KYC. Mais si les gens s’y penchent de plus près, cela aidera à prévenir de nombreux crimes et escroqueries.

---

---

Quelques autres articles intéressants pointant les dangers du KYC:

https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be

https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee

---