La semaine dernière, il y a eu un petit tollé dans le monde du Web 3 lorsqu’un nouveau protocole, DeSo, a annoncé une mise à jour de son flux de connexion utilisateur. Auparavant, le service de médias décentralisé avait demandé aux utilisateurs d’entrer leur « phrase de départ » dans l’interface Web du projet, défiant toutes les meilleures pratiques de sécurité généralement acceptées et suscitant des critiques dans l’ensemble de l’industrie.
« Les extensions Chrome comme MetaMask sont plus sécurisées, mais la plupart des utilisateurs grand public ne les installeront jamais. Au lieu de crier sur nos utilisateurs à propos des meilleures pratiques de sécurité, nous avons fait quelque chose de radical : nous les avons rencontrés là où ils se trouvent aujourd’hui », a expliqué le fondateur de DeSo, Nader Al-Naji. L’équipe a toutefois constaté qu’elle n’avait pas réellement rencontré d’utilisateurs là où on leur avait dit que « 10% des personnes ont immédiatement perdu leur semence.
Jill Gunter, chroniqueuse CoinDesk, est partenaire de Slow Ventures, où elle investit dans des projets de crypto et Web 3 à un stade précoce. Elle est également co-fondatrice de l’Open Money Initiative, une organisation de recherche à but non lucratif œuvrant pour garantir le droit à un système financier libre et ouvert.
Pour résoudre ce problème, DeSo offre désormais aux utilisateurs la possibilité de sauvegarder automatiquement leurs phrases de départ sur Google Drive à partir de l’application. Au contraire, c’est encore pire du point de vue de la sécurité que leur flux de connexion d’origine.
En ce qui concerne les phrases clés, la meilleure pratique généralement acceptée consiste à ne jamais les stocker sur un appareil connecté (ou ayant été connecté) à Internet. Ces phrases de 12, 18 ou 24 mots permettent aux utilisateurs de récupérer les actifs stockés dans un portefeuille numérique donné en cas de perte ou de remplacement de l’appareil qu’ils ont utilisé pour accéder à leurs fonds. Les phrases de départ sont si sensibles car elles permettent à quiconque connaît leurs mots magiques d’accéder aux actifs associés.
Lire la suite: DeSo veut votre phrase de départ. Laissez-les venir et le prendre
La plupart des applications cryptographiques et Web 3 encouragent les utilisateurs à écrire leurs phrases initiales et à les stocker dans un endroit sûr, comme un bunker ou un coffre-fort physique. Ne le dis à personne. Ne stockez pas la phrase dans un gestionnaire de mots de passe en ligne, la sagesse va, et encore moins dans votre Google Drive. Et n’entrez jamais votre phrase de départ dans un formulaire de site Web, de peur d’être victime d’une attaque de phishing.
Et pourtant, mon expérience d’interaction avec toutes sortes d’utilisateurs de crypto et de Web 3 suggère que peu prennent cette sagesse à bord. Il est facile de comprendre la situation difficile de DeSo.
J’ai reçu de nombreux messages d’amis qui ne se familiarisaient que légèrement avec la cryptographie me demandant de l’aide pour se souvenir de « quelle phrase de 12 mots » ils auraient pu utiliser pour sauvegarder le portefeuille bitcoin qu’ils ont créé en 2017. (A noter : contrairement à un mot de passe , les utilisateurs ne décident pas quelle devrait être leur phrase de départ ; elle est plutôt générée pour eux. Ce qui est encore un autre point de friction et de confusion que les utilisateurs doivent surmonter.)
J’ai vu des phrases clés griffonnées dans des cahiers laissés dans des sacs à dos sous les comptoirs des bars lors de conférences sur la cryptographie. J’ai agi en tant que support client sur des projets de cryptographie et les utilisateurs m’ont envoyé un message avec leurs clés privées (malgré mes avertissements) pour demander de l’aide. J’ai vu des utilisateurs publier leurs clés privées sur des canaux Discord. Moi-même, il y a seulement quelques semaines, je suis tombé sur 24 mots griffonnés sur un post-it au fond d’un sac à main que j’utilisais fréquemment il y a quelques années. Je doute que je sache un jour à quel portefeuille il est associé.
À la lumière de ces observations et expériences, il est tentant de hausser les épaules et de dire que DeSo a peut-être raison. Pour l’utilisateur moyen qui vient de se lancer dans Web 3 pour la première fois, c’est peut-être l’approche la plus sensée pour stocker des phrases de départ quelque part comme Google Drive. Mieux là-bas que dans un tiroir à chaussettes, non ?
Le problème est que, même si aujourd’hui les enjeux pour l’utilisateur moyen seraient faibles en gardant ses clés dans Google Drive, les conséquences pourraient devenir importantes sur le plan financier. Il semble que chaque année, les médias deviennent obsédés par une autre pauvre sève qui a acheté du bitcoin en 2011, a gagné des centaines de millions de dollars, mais a perdu sa phrase de départ et ne peut plus accéder aux fonds (le gars qui a perdu un demi-milliard en un dépotoir au Pays de Galles vient à l’esprit).
Alors que les utilisateurs de DeSo qui stockent leurs phrases de départ dans Google Drive n’auront pas à s’inquiéter de perdre la trace de la phrase de départ, ils devront s’inquiéter du fait que leur compte Google devienne une cible pour les pirates. Si de nombreux premiers utilisateurs du protocole deviennent millionnaires grâce aux actifs qu’ils ont stockés dans le système DeSo, Google Drive deviendra soudainement un énorme pot de miel pour chacun d’eux. C’est dangereux pour les utilisateurs – et probablement une situation que DeSo aimerait éviter.
Pour l’industrie, l’approche de DeSo pose un problème encore plus important. Il enseigne aux utilisateurs à faire des choses dangereuses sans leur expliquer adéquatement quels sont les risques. DeSo n’éduque pas les utilisateurs et n’atténue pas les risques qu’ils demandent aux utilisateurs de prendre. DeSo ne fait que couper les coins ronds et créer des habitudes problématiques que les utilisateurs prendront avec eux lorsqu’ils utiliseront d’autres applications Web 3.
L’expérience utilisateur d’accès et d’engagement avec la cryptographie reste un problème non résolu. Le Web 3 et la cryptographie demandent presque par définition aux utilisateurs d’assumer plus de responsabilités lorsqu’ils interagissent avec Internet. Les responsabilités et les défis vont bien au-delà du problème du stockage des phrases de départ. De nombreux partisans inconditionnels de la cryptographie préconisent que les utilisateurs exécutent leurs propres nœuds pour les protocoles avec lesquels ils interagissent. Les utilisateurs doivent régulièrement naviguer dans les explorateurs de blocs pour afficher les détails des transactions, encapsuler et décompresser les actifs dans différentes normes de jetons et, bien sûr, faire face à des frais coûteux, opaques et imprévisibles.
Une grande partie de la crypto inverse ce que le Web 2 a formé les utilisateurs à attendre et avec lequel ils se sentent à l’aise. Grâce aux applications fiables, gratuites et transparentes du Web 2, les utilisateurs peuvent transférer sur des appareils qui s’ouvrent et se déploient d’un simple coup d’œil ou d’un bourdonnement sur une montre-bracelet, souvent sans même entrer de mot de passe. Cela contraste fortement avec le Web 3 et son expérience cloisonnée et à forte intensité de sécurité qui demande aux utilisateurs de naviguer dans des flux impénétrables, souvent avec peu d’éducation ou d’instructions intégrées dans le produit.
Et c’est là que réside un élément clé de la solution d’expérience utilisateur : l’éducation. Nous ne devrions pas penser si peu aux utilisateurs que nous devons rogner pour eux, comme le fait DeSo. Après tout, un principe fondamental de la crypto réside dans l’autonomisation de l’individu. Informez les utilisateurs de leurs options et des risques associés (y compris, en effet, les options de stockage d’une phrase de départ dans Google Drive), et laissez-les choisir.
Quand je pense à l’expérience utilisateur du Web 3 aujourd’hui, je suis souvent ramené à mes premières expériences d’utilisation d’un ordinateur et d’Internet. Je me souviens, à l’âge de 5 ou 6 ans, de regarder mon oncle installer un ordinateur Gateway pour mes parents dans notre salle familiale et nous brancher, pour la première fois, à Internet commuté. Il utilisait toutes sortes de jargons qui deviendraient natifs pour nous tous au cours des 10 prochaines années, mais pour mes parents, c’était clairement étranger et inconfortable.
Le « système d’exploitation », le « modem », l' »adresse IP ». Je me souviens encore de l’aura de scepticisme et d’épuisement que mes parents semblaient partager après le départ de mon oncle cet après-midi-là. Comme s’ils pensaient : « Il n’y a aucun moyen que nous sachions comment l’utiliser.
Lire la suite: DeSo lance un fonds de 50 millions de dollars pour un écosystème social décentralisé
Mais nous avons tous compris ! L’utilisateur moyen d’un ordinateur peut ne pas être en mesure de vous donner l’explication précise et techniquement exacte du rôle que joue un système d’exploitation sur son ordinateur, ou pourquoi un modem est nécessaire ou comment une adresse IP est dérivée. Mais des milliards d’entre nous ont compris comment mettre à niveau un système d’exploitation, brancher un modem et se connecter aux réseaux Wi-Fi. Une partie de cela est due à l’innovation dans l’expérience utilisateur, mais une grande partie résulte simplement de l’éducation des utilisateurs combinée, ce qui est important, à de fortes incitations pour que les utilisateurs se mettent au courant. Une fois que j’ai eu un aperçu de ce que ce vieil ordinateur de bureau connecté à Internet pouvait m’offrir, je me suis fait un devoir de comprendre ce dont j’avais besoin pour pouvoir l’utiliser. Neopets et America Online ont suffi à me motiver à le comprendre dans toute sa complexité.
La même chose est, et continuera d’être, vraie pour la cryptographie et le Web 3. Avec une proposition de valeur suffisamment forte, les inquiétudes concernant les utilisateurs qui rechignent à la perspective de télécharger un plugin Chrome ou d’avoir à stocker en toute sécurité une phrase de 12 mots diminueront. pour les constructeurs de produits. Cela ne veut pas dire que nous ne devrions pas encore travailler pour améliorer ces expériences. C’est seulement pour dire que nous ne devons pas supposer que nous devons prendre des mesures extrêmes pour réduire les coûts aux utilisateurs embarqués. Nous devrions leur accorder plus de crédit que cela. Et si couper les coins ronds est ce qu’il faut aux utilisateurs pour choisir votre produit, alors peut-être devriez-vous réexaminer si votre produit offre réellement une valeur suffisante.
