Entre la monnaie virtuelle bitcoin (parmi 600 autres !), les expérimentations des banques, la médiatisation de la plateforme, et l’affirmation qu’elle est inviolable, la Blockchain mérite que l’on se penche sur sa sécurité.
La Blockchain est à la fois une technologie, une infrastructure et des services. Elle enregistre des transactions à l’aide de programmes autonomes, les smart contrats, qui déclenchent des actions selon les évènements, stockées dans une succession de blocs et de nœuds, et réunies dans un grand livre.
La sécurité est assurée par la continuité entre les nœuds, ainsi que par la cryptographie des données, qui rendent le système anonyme et quasi impossible à hacker. Et qui peut remplacer un tiers de confiance. Au-delà de la sécurité, qui pour le moment semble inviolable, c’est bien la possibilité de s’affranchir d’un tiers de confiance qui crée la révolution dans la transaction.
La dernière conférence du CEFSYS, le club des femmes dans la cybersécurité, s’est interrogée sur le phénomène Blockchain, annoncé comme la grande tendance du moment, mais qui reste cependant encore très en marge des projets informatiques. Une technologie encore perçue comme trop disruptive, sans doute…
La Blockchain est-elle aussi sécurisée qu’on le dit ?
En réalité, ce n’est pas directement la sécurité de la Blockchain qui est l’objet des questionnements, mais plutôt les dérives de ses usages. Ceux-ci soulèvent de nombreuses interrogations :
- La confiance dans les algorithmes ?
- L’absence de tiers de confiance (rendu obligatoire par certaines réglementations) ?
- La multiplication des nœuds amplifie les risques ?
- La correction des erreurs ?
- La modification ou la répudiation d’un acte ?
- La désintermédiation ?
- L’obsolescence du système de cryptographie ?
- L’absence de régulation dans le caractère distribué ?
- La territorialité ?
- L’anonymat (blanchiment et terrorisme) ?
- La désintermédiation ?
- Et la maturité de la technologie ?
Un cadre juridique pour la Blockchain ?
Avec la proximité de l’entrée en application de la GDPR, la réglementation européenne pour les données personnelles, la complexité de la question de la sécurité de la Blockchain monte d’un cran. Et pause de nouvelles questions, car les cadres juridiques existants ou annoncés, sont basés pour la plupart sur des approches dépassées, voire d'avant le numérique :
Qui est responsable du traitement de la donnée ? Avec la Blockchain il devient nécessaire d’évaluer le rôle de chacun dans la chaine de traitement de la transaction.
Quid du droit des personnes physiques ? Cette question soulève celles de la preuve (faudra-t-il fournir une copie complète de la Blockchain ?), de la portabilité des données, de leur anonymisation, des modifications, du consentement, et du droit à l’oubli.
Quelle juridiction ? Quel est le droit applicable et comment prendre en compte la géolocalisation ou son absence ?
Toutes ces interrogations génèrent une certaine réticence à déployer la Blockchain. Et poussent à l’élaboration d’un nouveau contexte juridique, qui puisse prendre en compte l’absence de responsable juridique identifié. Et si la Blockchain remettrait en cause de la PKI ?
On le voit, la Blockchain a encore un sacré chemin à parcourir avant de convaincre réellement… Un chemin qui passe probablement par des Blockchain privées, plus souples dans les réglementations qui s’imposent. Par opposition aux Blockchain publiques, sur le modèle de Bitcoin, qui sont encore à la recherche d’une légitimité, d’un encadrement des paiements, et des contrôles qui doivent se mettre en place.
Image d’entête 654303350 @ iStock Aleutie