Blockchain : sur les Thraces de la confiance

Florent Athané, NUAGEO

La confiance est centrale et nécessaire lors d’un échange. Cependant, elle est difficile à établir. Jusqu’à présent, on a désigné un tiers, dit “de confiance”, pour sécuriser cette relation entre inconnus.

Pour autant, aujourd’hui, cette organisation a des limites fortes, le tiers de confiance se retrouve comme la cible idéale des attaques potentielles. L’actualité regorge de cas d’attaques informatiques mettant en avant ces points : Equifax et Swift (voir notre article du mois dernier : La confiance à l’ère du digital : c’est pas Byzance !) ne sont que des exemples parmi d’autres.

Enfin, le principal risque reste la corruptibilité du tiers de confiance, qui peut faire tomber tout le système. Qui garantit réellement que le tiers est de confiance?

La technologie Blockchain apporte des réponses à ces deux difficultés. C’est l’occasion d’en découvrir le fonctionnement et les cas d’usages pratiques pour savoir comment il est possible de l’utiliser.

Blockchain : technologie de registre distribué sans permission

Un registre est un livre où l’on inscrit les faits dont on veut garder le souvenir. Dans le cadre d’un échange, il constitue un élément de preuve. Les parties y inscrivent la date et l’objet puis le signent. Ainsi, aucune d’elles ne peut renier l’engagement qu’elle a pris. Ce concept a été repris et adapté pour générer la confiance dans les échanges dématérialisés : on parle alors de blockchain.

Elle propose pour cela un système distribué dont le fonctionnement dépend de la participation de l’ensemble des membres du réseau. Au lieu d’être centralisées, les informations qui constituent le registre transitent entre les utilisateurs.

Ces derniers servent de relais et de témoins de l’information empêchant ainsi leur perte et assurant leur cohérence. Il n’est par exemple pas possible de vendre deux fois le même objet : chaque transaction ne peut avoir lieu qu’une seule fois. Ensuite, les utilisateurs ont enfin la possibilité de participer à la sécurisation des informations du registre, en validant les transactions.

Le système a enfin la particularité d’être sans permission. Il peut être installé et utilisé par n’importe qui. Aucune autorisation n’est requise pour consulter, copier, compléter ou sécuriser le registre. Ces caractéristiques garantissent que les faits renseignés dans le registre ne sont pas soumis à l’autorité d’un tiers pouvant trahir l’une ou l’autre des parties.

Comment la Blockchain garantit-elle la sécurité ?

Plusieurs éléments assurent la sécurité du registre :

Le caractère distribué de la Blockchain est un premier élément de sécurité. Quand une copie du registre est compromise ou que son utilisateur se déconnecte, le reste du réseau assure la disponibilité du système. De plus, la modification arbitraire du registre est très complexe, car il faut attaquer les copies détenues par les utilisateurs.

Le second élément est la signature électronique. Tout en l’anonymisant, elle authentifie l’auteur d’un fait avec certitude. Cela participe à la traçabilité des faits renseignés.

Vient ensuite le processus de sécurisation. Avant d’être inscrites dans les différentes copies du registre, les données constitutives d’un fait rejoignent une liste d’attente. N’importe quel utilisateur peut alors les regrouper en un seul fichier (nommé bloc) contenant plusieurs faits. Pour sécuriser ce fichier, il renseigne toutes ses données dans une fonction mathématique chargée de produire une suite de caractère unique (un hash). Ce hash devient l’empreinte numérique du fichier qui peut alors être accepté dans le registre. Ce processus permet de s’assurer que les données dont on dispose correspondent à celles initialement saisies. On les renseigne dans la même fonction puis on compare le résultat.

La Blockchain emploie ici une subtilité. Parmi les données renseignées dans la fonction mathématique, on ajoute l’empreinte du fichier précédent. En affectant le résultat obtenu, elle va conditionner toutes les empreintes suivantes par un lien logique (nommé chaîne). Pour modifier un fichier constitutif du registre, il faut alors modifier son empreinte et celles de tous ceux qui lui succèdent. Il en va de même pour un attaquant qui devra recalculer des empreintes pour chaque fichier lié à celui qu’il tente de corrompre.

C’est cette façon de construire le registre qui donne son nom à la technologie. Dans les faits, il n’y a ni bloc ni chaîne. Ces éléments interviennent au plan conceptuel.
Si le processus de sécurisation change, on peut considérer l’émergence de registres distribués sans permission distincts de la Blockchain.

Enfin dans sa conception initiale, la Blockchain laisse les utilisateurs libres de participer au processus de sécurisation et leur octroie une contrepartie en récompense de cette participation. Chacun peut constituer un fichier et réaliser les calculs nécessaires à l’obtention d’une empreinte. Un seul, le plus rapide, sera toutefois récompensé par le réseau. Dès que son résultat est communiqué aux autres, ceux-ci n’ont plus d’intérêt à chercher d’empreinte pour les mêmes faits. Ils passent au calcul de la prochaine empreinte. Il y a donc une compétition entre les membres qui les pousse à améliorer leur performance pour remporter la récompense. De plus, la difficulté du calcul augmente si le temps moyen pour trouver une empreinte est jugé trop court. La hausse du niveau de sécurité est continue et entretenue par la dynamique d’un marché libre.

Si l’on se penche sur les technologies constitutives de la Blockchain, on réalise que ce sont des techniques informatiques bien connues et peu révolutionnaires. Son ingéniosité repose sur leur orchestration.

Il existe aujourd’hui trois grands cas d’usages de la Blockchain

La première utilisation de la Blockchain concerne les paiements. Il s’agit notamment du projet Bitcoin. Dans ce cas, les utilisateurs inscrivent dans le registre un échange de monnaie. Ils notent le montant, la date et les parties. Il n’y a pas de visibilité sur la contrepartie de l’échange. Très vite, la notion de “jetons” a été introduite pour désigner un bien,matériel ou non, pour suivre la transmission et l’échange de ce bien.
Dans tous les cas, il s’agit d’établir l’existence d’une transmission de propriété.

La deuxième utilisation de la Blockchain consiste à inscrire la preuve d’existence d’un document. Une personne va inscrire l’empreinte électronique d’un document, indiquer la date et signer électroniquement. On sait ainsi quand et par qui la version d’un document a été produite. Lorsqu’une nouvelle version est éditée, on enregistre une nouvelle empreinte. Si l’existence de ce document est liée à un processus, elle participe à la preuve d’existence de ce processus.

La troisième utilisation de la Blockchain va plus loin. Il s’agit du “contrat intelligent” (smart contract). Le contrat est retranscrit sous la forme d’un programme qui exécute ses termes automatiquement si les conditions sont remplies.

Dans ce cas, chaque copie du registre exécute le programme pour appliquer les termes en fonction des informations dont elle dispose. Le paiement d’une somme et sa contrepartie peuvent se réaliser sans intervention de l’une ou l’autre des parties. Beaucoup de nos opérations quotidiennes peuvent s’inscrirent dans ces cas d’usages.  Chaque fois, le but est d’avoir un registre sécurisé et indépendant de l’autorité d’un tiers.

Les limites de la Blockchain

Une des limites des registres distribués sans permission réside dans leur caractère public. Même si les personnes ne signent pas en leur nom et que les documents ne sont pas stockés, toutes les signatures et les empreintes sont visibles par les membres. C’est un élément nécessaire au partage et à la vérification des informations mais l’on comprend les difficultés que cela peut poser aux entreprises.

Ces systèmes souffrent également d’un problème de scalabilité. Leur sécurité dépend en effet de la difficulté et du temps associé au processus de sécurisation des transactions.
Ils ne sont pas conçus pour être rapides. De plus, il est indispensable que des utilisateurs puissent conserver leur version du registre. Au fur et à mesure que des faits sont inscrits, l’espace de stockage nécessaire à la conservation d’une copie augmente. Le réseau risque d’être limité dans son expansion par le nombre d’appareils disposant des capacités de stockage suffisante. C’est pourtant le nombre d’utilisateur qui fait sa force, car il augmente la puissance de traitement et la sécurité du système

La dernière difficulté concerne la véracité des informations inscrites sur le registre. Dans le cas d’un paiement ou d’un document, il n’y a pas de problème. Le premier peut avoir lieu parce que l’historique des paiements passés assurent que le payeur a préalablement reçu les fonds nécessaires au paiement qu’il inscrit. De même, si l’empreinte d’un document existe, celui-ci a nécessairement existé.

En revanche, le fait que la transmission d’un bien soit inscrite sur le registre ne signifie pas que celle-ci a effectivement eu lieu. L’information doit être avérée par d’autres moyens. Il en va de même dans le cadre des contrats intelligents. Pour vérifier les conditions d’exécution d’un contrat oin d’informations – comme le résultat d’un pari -, celles-ci doivent être renseignées dans le registre par quelqu’un. L’identification d’un tiers fiable reste donc indispensable.

Un grand nombre d’initiatives travaillent à la résolution de ces difficultés. Pour autant, ces dernières limitent la création de nouveaux registres distribués sans permission utilisant la Blockchain. Seuls les projets Bitcoin et Ethereum ont su attirer une communauté assez importante jusqu’à présent. Ils se sont imposés comme plateformes et sont utilisés par un grand nombre d’initiatives  pour enregistrer des faits mais proposent des services en amont dans la logistique, la finance ou l’archivage par exemple.

Et dans la vraie vie, on fait de la blockchain ou pas ?

Clairement, aujourd’hui, non; il est trop tôt pour être certain des cas d’utilisation de demain. Globalement la blockchain n’a pas trouvé de sens autre que dans des projets de relation entre individus, notamment pour des échanges de monnaie ou de services quand l’introduction d’un tiers de confiance n’est pas souhaitée ou viable.

Pour une entreprise, la question de la confiance est moins prégnant dans son quotidien : ses fournisseurs sont généralement clairement identifiés et qualifiés (notamment par des appels d’offres, des statuts d’entreprise, la publication des comptes,…). Le recours au système financier est encadré et certifié par les comptes bancaires et les bilans comptables.

Les échanges sont consignés dans le cadre de l’activité normale de l’entreprise. En revanche, pour construire la confiance avec des entreprises étrangères, le recours à une blockchain peut être une alternative intéressante, avec les limites que nous avons identifiées précédemment quant à la véracité des informations.

La question du B2C se pose : l’entreprise doit-elle renforcer les moyens d’avoir confiance dans le consommateur ou l’utilisateur? La question ne se pose pourtant pas dans ses termes : c’est à l’utilisateur ou au consommateur d’avoir confiance dans le fournisseur, et cela passe par d’autres moyens que la blockchain.

Pour résumer, la blockchain n’est pas la solution ultime de demain pour générer la confiance, tout comme le tiers de confiance ne l’était pas hier. Pour cela, il faut dépasser le seul recours à des outils techniques ou à des outils humains, et employer une combinaison appropriée entre ces deux moyens.

Top