« Blockchain » est devenu synonyme de « Bitcoins », surtout depuis la récente augmentation du prix de la crypto-monnaie. Cependant, cette technologie – qui inclue également les contrats intelligents –
représente beaucoup plus que de la simple monnaie. En effet, elle offre un certain nombre de fonctionnalités clés, qui peuvent être utilisées dans les systèmes liés à l’identité,
au commerce ou encore à la cyber-sécurité.
La Blockchain agit comme une base de données immuable de transactions. Aujourd’hui plus qu’à n’importe quelle époque, nous échangeons nos données personnelles via plusieurs circuits, pour effectuer
par exemple des opérations bancaires ou des achats. Nos données personnelles sont devenues une marchandise à part entière, utilisée pour négocier.
Les cybercriminels profitent également de cette « marchandise personnalisée », comme en témoignent les violations massives de données chez Equifax et Uber. Afin de protéger ces données, le monde de
la cyber-sécurité se tourne vers la Blockchain.
Pourquoi un tel engouement pour la Blockchain ?
Le schéma de la Blockchain a été initialement rendu public en 2009 en tant qu’architecture sous-jacente du système Bitcoin. Comme nous
l’avons déjà mentionné, cette technologie repose sur une base de données de transactions – basées à l’origine sur des entrées Bitcoin. Cependant, cette base de données n’enregistre
pas d’informations en tant que telles ; vous ne pouvez donc pas stocker votre adresse sur la chaîne. Au lieu de cela, elle conserve une empreinte numérique de la transaction de ces données.
L’enregistrement résultant est inviolable, anonyme et immuable. Chaque fois qu’un bloc est ajouté, il doit être vérifié par plusieurs intervenants, qui s’assurent que l’empreinte numérique
de la transaction est correcte. Pour afficher un changement de propriété, il faut mettre à jour la chaîne en y ajoutant une nouvelle transaction.
Il existe trois types principaux de Blockchain :
- Publique : Les transactions sont accessibles au public et le système est entièrement décentralisé.
- Privée : Contrôlé par une seule organisation, qui régule également le droit d’enregistrement et les entrées de la chaîne. Cette version peut potentiellement s’écarter
de l’éthique du concept initial, car elle supprime la décentralisation. Cependant, lorsqu’elle est mise en œuvre sur plusieurs sites et centres de données, elle conserve la dimension de la décentralisation.
- Autorisée : il s’agit d’un type hybride entre la version publique et privée de la Blockchain. Cela ressemble à un système géré par un consortium, sans qu’aucune organisation
n’en prenne le contrôle. Ce faisant, cette version offre une décentralisation partielle.
Trois usages de la Blockchain dans la cybersécurité
Cette technologie serait un mécanisme potentiel d’amélioration des opérations de sécurité et de confidentialité dans de nombreux domaines, y compris :
1- La confidentialité des données personnelle et la fraude à l’identité – En ce qui concerne les transactions numériques basées sur l’identité, l’utilisation de
la technologie des registres distribués est en plein essor. La structure décentralisée crée davantage de cas d’utilisation d’identité contrôlée et centrée sur l’utilisateur.
Il existe plusieurs façons d’appliquer la technologie aux transactions d’identité, notamment :
- La divulgation minimale est un aspect important de la vie privée. Différents systèmes d’identité de la Blockchain utilisent plusieurs mécanismes pour établir des transactions sécurisées,
avec une amélioration de la confidentialité. Des initiatives telles que The Sovrin Foundation travaillent sur un réseau d’identité décentralisé
et auto-souverain, contrôlé par les utilisateurs. Les systèmes peuvent utiliser des transactions « zero-knowledge » (à divulgation nulle de connaissance) qui nécessitent beaucoup de ressources. Les
nouveaux systèmes offrent toutefois des méthodes moins intenses, mais toujours hautement sécurisées, pour préserver la confidentialité, avec par exemple une divulgation minimale.
- Les transactions de la Blockchain peuvent faire partie d’une chaîne de confiance plus large. Cette dernière inclurait des services d’identité et de vérification. Une fois vérifiée,
une identité pourrait être enregistrée dans une chaîne en tant qu’identité garantie. Couplée à des mécanismes de divulgation minimale, elle pourrait être utilisée dans des
contrôles KYC formels pour s’assurer que la fraude soit minimisée, tout en améliorant la confidentialité.
- Les cadres réglementaires axés sur la protection de la vie privée, comme le RGPD de l’UE, reposent sur l’éthique du consentement. La technologie des registres distribués, basée
sur les transactions, est une plateforme idéale pour la gestion du consentement – ce dernier étant une forme de transaction. Dans la Blockchain, les reçus de consentement pourraient être utilisés pour démontrer
la conformité au RGPD à ce sujet.
- Pseudonymisation. La Blockchain est basée sur le hachage, qui est un processus à sens unique. Working Group 29 a défini le hachage comme pseudonyme mais pas anonyme. Les réglementations pourront être assouplies, mais les données personnelles enregistrées par la Blockchain ne seront pas exemptées de RGPD.
2- Protéger l’Internet of Things (IoT) devient une question pressante. Le Mirai Botnet d’octobre 2016 illustre parfaitement ce qu’une grave attaque IoT peut impliquer – et surtout, risque de devenir. La Blockchain détient la clé de la sécurité IoT dans la nature décentralisée
de la chaîne, et dans sa façon de gérer les transactions. L’Université de Portsmouth, avec Fremantle et Aziz, a récemment publié un document de recherche sur la façon d’utiliser la technologie dans la sécurité IoT. Le système proposé est basé sur un intermédiaire
de confiance. Cet intermédiaire vérifie l’appareil en fonction de son identité, de sa propriété et des consentements. Ce faisant, il permet de construire un système basé sur des vérifications
croisées, qui assure confidentialité et sécurité.
3- La décentralisation de l’information est l’une des principales caractéristiques de la Blockchain, ce qui en fait une bonne technologie pour y baser des infrastructures importantes. Un point d’échec
ou de confiance non centralisé rend le piratage plus difficile. A titre d’exemple, une Blockchain pourrait être utilisée pour stocker des enregistrements DNS, supprimant ainsi le point central de défaillance des attaques
DDoS. Ce type de système a été décrit par Philip Saunders dans un article intitulé « Nebulis ».
La Blockchain : révolution ou évolution de la cyber-sécurité ?
La technologie de la Blockchain représente un puissant outil dans notre arsenal pour contrer certains types de cybercriminalité. L’aspect décentralisé de la technologie est la clé assurant sécurité
et confidentialité, depuis la sécurisation des transactions de données jusqu’à la minimisation du partage d’informations et la protection de l’utilisation individuelle des appareils IoT.
Baser sur la Blockchain des systèmes relatifs à l’identité, l’Internet of Things et aux infrastructures importantes pourrait donc résoudre certains des plus grands problèmes actuels de cybercriminalité.