ENTREPRISES & STRATÉGIES
TECHNOLOGIES

La blockchain est-elle la réponse à tous les maux de la cybersécurité?

La blockchain: un outil de confiance?


Retour au dossier

2_900x600_indiv-bertrand_moupfouma-themis_lex.jpg

La blockchain n’est pas seulement une technologie disruptive. Elle est également une révolution numérique indéniable. Outre le fait qu’elle est à l’origine de monnaies virtuelles telles que bitcoin ou ethereum, celle-ci suscite beaucoup de fantasmes et d’espoirs.

À ce propos, on entend par «blockchain» la technologie de stockage et de transmission d’informations transparente, sécurisée, et fonctionnant sans organe central de contrôle (définition de Blockchain France).

Ainsi, la blockchain constitue une base de données contenant l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création.

Par ailleurs, il existe des blockchains publiques, ouvertes à tous, et des blockchains privées, dont l’accès et l’utilisation sont limités à un certain nombre d’acteurs.

En pratique, elle est utilisée pour:

  • les transferts d’actifs (titres, obligations, vote...);
  • assurer la traçabilité des produits et actifs (à titre de registre);
  • les «smart contracts». Il s’agit ici des programmes autonomes exécutant automatiquement les conditions et termes d’un contrat sans nécessité d’intervention humaine.

Finalement, si la blockchain suscite tant d’enthousiasme, c’est parce qu’elle réduit le besoin d’intermédiaires de confiance (avocats, notaires, tiers certificateurs) et qu’elle est présentée comme «impossible à pirater».

Cela veut-il dire pour autant qu’elle est la réponse à tous les maux? Qu’elle bénéficie d’une fiabilité à toute épreuve? Ce n’est pas si sûr.

Le manque de sécurité juridique réside également dans l’impossibilité d’attribuer la responsabilité en cas de failles de la blockchain.

Bertrand MoupfoumaBertrand Moupfouma, Partner (Themis Lex)

En effet, la confiance accordée à la blockchain repose essentiellement sur la technologie.

Or, non seulement toute technologie est faillible par nature, mais on oublie l’obsolescence prévisible d’une technologie reposant sur des algorithmes cryptographiques. Surtout si ces derniers n’évoluent pas pendant plusieurs années.

Par ailleurs, l’absence d’organe centralisé crée certainement un espace de liberté s’affranchissant notamment des organes de contrôle étatiques, mais elle crée également un manque de sécurité juridique. Surtout lorsque l’on sait qu’il n’existe pas de normes internationales sur le sujet.

Au demeurant, le manque de sécurité juridique réside également dans l’impossibilité d’attribuer la responsabilité en cas de failles de la blockchain.

En effet, en cas de bug générant des conséquences dommageables, comment établir la responsabilité si la source de l’erreur réside dans la blockchain elle-même (par exemple, une donnée erronée dès le départ qui serait stockée et qui ne pourrait plus être modifiée)?

On notera que cette problématique est en définitive similaire à celle qu’on a pu connaître aux premières heures de l’internet.

En effet, il sera difficile d’attribuer la responsabilité à l’un des multiples acteurs agissant pour le développement des diverses blockchains.

À titre d’illustration, on se souvient que la faille d’un smart contract a permis l’attaque de la plateforme d’échange DAO (Decentralised Autonomous Organisation), à l’initiative de l’équipe de la start-up blockchain Slock.it, en juin 2016.

Cet échec en matière de cybersécurité démontre que la blockchain peut être piratée.

S’agissant des smart contracts, il sera difficile de les considérer de manière sécurisée comme des contrats au sens juridique du terme.

En effet, un contrat «classique» implique une personne majeure, avec un jugement éclairé, un consentement non vicié (c’est-à-dire exempt d’erreur ou de pression pour accepter le contrat).

Or, ces conditions ne peuvent être vérifiées dans le cadre d’un smart contract.

En particulier, il est difficile de prouver que le cocontractant a compris la portée du code développé dans le programme, et donc le contenu du smart contract.

S’agissant de la blockchain utilisée en tant que registre, la loi luxembourgeoise ne lui reconnaît pas cette qualité.

C’est-à-dire qu’aux yeux de la loi, une inscription sur la blockchain ne constitue pas la preuve juridique de l’authenticité d’une information ou de l’identité de la personne qui a effectué cette inscription.

Enfin, s’agissant de l’identité des parties à une transaction effectuée dans le cadre de la blockchain, celle-ci soulève la question du KYC, pour lequel des mécanismes doivent être mis en place pour valider les identifications des acteurs.

Il est évident que la blockchain jouit d’un énorme potentiel. Cependant, son environnement doit être amélioré, notamment juridiquement, afin qu’elle soit un outil totalement digne de confiance.