Qu’est-ce que la blockchain?
Pour mémoire, la blockchain est une base de données regroupant toutes les transactions entre les utilisateurs depuis sa création. C’est une technologie de stockage et de transmission d’informations, transparente, sécurisée et sans organe central de contrôle.
Elle peut être publique (ouverte à tous). Dans ce cas, tout utilisateur peut effectuer une transaction et participer à sa validation. Néanmoins, la blockchain peut être privée lorsque son accès est limité et qu’elle est sous le contrôle d’un seul acteur. Le caractère innovant de la blockchain explique que celle-ci peut être utilisée dans des domaines variés.
La blockchain: la solution miracle pour la cybersécurité et l’identification?
La blockchain est souvent présentée comme «la solution» contre l’usurpation d’identité. À ce propos, la solution avancée est d’utiliser les chaînes de blocs à des fins de cryptage. Or, malgré ses atouts, la blockchain ne parvient pas à elle seule à protéger des cyberattaques et des problématiques d’intrusions frauduleuses.
Par ailleurs, miser uniquement sur la blockchain dans ce contexte revient à confondre identification et authentification. En effet, dans le contexte de l’identification, l’accessibilité à un système automatisé de données ou à un lieu sensible (tel qu’un laboratoire) sera effectuée notamment avec un login et un mot de passe.
Ces identifiants laissent supposer que l’utilisateur est bien la personne autorisée à accéder au système ou au lieu sécurisé. S’agissant de l’authentification, celle-ci permet d’avoir la certitude que l’utilisateur qui accède au système ou au lieu sécurisé est bien effectivement la personne à qui on a consenti initialement l’accès.
La blockchain ne permet pas à ce stade de s’assurer de l’authentification.
Bertrand Moupfouma, Avocat (Themis Lex)
Cette nuance est importante, dans le cas de l’obtention frauduleuse des identifiants par un tiers ou dans le cas d’un employé qui divulgue ses logins et mots de passe ou qui prêterait son badge pour accéder à des bureaux. Dans ce cas, l’authentification n’est plus assurée, et le système ou le lieu concerné peuvent être violés.
Or, la blockchain ne permet pas à ce stade de s’assurer de l’authentification. En outre, l’argument du caractère sécurisé de la blockchain n’est pas suffisant.
Pour mémoire, une chaîne de blocs pourra être rompue si un nombre suffisamment grand de machines associées à son réseau a été compromis, comme l’illustre l’attaque de la plate-forme d’échange DAO (Decentralised Autonomous Organisation), à l’initiative de l’équipe de la start-up blockchain Slock.it, en juin 2016. S’agissant de l’authentification, la solution réside peut-être dans les technologies de biométrie dynamique (permettant l’authentification d’une personne par son style de frappe ou son rythme cardiaque, etc.).
Quid de la conformité de la blockchain au RGPD dans ce contexte?
Si la blockchain concerne les données personnelles, alors, le RGPD (règlement général sur la protection des données) (incluant ses sanctions) s’applique, notamment lorsqu’elle est utilisée à des fins de cybersécurité et d’identification.
Cela peut être le cas quand l’utilisation de cette technologie implique des transferts internationaux de données personnelles, par exemple lorsque l’on a recours à la blockchain publique. Il faut donc être vigilant. À ce propos, la question du choix d’une blockchain publique ou privée peut se poser.
La blockchain va certainement résoudre un certain nombre de problématiques.
Enfin, s’agissant de la blockchain publique et du caractère inaltérable de la base de données, on peut s’interroger sur sa conformité au droit à l’oubli des propriétaires des données personnelles. La blockchain va certainement résoudre un certain nombre de problématiques.
Toutefois, à ce jour, elle ne peut à elle seule être l’arme absolue en matière de cybersécurité.