Blockchain et cybersécurité : attention au miroir aux alouettes

OPINION. Il ne faut pas confondre Blockchain et sécurité. Tout dépend de la conception des blockchains, qui sont régulièrement piratées et pas forcément chiffrées. Il est important de rétablir les faits sur ces sujets complexes. Par Sébastien Meunier, directeur au cabinet de conseil en management Chappuis Halder & Cie.
Sébastien Meunier est directeur au cabinet de conseil en management Chappuis Halder & Cie.
Sébastien Meunier est directeur au cabinet de conseil en management Chappuis Halder & Cie. (Crédits : DR)

Penser que la blockchain apporte des bénéfices en matière de cybersécurité est une erreur assez répandue. Le ministère de l'Économie mentionne à quatre reprises la notion de « sécurité » dans sa description de la blockchain. Il est important de rétablir les faits sur ces sujets complexes.

  • Quelques points généraux pour commencer :

1 / Les blockchains ne sont pas conçues pour résoudre des problèmes de sécurité. Elles minimisent la confiance. Elles permettent à des utilisateurs non identifiés d'échanger des unités de valeur numériques, en évitant que ces unités ne soient copiées et dépensées à plusieurs reprises, sans faire appel à un tiers de confiance. Si les blockchains incluent des fonctionnalités de sécurité, ce n'est pas de manière innée, mais par conception, dans un effort conscient pour minimiser la confiance.

2 / Les mots « blockchain » et « technologie de registre distribué » ont perdu leur signification. Généraliser une caractéristique de Bitcoin, telle que la résistance à la falsification, aux autres chaînes de blocs, relève au mieux de l'ignorance et au pire de la malhonnêteté. À ce stade, pour 10 implémentations de la blockchain, il existe 10 profils de risque différents. En conséquence, le lien entre la blockchain et la cybersécurité est le même que celui entre le langage de programmation Java et la cybersécurité (c'est-à-dire pas de lien !).

3 / Les blockchains sont régulièrement piratées. Ce site recense 68 incidents correspondant à 9 types de failles de sécurité.

4 / Si les blockchains utilisent la cryptographie, la plupart ne sont pas chiffrées, contrairement à ce qu'on peut penser. Les données partagées sont généralement accessibles par l'ensemble des utilisateurs.

5 / Les blockchains sont essentiellement des pistes d'audit distribuées. Même si elles étaient sécurisées par nature, on ne disposerait que d'une piste d'audit sécurisée : une preuve cryptographique indiquant qui a fait quoi et quand. Aucune autre fonctionnalité de sécurité ne serait disponible, comme la gestion des identités et des accès, la sécurité des terminaux ou la sécurité des réseaux, et le système ne serait pas protégé contre le piratage humain (phishing, ingénierie sociale, etc.). Retour au point 3. 

La sécurité des blockchains dépend de leur conception, comme pour tout autre système : elles doivent être analysées dans leur écosystème, incluant les utilisateurs, les clients physiques (mobile, poste de travail), les clients logiciels et les tiers fournisseurs de services.

  • Pour les lecteurs souhaitant approfondir, continuons :

Il existe trois grands types d'implémentation de la blockchain, avec des fonctionnalités très différentes : les véritables blockchains, les pseudo-blockchains et les applications classiques utilisant les véritables blockchains comme des fournisseurs de services externes.

A) Les véritables blockchains sont des systèmes ouverts sans permission qui ne sont contrôlés par personne. En supposant que le réseau soit suffisamment large, le cœur du système résiste à la plupart des attaques informatiques, par conception. La probabilité qu'un malware rende inopérant la majorité des serveurs exécutant le logiciel bitcoin au même moment est quasi-nulle. Pour les systèmes à preuve de travail, la seule exception est la vulnérabilité aux attaques dites des 51%. Cependant, plus on ajoute de couches techniques au système, plus la surface d'attaque grandit. Par exemple, Ethereum autorise l'exécution de code sur sa plateforme, ce qui rend le système vulnérable à des bogues incontrôlables, comme l'a démontré "Le DAO". Dans ce contexte, l'audit de sécurité du code logiciel doit être réalisé de manière encore plus minutieuse que pour un système classique.

Si l'on considère ces blockchains dans la configuration typique d'un utilisateur doté d'un client physique, sur lequel est installé un logiciel client et se connectant au « réseau », leurs caractéristiques se rapprochent des systèmes distribués classiques :

- Les utilisateurs doivent être formés à la sécurité ; ils représentent la première ligne de défense !
- Les clients physiques (ordinateur personnel, smartphone) doivent être protégés par mot de passe, chiffrement du disque dur, antivirus, VPN, pare-feu logiciel et système de sauvegarde.
- Les clients logiciels doivent être mis à jour régulièrement et utiliser une authentification multi-facteurs.
- Les connections internet doivent être sécurisées (mot de passe réseau, configuration du navigateur, pare-feu physique, etc.).

B) Les systèmes à permission utilisés dans un contexte métier sont des pseudo-blockchains. Ils conservent la conception complexe des véritables blockchains tout en renonçant à leur principal bénéfice. Ce sont des logiciels sous un autre nom, un piège marketing. En effet, il est presque toujours possible d'implémenter les mêmes services, mais à moindre coût et avec une meilleure performance, avec des bases de données et des applications web classiques. Cela concerne la plupart des annonces faites par les grandes compagnies, sur des sujets comme la chaîne logistique, la "notarisation" ou le vote. On ne peut rien dire a priori de la sécurité de tels systèmes sans une évaluation détaillée.

C) Certaines entreprises, ayant compris que les pseudo-blockchains avaient peu d'intérêt, proposent de combiner des applications métier traditionnelles avec de véritables blockchains, utilisées comme des outils externes de gestion des transactions. Cette approche présente encore des problèmes conceptuels, du fait que les systèmes distribués seront toujours plus coûteux et moins performants que des systèmes classiques. Du point de vue de la cybersécurité, le système externe doit être considéré comme tout autre fournisseur de services externe et faire l'objet d'une étude détaillée. Le RSSI, le responsable des risques et celui de la conformité seront des obstacles sur le chemin de quiconque souhaite mettre en place un tel système dans une banque. Ainsi, dans l'exemple de l'obligation émise par la Société Générale, la blockchain Ethereum ne serait pas conforme aux exigences de sécurité 500.11 de la loi DFS Part 500 de l'État de New York.

Pour conclure, les blockchains ne sont ni des passoires ni des solutions miracles en matière de cybersécurité. Il est conseillé de les considérer dans leur écosystème et de leur appliquer des méthodologies de sécurité classiques comme les standards du NIST, le FFIEC CAT ou l'ISO27001. Leur sécurité doit être minutieusement évaluée et des contrôles mis en place pour combler les lacunes identifiées, en fonction de l'appétit pour le risque de l'organisation, comme pour tout autre système.

Sujets les + lus

|

Sujets les + commentés

Commentaires 4
à écrit le 20/11/2019 à 12:23
Signaler
Si les blockchains incluent des fonctionnalités de sécurité, ce n'est pas de manière innée, mais par conception, dans un effort conscient pour minimiser la confiance. Vous vouliez dire maximiser? Bref l'intérêt est la décentralisation de l'informati...

à écrit le 19/11/2019 à 10:49
Signaler
Comme pour le terrorisme, il compte sur notre peur pour faire leur business!

à écrit le 19/11/2019 à 10:01
Signaler
Merci pour cet article intéressant et rafraîchissant, qui change du traditionnel discours illuminé présentant la blockchain comme une panacée tombée du ciel.

à écrit le 19/11/2019 à 8:57
Signaler
Il ne peut y avoir aucune sécurité à 100% sur internet étant un réseau "peer to peer" à savoir que les informations passent par des milliers d'ordinateurs avant de nous arriver et que cela ne changera jamais, c'est le fondement même d'internet il ser...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.