Blockchain: Eldorado de la cybersécurité ?

Par Mayssa Ben M’rad

Prometteuse, révolutionnaire, robuste et résiliente, la Blockchain, technologie phare du web3 et véritable prouesse technologique en plein essor, a le pouvoir de bouleverser le monde numérique et le paysage de la cyber sécurité classique des dispositifs de protection traditionnels.

Les réseaux centralisés constituent un environnement favorable et une véritable mine d’or aux cyber attaquants qui cherchent à s’emparer des données sensibles. C’est pour cela qu’on se dirige petit à petit vers le web3, également connu sous le nom de web décentralisé dont la technologie pionnière est la blockchain. Grâce à ses caractéristiques intrinsèques, la blockchain érige une véritable forteresse numérique basée essentiellement sur la cryptographie, qui assure la pérennité des données.

Une question semble s’imposer et constitue l’objet d’âpres débats, celle de savoir justement comment la blockchain a réussi à révolutionner la cyber sécurité moderne et si elle n’est pas exempte de failles comme certains le prétendent. C’est ce que nous allons traiter dans cet article.

1) Origine :

On associe souvent la création de la technologie blockchain à l’émergence de la fameuse cryptomonnaie Bitcoin. Il y a bien une part de vérité dans cette affirmation mais ce n’est pas exactement correct.

En effet, la blockchain a vu le jour en 1982, avec David Chaum, informaticien américain et fondateur de Digicash, un système de monnaie numérique qui exploite la cryptographie pour permettre la réalisation de transactions anonymes. En 1991, deux ingénieurs Stuart Haber et Scott Stornetta, ont mené une étude sur les chaînes de blocs sécurisés par cryptographie en vue d’élaborer un système qui empêche la falsification des documents horodatés.

Ce n’est qu’en 2008 que la blockchain commence à rencontrer un succès fou. Le monde financier était en pleine crise, l’économie mondiale s’effondrait dans une chute vertigineuse, la stabilité politique était en péril… Dans ce chaos, la confiance envers le système monétaire vacille. C’est là qu’un certain Satoshi Nakamoto, héro masqué dont l’identité demeure inconnue, intervient en publiant le white paper (livre blanc) du Bitcoin, sous le nom de « Bitcoin : A Peer-to-Peer Electronic Cash System ». Dans son white paper, Satoshi Nakamoto parle de « timestamp server » (serveur d’horodotage), de blocs… Mais le terme exact « blockchain » n’apparaît qu’avec le développeur Hal Finney, qui échangeait d’ailleurs régulièrement avec l’inventeur de Bitcoin.

2) Caractéristiques et concepts liés à la blockchain :

Moult définitions ont été énoncées pour décrire la blockchain. C’est une technologie de stockage et de transmission des informations, qui constitue une énorme base de données sécurisée, décentralisée, transparente, inébranlable et immuable et un réseau de nœuds connectés entre eux en maillage, sur la base du modèle pair-à-pair (P2P) . Elle fait partie des technologies de registres distribués. Comme son nom l’indique, il s’agit bien d’une chaine de blocs sécurisés et chronologiquement cohérents dans lesquels sont sauvegardés les transactions de manière définitive.

-Décentralisation : Basée sur le principe Zero Trust, la blockchain se distingue par l’absence d’un tiers de confiance, d’un organe central de contrôle ou d’un point névralgique pour effectuer les transactions, contrairement aux bases de données centralisées.  Les transactions ne sont pas validées par un seul utilisateur. On parle plutôt de mécanismes et d’algorithmes de consensus, tels que la preuve de travail ou la preuve d’enjeu, pour garantir la véracité du contenu et renforcer la confiance.

-Immuabilité : Une fois validé, le contenu de la blockchain est infalsifiable. Aucun utilisateur n’a la possibilité de modifier n’importe quelle donnée dans la blockchain et ce grâce au hash qui fait office d’identificateur unique au bloc.  Chaque bloc, contient le hash du bloc précédent, en plus des informations qui lui sont relatives,  ce qui permet de chaîner les blocs et barrer la route à toute tentative de modification.

- Résilience et Sécurité informatique : D’une part, la blockchain est réputée pour ses qualités de sécurité inhérentes qui tirent leur pouvoir des algorithmes de cryptographie implémentés dans la blockchain dont les détails seront fournis dans l’axe suivant. D’autre part, le réseau blockchain est très difficilement piratable étant donné que tout nœud du réseau possède une copie de la base de données. A ce sujet, le réseau Bitcoin n’a toujours pas été corrompu et ce depuis sa création en 2009. Il faudrait en effet détenir 51% de la puissance de calcul dédiée au minage, ce qui est quasiment impossible en pratique.

-Transparence et Traçabilité : La blockchain contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création. Elle est partagée à tous les utilisateurs, sans intermédiaire, pour permettre à chaque nœud du réseau blockchain de vérifier, auditer et valider les transactions.

-Types de blockchain :

On peut classer les blockchains selon 2 types :

* les blockchains publiques : Ces blockchains sont accessibles à tout le monde et bénéficient d’une plus grande sécurité. L’exemple le plus connu est probablement Bitcoin. Le consensus est obtenu par le biais du minage. Les mineurs ou pools de mineurs sont appelés à résoudre un problème cryptographique ardu nécessitant une grande puissance de calcul pour créer la preuve de calcul (proof of work), valider les transactions et obtenir leur récompense.

* les blockchains privées : Bien que l’adhésion à ces blockchains soit limitée à certains utilisateurs, elles favorisent une meilleure fluidité des transactions. Le consensus est obtenu par le biais d’une approbation sélective où seuls des membres avec certains privilèges peuvent valider les transactions.

Alors que les blockchains de première génération se contentent de stocker les données de manière sécurisée et décentralisée, les blockchains de deuxième génération exécutent des programmes et des algorithmes sur la blockchain en elle-même. C’est pour cela qu’on parle également de « smart contracts ». Les « smart contracts » sont des programmes autonomes qui, une fois démarrés, exécutent automatiquement des conditions prédéfinies dans du code et inscrites dans la blockchain. Ils sont révolutionnaires dans la mesure où non seulement ils garantissent la fiabilité des termes du contrat mais en plus ils réduisent considérablement les coûts d’exécution et de vérification.

3) blockchain et cyber sécurité :

L’architecture blockchain répond parfaitement aux critères de sensibilité de l’information communément admis notamment à la triade CIA : Confidentiality, Integrity, Availability (Disponibilité, Intégrité et Confidentialité) qui stipule que l’information doit être protégée et accessible sur autorisation explicite uniquement , qu’elle n’a pas été falsifiée par malveillance ou corrompue par défaut d’implémentation, et qu’un accès fiable aux données, à n’importe quel moment, quel que soit l’état du réseau est primordial.

Plusieurs facteurs clés renforcent la sécurité de la blockchain en l’occurrence la cryptographie qui est d’ailleurs au cœur de ses propriétés. Les techniques cryptographiques avancées et les fonctions de hachage garantissent l’intégrité des données et la résilience de la blockchain. Parmi les algorithmes de chiffrement robustes et les méthodes cryptographiques qui incarnent les piliers de la blockchain, on retrouve :

AES: un algorithme de chiffrement symétrique qui utilise la même clé pour chiffrer et déchiffrer les données. AES se démarque par sa rapidité et sa fiabilité, et sa capacité à chiffrer de gros volumes de données.

RSA: un algorithme de chiffrement asymétrique qui exploite une paire de clés, l'une publique pour le chiffrement et l'autre privée pour le déchiffrement. RSA accroit ainsi la sécurité de la communication entre deux parties et permet l'authentification par signature numérique, garantissant que la transaction provient bien de l'expéditeur revendiqué.

Cryptographie sur courbes elliptiques (ECC): Cette méthode cryptographique promet de révolutionner la sécurité de la blockchain puisqu’elle repose sur la complexité des problèmes liés à la géométrie des courbes et exploite des clés de taille plus réduite par rapport aux systèmes cryptographiques traditionnels tels que RSA.

La tokenisation : C’est le processus qui consiste à transformer les données sensibles à l’instar des données de paiement, d’identification, d’authentification et les actifs physiques ou numériques tels que l'immobilier, les actions, les matières premières en jetons uniques, entités cryptographiques au sein d’une blockchain. Ce procédé de sécurisation des données réduit l’exposition des données critiques et limite les risques de compromission et de fraude.

Les fonctions de hachage : Elles permettent la conversion des données en une empreinte numérique, cryptographique, unique de taille fixe, calculée à partir du contenu du bloc concerné, les rendant ainsi inaltérables puisque toute modification sera immédiatement détectée. La NSA (national security agency) a été à l’origine de l’algorithme SHA256 (secure hash algorithm) utilisé dans le réseau bitcoin pour sécuriser les transactions et les blocs. Il a été publié en 2001 et a été utilisé dans de nombreux systèmes de sécurité y compris dans le protocole bitcoin.

En outre, la blockchain est résistante à plusieurs types de cyber attaques en l’occurrence les attaques DDOS et aux attaques internes. En effet, dans le cas d’une infrastructure blockchain, même si un pirate tente de saturer un serveur en lançant un nombre colossal de transactions pour que le serveur en question ne réponde plus, le système continue de fonctionner puisqu’il est distribué et que les données sont répliquées.

De surcroît, la blockchain gère l’identité numérique. On cite à ce sujet les solutions d’identité auto-souveraines (SSI) qui permettent aux  individus de posséder et de contrôler leurs identités numériques sans la présence d’un intermédiaire, et les preuves à divulgation nulle de connaissance (ZKP) qui permettent aux utilisateurs d’exposer sélectivement leurs identifiants.

4) Défis et limites de la blockchain :

Comme toute autre technologie, la blockchain ne représente pas un Eldorado parfait. Bien que considérée comme étant un système infaillible, de nombreux cas d’escroqueries et d’activités illégales autour de la blockchain ont été détectés et des malwares destinés à l’exploitation d’une vulnérabilité de la blockchain comme CryptoShuffler, clipboard hijacking ou encore InnfiRAT ont vu le jour. Parmi les cyber attaques et les vulnérabilités de la blockchain que les cyber attaquants exploitent, on retrouve:

Vulnérabilités liées aux mécanismes de consensus :

*Preuve de Travail (Proof of Work – PoW) : 51% Attack : Lorsqu’un acteur malveillant de la blockchain contrôle plus de la moitié de la puissance de calcul du réseau, il peut facilement, en validant les transactions à sa guise, compromettre la sécurité sur laquelle repose le système.

*Attaques Sybil : Sybil est un personnage fictif atteint du trouble de personnalités multiples. Les pirates vont créer de nombreuses fausses identités afin d’inonder le réseau et briser le système.

Vulnérabilité des plateformes : Cette vulnérabilité est intimement liée au fait que les blockchains sont installées sur des systèmes d’exploitation et des plateformes vulnérables

Vulnérabilité humaine : L’humain n’est jamais à l’abri des cyber attaques notamment celles basées sur l’ingénierie sociale comme le phishing , qui exploitent la psychologie pour soutirer des informations précieuses à l’instar des adresses bitcoin, engendrant l’usurpation de son identité. De plus, la perte ou le vol de la clé privée peut entraîner une perte irréversible d’accès aux actifs numériques stockés sur la blockchain.

De plus, la question d’optimisation des performances s’impose. Il faut réussir à exploiter les algorithmes de chiffrement robustes qui ont tendance à freiner la performance et à nuire à la scalabilité, d’une manière optimale.

En outre, l’interopérabilité et la courbe d’apprentissage associée à ces nouvelles technologies constituent un enjeu de taille afin d’assurer l’adoption généralisée de la blockchain. Il est crucial que les entreprises investissent dans le développement des compétences de leurs employés pour exploiter les nouvelles solutions de cyber sécurité. De surcroît, l’aspect éthique et réglementaire doit être pris en considération pour protéger la vie privée des individus.

Il faut également soulever la question environnementale surtout à l’ère du réchauffement climatique. Une puissance de calcul astronomique est nécessaire pour réussir à valider les blocs ce qui entraîne une consommation colossale de l’électricité, portant ainsi préjudice à l’environnement.

L’informatique quantique pourrait terriblement menacer le système blockchain. Dotés d’une puissance de calcul extraordinaire, les ordinateurs quantiques pourraient facilement chambouler les algorithmes de cryptographie asymétrique actuellement en usage.

5) Avenir de la blockchain :

La blockchain est une technologie qui ne cesse d’évoluer. Plusieurs domaines et solutions élaborées ont le pouvoir de la propulser et d’aiguiser son système de sécurité. L'intégration de l'intelligence artificielle et de la blockchain permet de créer un système de sécurité adaptatif et automatique, qui détecte plus facilement les potentielles menaces qui planent au-dessus de la blockchain. De plus, la cryptographie post-quantique est un domaine de recherche essentiel pour garantir la robustesse de la blockchain face à la menace des ordinateurs quantiques. En outre, il faut penser à innover dans les protocoles de gestion des clés, comme les systèmes de récupération de clés ou les mécanismes de délégation sécurisée…

Conclusion :

Bien que la technologie blockchain représente une solution de sécurité des données alléchante, il faut bien étudier tous les défis qui l’accompagnent et prendre en considération le fait qu’elle n’est pas infaillible.

Une stratégie de sécurité complète pour une solution de blockchain d'entreprise doit être méticuleusement élaborée et fignolée en prenant en compte la sécurité des différentes couches de la pile technologique ainsi que la manière de gérer la gouvernance et les autorisations pour le réseau.

Les travaux de recherche en cours annoncent un avenir prometteur pour la technologie blockchain notamment grâce à l’intégration de l’intelligence artificielle et de la cryptographie post-quantique.